- Strona główna
- /
- Artykuł
Nowe i zmienione informacje
Data | Zmiany | ||
---|---|---|---|
20 października 2023 r. |
| ||
07 sierpnia 2023 r. |
| ||
23 maja 2023 r. |
| ||
06 grudnia 2022 r. |
| ||
23 listopada 2022 r. |
| ||
13 października 2021 r. | Docker Desktop musi uruchomić program konfiguracji przed zainstalowaniem węzłów HDS. Zobacz Wymagania Dotyczące Pulpitu Docker. | ||
24 czerwca 2021 r. | Pamiętaj, że możesz ponownie użyć pliku klucza prywatnego i CSR, aby poprosić o inny certyfikat. Aby uzyskać szczegółowe informacje, zobacz Użyj OpenSSL, aby wygenerować plik PKCS12. | ||
30 kwietnia 2021 r. | Zmieniono wymaganie VM dla lokalnego miejsca na dysku twardym na 30 GB. Szczegółowe informacje można znaleźć w sekcji Wymagania wirtualnego prowadzącego. | ||
24 lutego 2021 r. | Narzędzie konfiguracji usługi HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie ISO konfiguracji hostów HDS. | ||
2 lutego 2021 r. | HDS może teraz działać bez zamontowanego pliku ISO. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS. | ||
11 stycznia 2021 r. | Dodano informacje o narzędziu do konfiguracji HDS i pełnomocnikach, aby utworzyć ISO konfiguracji dla prowadzących HDS. | ||
13 października 2020 r. | Zaktualizowano Pobierz pliki instalacyjne. | ||
8 października 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP. | ||
14 sierpnia 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła ze zmianami w procesie logowania. | ||
5 sierpnia 2020 r. | Zaktualizowano testowanie wdrażania hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika. Zaktualizowano wymagania hosta wirtualnego , aby usunąć maksymalną liczbę hostów. | ||
16 czerwca 2020 r. | Zaktualizowano Usuwanie węzła pod kątem zmian w interfejsie interfejsu Control Hub. | ||
4 czerwca 2020 r. | Zaktualizowano Tworzenie ISO konfiguracji dla hostów HDS w celu wprowadzenia zmian w ustawieniach zaawansowanych, które można ustawić. | ||
29 maja 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami interfejsu użytkownika i innymi wyjaśnieniami. | ||
5 maja 2020 r. | Zaktualizowano wymagania hosta wirtualnego , aby pokazać nowe wymagania ESXi 6.5. | ||
21 kwietnia 2020 r. | Zaktualizowane wymagania dotyczące łączności zewnętrznej z nowymi hostami CI Americas. | ||
1 kwietnia 2020 r. | Zaktualizowane wymagania dotyczące łączności zewnętrznej z informacjami na temat regionalnych prowadzących CI. | ||
20 lutego 2020 r. | Zaktualizowano Utwórz ISO konfiguracji hostów HDS z informacjami na nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu do konfiguracji HDS. | ||
4 lutego 2020 r. | Zaktualizowano wymagania serwera proxy. | ||
16 grudnia 2019 r. | Wyjaśnione wymagania dotyczące zablokowanego zewnętrznego trybu rozdzielczości DNS do pracy w wymaganiach serwera proxy. | ||
19 listopada 2019 r. | Dodano informacje o zablokowanym zewnętrznym trybie rozpoznawania DNS w następujących sekcjach: | ||
8 listopada 2019 r. | Teraz można skonfigurować ustawienia sieciowe węzła podczas wdrażania OVA, a nie później. Zaktualizowano odpowiednio następujące sekcje:
| ||
6 września 2019 r. | Dodano SQL Server Standard do wymagań serwera bazy danych. | ||
29 sierpnia 2019 r. | Dodano Configure Squid Proxies for Hybrid Data Security appendix z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu zignorowania ruchu websocket w celu prawidłowej obsługi. | ||
20 sierpnia 2019 r. | Dodano i zaktualizowano sekcje, aby objąć obsługę proxy komunikacji węzła hybrydowego bezpieczeństwa danych z chmurą Webex. Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł pomocy Proxy Support for Hybrid Data Security i Webex Video Mesh . | ||
13 czerwca 2019 r. | Zaktualizowano próbny do przepływu zadań produkcyjnych z przypomnieniem o synchronizacji HdsTrialGroup obiekt grupowy przed rozpoczęciem próby, jeśli Twoja organizacja korzysta z synchronizacji katalogu. | ||
6 marca 2019 r. |
| ||
28 lutego 2019 r. |
| ||
26 lutego 2019 r. |
| ||
24 stycznia 2019 r. |
| ||
5 listopada 2018 r. |
| ||
19 października 2018 r. |
| ||
31 lipca 2018 r. |
| ||
21 maja 2018 r. | Zmieniona terminologia odzwierciedlająca zmianę marki Cisco Spark:
| ||
11 kwietnia 2018 r. |
| ||
22 lutego 2018 r. |
| ||
Luty 15, 2018 |
| ||
Styczeń 18, 2018 |
| ||
2 listopada 2017 r. |
| ||
18 sierpnia 2017 r. | Pierwsza publikacja |
Przegląd zabezpieczeń danych hybrydowych
Od pierwszego dnia bezpieczeństwo danych było głównym celem projektowania aplikacji Webex. Podstawą tych zabezpieczeń jest kompleksowe szyfrowanie zawartości, włączane przez klientów aplikacji Webex , którzy wchodzą w interakcję z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.
Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS w obszarze bezpieczeństwa firmy Cisco. Hybrid Data Security przenosi usługę KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie ma kluczy do zaszyfrowanej zawartości.
Architektura domeny zabezpieczeń
Architektura chmury Webex oddziela różne rodzaje usług od osobnych domen lub domen zaufania, jak przedstawiono poniżej.
Aby lepiej zrozumieć hybrydowe zabezpieczenia danych, spójrzmy najpierw na ten przypadek czystej chmury, w którym firma Cisco zapewnia wszystkie funkcje w swoich domenach w chmurze. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od domeny bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od domeny, w której ostatecznie przechowywana jest zaszyfrowana zawartość, w centrum danych C.
Na tym schemacie klient to aplikacja Webex działająca na laptopie użytkownika i uwierzytelniona za pomocą usługi tożsamości. Gdy użytkownik komponuje wiadomość do wysłania do obszaru, wykonywane są następujące czynności:
Klient ustanawia bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie prosi o klucz do szyfrowania wiadomości. Bezpieczne połączenie korzysta z ECDH, a KMS szyfruje klucz przy użyciu klucza głównego AES-256.
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła go do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniach zawartości.
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w domenie przechowywania.
Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze, które składają się na usługę Webex (w tym pamięć masowa tożsamości i zawartości), pozostają w domenach Cisco.
Współpraca z innymi organizacjami
Użytkownicy w organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników prosi o klucz do obszaru należącego do organizacji (ponieważ został on utworzony przez jednego z użytkowników), KMS wysyła klucz do klienta za pośrednictwem kanału zabezpieczonego ECDH. Jednak gdy inna organizacja jest właścicielem klucza dla obszaru, system KMS kieruje żądanie do chmury Webex przez osobny kanał ECDH, aby uzyskać klucz z odpowiedniego systemu KMS, a następnie zwraca go do użytkownika na oryginalnym kanale.
Usługa KMS działająca na Org A weryfikuje połączenia z KMSs w innych organizacjach za pomocą certyfikatów PKI x.509. Aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użytku z wdrożeniem hybrydowego zabezpieczenia danych, zobacz Prepare Your Environment (Przygotowanie środowiska).
Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych
Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klienta i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.
Aby wdrożyć hybrydowe zabezpieczenia danych, należy zapewnić:
Bezpieczne centrum danych w kraju, który jest obsługiwaną lokalizacją dla planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w punkcie Przygotowanie środowiska.
Kompletna utrata konfiguracji ISO utworzonej dla hybrydowego zabezpieczenia danych lub dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:
Zarządzanie kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.
Przygotuj się do szybkiego odzyskiwania awaryjnego w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub awaria centrum danych.
Nie ma mechanizmu przenoszenia kluczy z powrotem do chmury po wdrożeniu HDS. |
Proces konfiguracji na wysokim poziomie
Niniejszy dokument obejmuje konfigurację i zarządzanie wdrożeniem hybrydowego zabezpieczenia danych:
Skonfiguruj hybrydowe zabezpieczenia danych— obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, testowanie wdrożenia z podzbiorem użytkowników w trybie próbnym oraz, po zakończeniu testów, przejście do produkcji. Spowoduje to konwertowanie całej organizacji do używania klastra Hybrid Data Security dla funkcji zabezpieczeń.
Etapy konfiguracji, prób i produkcji zostały szczegółowo omówione w kolejnych trzech rozdziałach.
Utrzymuj wdrożenie hybrydowego zabezpieczenia danych— chmura Webex automatycznie zapewnia trwające uaktualnienia. Dział IT może zapewnić wsparcie poziomu pierwszego dla tego wdrożenia i zaangażować wsparcie Cisco w razie potrzeby. Możesz korzystać z powiadomień na ekranie i konfigurować alerty oparte na wiadomościach e-mail w Control Hub.
Zrozumienie wspólnych alertów, kroków rozwiązywania problemów i znanych problemów— w przypadku wystąpienia problemów z wdrożeniem lub użyciem hybrydowego zabezpieczenia danych ostatni rozdział niniejszego przewodnika i dodatku do Znanych problemów może pomóc w określeniu i rozwiązaniu problemu.
Hybrydowy model wdrażania zabezpieczeń danych
W centrum danych przedsiębiorstwa wdrażasz hybrydowe zabezpieczenia danych jako jeden klaster węzłów na osobnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych websocketów i bezpiecznego protokołu HTTP.
Podczas procesu instalacji dostarczamy Ci plik OVA do skonfigurowania urządzenia wirtualnego na dostarczonych maszynach wirtualnych. Narzędzie konfiguracyjne HDS służy do tworzenia niestandardowego pliku ISO konfiguracji klastra, który jest montowany w każdym węźle. Klaster Hybrid Data Security korzysta z dostarczonego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu konfiguracji HDS).
Minimalna liczba węzłów w klastrze to dwa. Zalecamy co najmniej trzy, a możesz mieć do pięciu. Posiadanie wielu węzłów zapewnia, że usługa nie zostanie przerwana podczas uaktualniania oprogramowania lub innej czynności konserwacyjnej w węźle. (Chmura Webex aktualizuje tylko jeden węzeł naraz).
Wszystkie węzły w klastrze mają dostęp do tego samego rekordu danych klucza i aktywności dziennika na tym samym serwerze dziennika systemowego. Same węzły są bezpaństwowe i obsługują żądania kluczy w sposób okrągły, zgodnie z zaleceniami chmury.
Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby usunąć pojedynczy węzeł z usługi, można go wyrejestrować, a następnie ponownie wyrejestrować w razie potrzeby.
Obsługujemy tylko jeden klaster na organizację.
Tryb próbny zabezpieczeń danych hybrydowych
Po skonfigurowaniu wdrożenia hybrydowego zabezpieczenia danych spróbuj go najpierw z zestawem użytkowników pilotażowych. W okresie próbnym użytkownicy ci wykorzystują lokalną domenę hybrydowego zabezpieczenia danych do szyfrowania kluczy i innych usług domeny zabezpieczeń. Inni użytkownicy nadal korzystają ze sfery zabezpieczeń w chmurze.
Jeśli zdecydujesz się nie kontynuować wdrażania podczas wersji próbnej i dezaktywować usługi, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi współpracowali, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zostanie wyświetlony komunikat „Nie można odszyfrować tej wiadomości” w aplikacji Webex.
Jeśli jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych i jesteś gotowy do rozszerzenia hybrydowego zabezpieczenia danych na wszystkich użytkowników, przenosisz wdrożenie do produkcji. Użytkownicy pilotażowi nadal mają dostęp do kluczy, które były używane podczas próby. Nie można jednak poruszać się w tę i z powrotem między trybem produkcji a oryginalnym testem. Jeśli musisz dezaktywować usługę, na przykład w celu przeprowadzenia odzyskiwania po awarii, po ponownej aktywacji musisz rozpocząć nową wersję próbną i skonfigurować zestaw użytkowników pilotażowych dla nowej wersji próbnej przed powrotem do trybu produkcji. To, czy użytkownicy zachowują w tym momencie dostęp do danych, zależy od tego, czy udało się zachować kopie zapasowe kluczowego magazynu danych i pliku konfiguracyjnego ISO dla węzłów hybrydowych zabezpieczeń danych w klastrze.
Standby Data Center for Disaster Recovery
Podczas wdrażania skonfigurowano bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie anulować wdrożenie do centrum danych w trybie gotowości.
Bazy danych aktywnych i standby centrów danych są ze sobą zsynchronizowane, co zminimalizuje czas potrzebny na wykonanie przełącznika awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają rejestrację węzłów w organizacji, ale nie obsługują ruchu. Stąd węzły standby data center zawsze pozostają aktualne z najnowszą wersją oprogramowania HDS.
Aktywne węzły hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych. |
Konfiguracja Standby Data Center do odzyskiwania awarii
Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:
Przed rozpoczęciem
Centrum danych w stanie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych oraz zapasową bazę danych PostgreSQL lub Microsoft SQL Server. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne (zobacz Standby Data Center for Disaster Recovery , aby zapoznać się z tym modelem failover).
Upewnij się, że synchronizacja bazy danych jest włączona między bazą danych aktywnych i pasywnych węzłów klastra.
1 | Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.
| ||
2 | Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
3 | Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwał żadnego ruchu.
| ||
4 | Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
5 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
6 | W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
7 | Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
8 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
9 | Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
Po skonfigurowaniu passiveMode
w pliku ISO i zapisanie go można utworzyć inną kopię pliku ISO bez passiveMode
konfigurację i zapisanie w bezpiecznym miejscu. Ta kopia pliku ISO bez passiveMode
skonfigurowany może pomóc w szybkim procesie awaryjnym podczas odzyskiwania po awarii. Aby zapoznać się ze szczegółową procedurą przywracania awaryjnego za pomocą Standby Data Center (Centrum danych gotowości).
Wsparcie proxy
Hybrydowe zabezpieczenia danych obsługują jednoznaczne, przejrzyste inspekcje i nieinspekcje serwerów proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby można było zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy można używać w węzłach do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.
Węzły hybrydowego zabezpieczenia danych obsługują następujące opcje serwera proxy:
Brak serwera proxy — ustawienie domyślne, jeśli w celu zintegrowania serwera proxy nie jest używane do konfiguracji węzła HDS Trust Store & Proxy. Nie jest wymagana aktualizacja certyfikatu.
Przejrzysty serwer proxy niekontrolowany — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z serwerem proxy niekontrolowanym. Nie jest wymagana aktualizacja certyfikatu.
Przejrzyste tunelowanie lub sprawdzanie serwera proxy — węzły nie są skonfigurowane do korzystania z określonego adresu serwera proxy. W węzłach nie są konieczne zmiany konfiguracji protokołu HTTP ani protokołu HTTPS. Węzły potrzebują jednak certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).
Wyraźny serwer proxy — w przypadku wyraźnego serwera proxy należy wskazać węzły HDS, których serwer proxy i schemat uwierzytelniania należy używać. Aby skonfigurować wyraźny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.
Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.
Protokół proxy— w zależności od tego, co obsługuje serwer proxy, wybierz między następującymi protokołami:
HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
HTTPS — udostępnia kanał do serwera. Klient odbiera i weryfikuje certyfikat serwera.
Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:
Brak — dalsze uwierzytelnianie nie jest wymagane.
Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.
Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.
Dostępne tylko po wybraniu protokołu HTTPS jako protokołu proxy.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Przykład węzłów hybrydowych zabezpieczeń danych i serwera proxy
Na tym wykresie przedstawiono przykładowe połączenie między hybrydowym zabezpieczeniem danych, siecią i serwerem proxy. W przypadku opcji przejrzystej inspekcji i jawnej inspekcji serwera proxy HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach hybrydowych zabezpieczeń danych.
Zablokowany zewnętrzny tryb rozpoznawania DNS (wyraźne konfiguracje serwera proxy)
Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. W przypadku wdrożeń z wyraźnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzną rozdzielczość DNS dla klientów wewnętrznych, jeśli węzeł nie może wyszukiwać serwerów DNS, automatycznie przechodzi on w tryb Zablokowanej zewnętrznej rozdzielczości DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.
Wymagania dotyczące hybrydowego bezpieczeństwa danych
Wymagania licencyjne Cisco Webex
Aby wdrożyć hybrydowe zabezpieczenia danych:
Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub (patrz https://www.cisco.com/go/pro-pack).
Docker Wymagania pulpitowe
Przed zainstalowaniem węzłów HDS potrzebny jest Docker Desktop do uruchomienia programu konfiguracji. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis w blogu platformy Docker, „ Docker aktualizuje i rozszerza subskrypcje naszych produktów ”.
Wymagania dotyczące certyfikatu X.509
Łańcuch certyfikatów musi spełniać następujące wymagania:
Wymaganie | Szczegóły |
---|---|
| Domyślnie ufamy urzędnikom na liście Mozilla (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs. |
| CN nie musi być osiągalne ani hostem na żywo. Zalecamy używanie nazwy odzwierciedlającej np. organizację, CN nie może zawierać * (wildcard). CN służy do weryfikacji węzłów hybrydowych zabezpieczeń danych dla klientów aplikacji Webex. Wszystkie węzły hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. System KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie obsługujemy zmiany nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych. |
| Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu weryfikacji połączeń z KMSs innych organizacji. |
| Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Po uruchomieniu narzędzia konfiguracji usługi HDS należy wprowadzić hasło. |
Oprogramowanie KMS nie wymusza użycia klucza ani nie nakłada dodatkowych ograniczeń w jego używaniu. Niektóre organy certyfikatów wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia użycia kluczy, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.
Wymagania dotyczące wirtualnego prowadzącego
Wirtualne hosty skonfigurowane jako węzły hybrydowego zabezpieczenia danych w klastrze mają następujące wymagania:
Co najmniej dwa osobne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych
Oprogramowanie VMware ESXi 6.5 (lub nowsze) zostało zainstalowane i uruchomione.
Jeśli masz wcześniejszą wersję ESXi, musisz ją uaktualnić.
Minimum 4 procesory vCPUs, 8-GB pamięci głównej, 30-GB lokalnego miejsca na dysk twardy na serwer
Wymagania serwera bazy danych
Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych. |
Istnieją dwie opcje dla serwera bazy danych. Wymagania dla każdego z nich są następujące:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) | Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) |
Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC kierowca 42.2.5 | SQL Server JDBC sterownik 4.6 Ta wersja sterownika obsługuje program SQL Server Always On (Always On Failover Cluster Instances oraz Always On availability groups). |
Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w usłudze Microsoft SQL Server
Jeśli chcesz, aby węzły HDS używały uwierzytelniania w systemie Windows, aby uzyskać dostęp do bazy danych keystore na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w swoim środowisku:
Węzły HDS, infrastruktura Active Directory i MS SQL Server muszą być synchronizowane z NTP.
Konto systemu Windows dla węzłów HDS musi mieć dostęp do bazy danych do odczytu/zapisu.
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozwiązać klucz centrum dystrybucji (KDC).
Wystąpienie bazy danych HDS można zarejestrować na serwerze Microsoft SQL Server jako główną nazwę usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.
Narzędzie do konfigurowania HDS, uruchamianie HDS i lokalne KMS muszą używać uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych keystore. Używają szczegółów z konfiguracji ISO do budowy SPN podczas żądania dostępu za pomocą uwierzytelniania Kerberos.
Wymagania dotyczące połączeń zewnętrznych
Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:
Aplikacja | Protokół | Port | Polecenie z aplikacji | Miejsce docelowe |
---|---|---|---|---|
Węzły hybrydowego zabezpieczenia danych | TCP | 443 | Zewnętrzne HTTPS i WSS |
|
Narzędzie do konfigurowania HDS | TCP | 443 | Zewnętrzny protokół HTTPS |
|
Węzły hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub za zaporą, o ile NAT lub zapora zezwala na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują dostępu do węzłów hybrydowych zabezpieczeń danych w portach TCP 443 i 22 do celów administracyjnych. |
Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Są to bieżące hosty CI:
Region | Wspólne adresy URL prowadzącego tożsamości |
---|---|
Ameryka |
|
Unia Europejska |
|
Kanada |
|
Wymagania serwera proxy
Oficjalnie obsługujemy następujące rozwiązania proxy, które mogą integrować się z węzłami hybrydowego zabezpieczenia danych.
Przejrzysty serwer proxy — Cisco Web Security Appliance (WSA).
Wyraźny serwer proxy — Squid.
Proxies Squid, które sprawdzają ruch HTTPS może kolidować z ustanowieniem websocket (wss:) połączeń. Aby rozwiązać ten problem, zobacz Configure Squid Proxies for Hybrid Data Security.
Obsługujemy następujące kombinacje typów uwierzytelniania dla serwerów proxy:
Brak uwierzytelniania przy użyciu protokołu HTTP lub HTTPS
Uwierzytelnianie podstawowe przy użyciu protokołu HTTP lub HTTPS
Uwierzytelnianie przy użyciu protokołu HTTPS
W przypadku przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS należy posiadać kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania zawarte w tym przewodniku informują o sposobie przesłania kopii do sklepów zaufania węzłów hybrydowych zabezpieczeń danych.
Sieć hostująca węzły HDS musi być skonfigurowana tak, aby wymuszać wychodzący ruch TCP na porcie 443 na trasę przez serwer proxy.
Serwery proxy, które kontrolują ruch sieciowy, mogą zakłócać połączenia z gniazdem internetowym. Jeśli wystąpi ten problem, omijając (nie kontrolując) ruch do
wbx2.com
orazciscospark.com
rozwiąże problem.
Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych
1 | Upewnij się, że Twoja organizacja Webex jest włączona dla pakietu Pro Pack dla Cisco Webex Control Hub i uzyskaj poświadczenia konta z pełnymi prawami administratora organizacji. Aby uzyskać pomoc w tym procesie, skontaktuj się z partnerem firmy Cisco lub menedżerem konta. | ||
2 | Wybierz nazwę domeny dla wdrożenia HDS (na przykład | ||
3 | Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły hybrydowego zabezpieczenia danych w klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych, które spełniają wymagania w Wymagania wirtualnego hosta. | ||
4 | Przygotuj serwer bazy danych, który będzie działał jako kluczowy magazyn danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być zestawiony w bezpiecznym centrum danych z wirtualnymi hostami. | ||
5 | W celu szybkiego odzyskiwania danych po awarii należy skonfigurować środowisko tworzenia kopii zapasowych w innym centrum danych. Środowisko tworzenia kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i zapasowego serwera bazy danych. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne. | ||
6 | Skonfiguruj hosta dziennika systemowego, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemowego (domyślnie jest to UDP 514). | ||
7 | Utwórz bezpieczne zasady tworzenia kopii zapasowych węzłów hybrydowych zabezpieczeń danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec niemożliwej do odzyskania utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów hybrydowych zabezpieczeń danych.
Klienci aplikacji Webex przechowują klucze w pamięci podręcznej, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się widoczna. Chociaż tymczasowe przerwy są niemożliwe do zapobieżenia, są one do odzyskania. Jednak całkowita utrata (brak kopii zapasowych) bazy danych lub pliku konfiguracyjnego ISO spowoduje niemożliwy do odzyskania dane klienta. Oczekuje się, że operatorzy węzłów hybrydowego bezpieczeństwa danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowy centrum danych hybrydowego bezpieczeństwa danych w przypadku wystąpienia katastrofalnej awarii. | ||
8 | Upewnij się, że konfiguracja zapory umożliwia dostęp do łączności w węzłach hybrydowych zabezpieczeń danych, jak opisano w Zewnętrznych wymogach dotyczących łączności. | ||
9 | Zainstaluj Docker ( https://www.docker.com) na każdej maszynie lokalnej z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080. Za pomocą wystąpienia Docker można pobrać i uruchomić narzędzie konfiguracji HDS, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów hybrydowych zabezpieczeń danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania Dotyczące Pulpitu Dockera. Aby zainstalować i uruchomić narzędzie do konfiguracji HDS, lokalna maszyna musi mieć łączność opisaną w Zewnętrznych wymaganiach dotyczących łączności. | ||
10 | Jeśli integrujesz serwer proxy z hybrydowymi zabezpieczeniami danych, upewnij się, że spełnia on wymagania serwera proxy. | ||
11 | Jeśli Twoja organizacja używa synchronizacji katalogu, utwórz grupę w usłudze Active Directory o nazwie
|
Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych
Przed rozpoczęciem
1 |
Pobierz plik OVA do lokalnego komputera, aby później go użyć. | ||
2 | Tworzenie ISO konfiguracji dla prowadzących HDS Za pomocą narzędzia konfiguracyjnego HDS można utworzyć plik konfiguracyjny ISO dla węzłów hybrydowych zabezpieczeń danych. | ||
3 |
Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe.
| ||
4 | Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych Zaloguj się na konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA. | ||
5 | Prześlij i zamontuj ISO konfiguracji HDS Skonfiguruj VM z pliku konfiguracyjnego ISO utworzonego za pomocą narzędzia do konfiguracji HDS. | ||
6 | Konfigurowanie węzła HDS dla integracji serwera proxy Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, którego użyjesz dla węzła, i w razie potrzeby dodaj certyfikat serwera proxy do sklepu zaufania. | ||
7 | Zarejestruj pierwszy węzeł w klastrze Zarejestruj maszynę wirtualną za pomocą chmury Cisco Webex jako węzeł hybrydowego zabezpieczenia danych. | ||
8 | Tworzenie i rejestrowanie większej liczby węzłów Zakończ konfigurację klastra. | ||
9 | Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział) Do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
Pobierz pliki instalacyjne
1 | Zaloguj się do https://admin.webex.com, a następnie kliknij opcję Usługi. | ||||
2 | W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych, a następnie kliknij przycisk Skonfiguruj. Jeśli karta jest wyłączona lub jej nie widzisz, skontaktuj się z zespołem ds. kont lub organizacją partnerską. Podaj im numer konta i poproś o włączenie organizacji Hybrid Data Security. Aby znaleźć numer konta, kliknij bieg w prawym górnym rogu obok nazwy organizacji.
| ||||
3 | Wybierz Nie , aby wskazać, że węzeł nie został jeszcze skonfigurowany, a następnie kliknij przycisk Dalej. Plik OVA automatycznie zaczyna się pobierać. Zapisz plik w lokalizacji na komputerze.
| ||||
4 | Opcjonalnie kliknij Open Deployment Guide (Otwórz przewodnik wdrażania), aby sprawdzić, czy dostępna jest późniejsza wersja tego przewodnika. |
Tworzenie ISO konfiguracji dla prowadzących HDS
Proces konfiguracji hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie należy użyć ISO do skonfigurowania hosta hybrydowego bezpieczeństwa danych.
Przed rozpoczęciem
Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas podnoszenia kontenera Docker w kroku 5. W tej tabeli podano kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Serwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Wygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Potrzebna jest najnowsza kopia tego pliku, gdy wprowadzasz zmiany w konfiguracji, takie jak:
Poświadczenia bazy danych
Aktualizacje certyfikatów
Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrowanie połączeń z bazą danych, skonfiguruj wdrożenie programu PostgreSQL lub SQL Server dla TLS.
1 | W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach:
W środowiskach FedRAMP:
| ||||||||||||
2 | Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:
| ||||||||||||
3 | Po wyświetleniu monitu o hasło wprowadź ten skrót:
| ||||||||||||
4 | Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach:
W środowiskach FedRAMP:
| ||||||||||||
5 | Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:
Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”. | ||||||||||||
6 |
Użyj przeglądarki internetowej, aby przejść do hosta lokalizacji, Narzędzie używa tego pierwszego wpisu nazwy użytkownika, aby ustawić odpowiednie środowisko dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie. | ||||||||||||
7 | Po wyświetleniu monitu wprowadź poświadczenia logowania administratora klienta Control Hub, a następnie kliknij przycisk Zaloguj się , aby zezwolić na dostęp do wymaganych usług Hybrid Data Security. | ||||||||||||
8 | Na stronie Przegląd narzędzia konfiguracyjnego kliknij Rozpocznij. | ||||||||||||
9 | Na stronie ISO Import dostępne są następujące opcje:
| ||||||||||||
10 | Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatów X.509.
| ||||||||||||
11 | Wprowadź adres bazy danych i konto HDS, aby uzyskać dostęp do klucza danych: | ||||||||||||
12 | Wybierz tryb połączenia z bazą danych TLS:
Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracji HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie sprawdza również osobę podpisującą certyfikat i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w połączeniach węzły HDS mogą być w stanie nawiązać połączenie TLS, nawet jeśli maszyna narzędziowa HDS Setup Tool nie jest w stanie go przetestować). | ||||||||||||
13 | Na stronie Dzienniki systemu skonfiguruj serwer Syslogd: | ||||||||||||
14 | (Opcjonalnie) W ustawieniach zaawansowanych można zmienić wartość domyślną niektórych parametrów połączenia z bazą danych. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić:
| ||||||||||||
15 | Kliknij przycisk Kontynuuj na ekranie Resetuj hasło konta usługi . Hasła konta serwisowego mają okres dziewięciu miesięcy. Użyj tego ekranu, gdy hasła zbliżają się do wygaśnięcia lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO. | ||||||||||||
16 | Kliknij opcję Pobierz plik ISO. Zapisz plik w lokalizacji, którą łatwo znaleźć. | ||||||||||||
17 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||||||||||||
18 | Aby zamknąć narzędzie Setup, wpisz: |
Co zrobić dalej
Kopia zapasowa pliku ISO konfiguracji. Musisz utworzyć więcej węzłów do odzyskiwania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Odzyskiwanie kluczy z bazy danych PostgreSQL lub Microsoft SQL Server nie jest możliwe.
Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz. |
Instalowanie OVA hosta HDS
1 | Aby zalogować się do wirtualnego hosta ESXi, użyj klienta VMware vSphere na komputerze. | ||||||
2 | Wybierz Plik > Wdrożenie szablonu OVF. | ||||||
3 | W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij Następny. | ||||||
4 | Na ekranie Wybierz nazwę i folder strona, wprowadź Nazwa maszyny wirtualnej dla węzła (na przykład „HDS_Node_1”) wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Następny. | ||||||
5 | Na ekranie Wybierz zasób obliczeniowy strona, wybierz docelowy zasób obliczeniowy, a następnie kliknij Następny. Trwa kontrola walidacji. Po jego zakończeniu pojawiają się szczegóły szablonu. | ||||||
6 | Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej. | ||||||
7 | Jeśli zostaniesz poproszony o wybranie konfiguracji zasobów na stronie Konfiguracja strona, kliknij 4 CPU a następnie kliknij Następny. | ||||||
8 | Na ekranie Wybierz miejsce strona, kliknij Następny aby zaakceptować domyślny format dysku i zasady przechowywania VM. | ||||||
9 | Na ekranie Wybierz sieci na stronie wybierz opcję sieci z listy pozycji, aby zapewnić żądaną łączność z maszyną wirtualną. | ||||||
10 | Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieci:
Jeśli jest to preferowane, można pominąć konfigurację ustawień sieci i wykonać czynności opisane w punkcie Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych w celu skonfigurowania ustawień z konsoli węzła.
| ||||||
11 | Kliknij prawym przyciskiem myszy węzeł VM, a następnie wybierz .Oprogramowanie Hybrid Data Security jest instalowane jako gość w hostu VM. Teraz możesz zalogować się na konsoli i skonfigurować węzeł. Wskazówki dotyczące rozwiązywania problemów Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzła. Podczas pierwszego uruchamiania na konsoli pojawi się komunikat zapory mostowej, podczas którego nie można się zalogować. |
Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych
Użyj tej procedury, aby po raz pierwszy zalogować się na konsoli VM węzła hybrydowego zabezpieczenia danych i ustawić poświadczenia logowania. Konsola może również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.
1 | W kliencie VMware vSphere wybierz węzeł VM Hybrid Data Security i kartę Console . Maszyna zostanie uruchomiona i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie nie jest wyświetlany, naciśnij przycisk Enter.
|
2 | Aby się zalogować i zmienić poświadczenia, należy użyć następującego domyślnego loginu i hasła: Ponieważ logujesz się do VM po raz pierwszy, musisz zmienić hasło administratora. |
3 | Jeśli ustawienia sieci zostały już skonfigurowane w Instalowaniu OVA hosta usługi HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację. |
4 | Skonfiguruj statyczną konfigurację z adresem IP, maską, bramą i informacjami DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany. |
5 | (Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne do dopasowania do zasad sieci. Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509. |
6 | Zapisz konfigurację sieci i uruchom ponownie VM, aby zmiany weszły w życie. |
Prześlij i zamontuj ISO konfiguracji HDS
Przed rozpoczęciem
Ponieważ plik ISO zawiera klucz główny, powinien on być narażony tylko na „potrzebę wiedzy”, aby uzyskać dostęp do hybrydowych maszyn wirtualnych ds. bezpieczeństwa danych i wszystkich administratorów, którzy mogą wymagać wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mogą uzyskać dostęp do bazy danych.
1 | Prześlij plik ISO z komputera: |
2 | Montaż pliku ISO: |
Co zrobić dalej
Jeśli polityka IT wymaga, możesz opcjonalnie odmontować plik ISO po tym, jak wszystkie węzły podniosą zmiany w konfiguracji. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.
Konfigurowanie węzła HDS dla integracji serwera proxy
Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z Hybrid Data Security. Po wybraniu przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS można użyć interfejsu węzła do przesłania i zainstalowania certyfikatu głównego. Możesz również sprawdzić połączenie serwera proxy z poziomu interfejsu i rozwiązać ewentualne problemy.
Przed rozpoczęciem
Aby zapoznać się z opcjami obsługiwanego serwera proxy, zobacz Obsługa serwera proxy.
1 | Wprowadź adres URL konfiguracji węzła HDS |
2 | Przejdź do sklepu Trust Store & Proxy, a następnie wybierz opcję:
Postępuj zgodnie z kolejnymi krokami w celu przejrzystego kontrolowania serwera proxy, bezpośredniego serwera proxy HTTP z uwierzytelnianiem podstawowym lub bezpośredniego serwera proxy HTTPS. |
3 | Kliknij opcję Prześlij certyfikat główny lub certyfikat jednostki końcowej, a następnie przejdź do opcji Wybierz certyfikat główny serwera proxy. Certyfikat jest przesyłany, ale jeszcze nie został zainstalowany, ponieważ aby zainstalować certyfikat, należy ponownie uruchomić węzeł. Aby uzyskać więcej szczegółów, kliknij strzałkę chevron po nazwie emitenta certyfikatu lub kliknij opcję Usuń, jeśli popełniłeś błąd i chcesz ponownie przesłać plik. |
4 | Kliknij Check Proxy Connection (Sprawdź połączenie proxy), aby sprawdzić połączenie sieciowe między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, pojawi się komunikat o błędzie przedstawiający przyczynę i sposób naprawienia problemu. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS. Warunek ten jest oczekiwany w wielu wyraźnych konfiguracjach serwera proxy. Możesz kontynuować konfigurację, a węzeł będzie działał w trybie Zablokowanej Zewnętrznej Rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj poniższe czynności, a następnie zobacz Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS. |
5 | Po przejściu testu połączenia, w przypadku wyraźnego serwera proxy ustawionego tylko na https, włącz przełącznik do Trasowania wszystkich żądań portu 443/444 https z tego węzła za pomocą wyraźnego serwera proxy. To ustawienie wymaga 15 sekund działania. |
6 | Kliknij Instaluj Wszystkie Certyfikaty W Sklepie Zaufania (pojawi się dla wyraźnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawi się dla wyraźnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij opcję Instaluj , jeśli jesteś gotowy. Węzeł zostanie uruchomiony ponownie w ciągu kilku minut. |
7 | Po ponownym uruchomieniu węzła zaloguj się ponownie w razie potrzeby, a następnie otwórz stronę Przegląd , aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie mają zielony status. Kontrola połączenia z serwerem proxy sprawdza tylko poddomenę webex.com. Jeśli występują problemy z łącznością, powszechnym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy. |
Zarejestruj pierwszy węzeł w klastrze
Po zarejestrowaniu pierwszego węzła utwórz klaster, do którego jest przypisany węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia zwolnień.
Przed rozpoczęciem
Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.
1 | Zaloguj się w https://admin.webex.com. |
2 | W menu po lewej stronie ekranu wybierz opcję Usługi. |
3 | W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij przycisk Skonfiguruj. Zostanie wyświetlona strona węzła Zarejestruj hybrydowe zabezpieczenia danych.
|
4 | Wybierz Tak, aby wskazać, że węzeł został skonfigurowany i chcesz go zarejestrować, a następnie kliknij przycisk Dalej. |
5 | W pierwszym polu wprowadź nazwę klastra, do którego chcesz przypisać węzeł hybrydowego zabezpieczenia danych. Zalecamy nazwanie klastra na podstawie lokalizacji węzłów klastra. Przykłady: "San Francisco", "Nowy Jork" czy "Dallas" |
6 | W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej. Ten adres IP lub nazwa FQDN powinny być zgodne z adresem IP lub nazwą hosta i domeną używaną podczas konfigurowania hybrydowej maszyny wirtualnej ds. bezpieczeństwa danych. Pojawi się komunikat informujący, że można zarejestrować węzeł w usłudze Webex.
|
7 | Kliknij przycisk Przejdź do węzła. |
8 | Kliknij przycisk Kontynuuj w komunikacie ostrzegawczym. Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji Webex, aby uzyskać dostęp do węzła.
|
9 | Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
|
10 | Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub. Na stronie Hybrid Data Security jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.
|
Tworzenie i rejestrowanie większej liczby węzłów
W tym czasie zapasowe maszyny wirtualne utworzone w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych są hostami gotowymi, które są używane tylko w przypadku odzyskiwania po awarii; do tego czasu nie są rejestrowane w systemie. Aby uzyskać szczegółowe informacje, patrz Przywracanie systemu po awarii za pomocą Standby Data Center. |
Przed rozpoczęciem
Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.
1 | Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Instalacji OVA hosta HDS. |
2 | Skonfiguruj konfigurację początkową na nowej maszynie wirtualnej, powtarzając kroki w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych. |
3 | W nowej maszynie wirtualnej wykonaj ponownie czynności opisane w polu Prześlij i zamontuj ISO konfiguracji HDS. |
4 | Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w Konfigurowaniu węzła HDS dla integracji serwera proxy zgodnie z potrzebami nowego węzła. |
5 | Zarejestruj węzeł. Twój węzeł jest zarejestrowany. Należy pamiętać, że do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie jest jeszcze aktywowana.
|
Co zrobić dalej
Przepływ próby do zadania produkcyjnego
Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.
Przed rozpoczęciem
1 | Jeśli dotyczy, zsynchronizuj Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać |
2 |
Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
3 | Przetestuj wdrożenie hybrydowego zabezpieczenia danych Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych. |
4 | Monitorowanie stanu hybrydowego bezpieczeństwa danych Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów. |
5 | |
6 | Zakończ fazę próbną, wykonując jedną z następujących czynności: |
Aktywuj wersję próbną
Przed rozpoczęciem
Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup
obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby dla organizacji. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.
1 | Zaloguj się do https://admin.webex.com, a następnie wybierz opcję Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną. Stan usługi zmienia się w tryb próbny.
|
4 | Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług. (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, |
Przetestuj wdrożenie hybrydowego zabezpieczenia danych
Przed rozpoczęciem
Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.
Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.
1 | Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.
| ||
2 | Wysyłaj wiadomości do nowego obszaru. | ||
3 | Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych. |
Monitorowanie stanu hybrydowego bezpieczeństwa danych
1 | W Control Hub wybierz Usługi z menu po lewej stronie ekranu. |
2 | W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij Ustawienia. Zostanie wyświetlona strona Ustawienia zabezpieczeń danych hybrydowych.
|
3 | W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij przycisk Enter. |
Dodawanie lub usuwanie użytkowników z wersji próbnej
Jeśli usuniesz użytkownika z wersji próbnej, klient poprosi go o utworzenie kluczy i klawiszy z chmury KMS zamiast Twojego KMS. Jeśli klient potrzebuje klucza przechowywanego w KMS, Cloud KMS pobierze go w imieniu użytkownika.
Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory (zamiast tej procedury) do zarządzania grupą próbną, HdsTrialGroup
; można wyświetlać członków grupy w Control Hub, ale nie można ich dodawać ani usuwać.
1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Tryby wersji próbnej w obszarze Stan usługi kliknij przycisk Dodaj użytkowników lub kliknij widok i edytuj , aby usunąć użytkowników z wersji próbnej. |
4 | Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania lub kliknij przycisk X identyfikatorem użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij Zapisz . |
Przeniesienie z wersji próbnej do produkcji
1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Stan usługi kliknij opcję Przenieś do produkcji. |
4 | Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji. |
Zakończ wersję próbną bez przejścia do produkcji
1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Dezaktywuj kliknij przycisk Dezaktywuj. |
4 | Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny. |
Zarządzanie wdrożeniem HDS
Użyj opisanych tutaj zadań do zarządzania wdrożeniem hybrydowego zabezpieczenia danych.
Ustaw harmonogram uaktualniania klastra
Aby ustawić harmonogram uaktualniania:
1 | Zaloguj się do Centrum sterowania . |
2 | Na stronie Przegląd w obszarze Usługi hybrydowe wybierz opcję Hybrid Data Security. |
3 | Na stronie Zasoby zabezpieczeń danych hybrydowych wybierz klaster. |
4 | W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra. |
5 | Na stronie Ustawienia w obszarze Uaktualnianie wybierz godzinę i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest następna dostępna data i godzina aktualizacji. W razie potrzeby można odroczyć uaktualnienie do następnego dnia, klikając opcję Odłóż. |
Zmień konfigurację węzła
Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.
Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do zarejestrowania klastra.
Aktualizowanie ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.
Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.
Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.
Ponadto, ze względów bezpieczeństwa, Hybrid Data Security używa haseł do kont usługi o dziewięciomiesięcznym okresie ważności. Gdy narzędzie konfiguracji HDS wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO . Gdy hasła organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex , aby zresetować hasło do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj API konta komputera, aby zaktualizować hasło”). Jeśli hasła jeszcze nie wygasły, narzędzie udostępnia dwie opcje:
Miękki reset — Stare i nowe hasło działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
Twardy reset — Stare hasła natychmiast przestają działać.
Jeśli hasła wygasną bez zresetowania, będzie to miało wpływ na usługę HDS i wymaga natychmiastowego twardego resetu i zastąpienia pliku ISO we wszystkich węzłach.
Ta procedura służy do generowania nowego konfiguracyjnego pliku ISO i zastosowania go do klastra.
Przed rozpoczęciem
Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas przywoływania kontenera Docker w 1.e. W tej tabeli podano kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Serwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO . ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.
1 | Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie konfiguracji HDS. |
2 | Jeśli uruchomiony jest tylko jeden węzeł HDS , utwórz nową maszynę VM węzła Hybrid Data Security i zarejestruj ją przy użyciu nowego konfiguracyjnego pliku ISO . Aby uzyskać bardziej szczegółowe instrukcje, zobacz temat Tworzenie i rejestrowanie większej liczby węzłów. |
3 | W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO . Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła: |
4 | Powtórz krok 3, aby zastąpić konfigurację w każdym pozostałym węźle, na którym działa stara konfiguracja. |
Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS
Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznawać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb Zablokowanej zewnętrznej rozdzielczości DNS.
Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, uruchamiając ponownie test połączenia serwera proxy w każdym węźle.
Przed rozpoczęciem
1 | W przeglądarce internetowej otwórz interfejs węzła hybrydowego zabezpieczenia danych (adres IP/konfiguracja, na przykład https://192.0.2.0/setup), wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się. |
2 | Przejdź do Przegląd (strona domyślna). Po włączeniu Rozpoznawanie zablokowanego zewnętrznego DNS jest ustawiony na Tak . |
3 | Przejdź do strony Trust Store & Proxy. |
4 | Kliknij przycisk Sprawdź połączenie z serwerem proxy. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS i pozostanie w tym trybie. W przeciwnym razie po ponownym uruchomieniu węzła i powrocie na stronę Przegląd zablokowana zewnętrzna rozdzielczość DNS powinna być ustawiona na nr. |
Co zrobić dalej
Usuń węzeł
1 | Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi i wyłączyć maszynę wirtualną. |
2 | Usuń węzeł: |
3 | W kliencie vSphere usuń maszynę wirtualną (w lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij polecenie Usuń). Jeśli nie usuniesz VM, pamiętaj o usunięciu pliku ISO konfiguracji. Bez pliku ISO nie można użyć maszyny wirtualnej, aby uzyskać dostęp do danych bezpieczeństwa. |
Odzyskiwanie po awarii za pomocą Standby Data Center
Najbardziej krytyczną usługą oferowaną przez klaster Hybrid Data Security jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji przypisanego do hybrydowego zabezpieczenia danych nowe żądania tworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za przywrócenie kluczy, które został utworzony do wszystkich użytkowników upoważnionych do ich odzyskania, na przykład członków obszaru konwersacji.
Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby utrzymywały się odpowiednie kopie zapasowe. Utrata bazy danych hybrydowych zabezpieczeń danych lub układu ISO konfiguracji stosowanego dla schematu spowoduje NIEZBĘDNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, konieczne są następujące praktyki:
Jeśli awaria spowoduje, że wdrożenie HDS w głównym centrum danych stanie się niedostępne, postępuj zgodnie z tą procedurą, aby ręcznie przełączyć się na standby centrum danych.
1 | Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts. | ||
2 | Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
3 | Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń
| ||
4 | Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
5 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
6 | W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
7 | Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
8 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
9 | Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
(Opcjonalnie) Odmontować ISO Po Konfiguracji HDS
Standardowa konfiguracja HDS działa z zamontowanym ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale zamontowanych. Plik ISO można odmontować po odebraniu nowej konfiguracji przez wszystkie węzły HDS.
Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego ISO lub aktualizacji ISO za pomocą narzędzia konfiguracyjnego należy zamontować zaktualizowany ISO na wszystkich węzłach HDS. Po odebraniu zmian konfiguracji przez wszystkie węzły można ponownie rozmontować ISO za pomocą tej procedury.
Przed rozpoczęciem
Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.
1 | Zamknij jeden z węzłów HDS. |
2 | W urządzeniu VCenter Server Appliance wybierz węzeł HDS. |
3 | Wybierz pliku Datastore ISO. i usuń zaznaczenie |
4 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut. |
5 | Powtórz kolejno dla każdego węzła HDS. |
Wyświetlanie alertów i rozwiązywania problemów
Wdrożenie hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że wymaga przekroczenia czasu. Jeśli użytkownicy nie mogą skontaktować się z klastrem hybrydowego zabezpieczenia danych, mogą wystąpić następujące objawy:
Nie można utworzyć nowych obszarów (nie można utworzyć nowych kluczy)
Wiadomości i tytuły przestrzeni nie można odszyfrować dla:
Dodano nowych użytkowników do obszaru (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze będą z powodzeniem działać tak długo, jak ich klienci będą mieli pamięć podręczną kluczy szyfrowania
Ważne jest, aby odpowiednio monitorować klaster hybrydowego zabezpieczenia danych i szybko zwracać się do wszystkich alertów, aby uniknąć zakłóceń w obsłudze.
Alerty
Jeśli występuje problem z konfiguracją hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.
Alert | Czynność |
---|---|
Niepowodzenie dostępu do lokalnej bazy danych. |
Sprawdź, czy występują błędy w bazie danych lub problemy z siecią lokalną. |
Niepowodzenie połączenia z lokalną bazą danych. |
Sprawdź, czy serwer bazy danych jest dostępny, a w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi. |
Niepowodzenie dostępu do usługi w chmurze. |
Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z wymaganiami Zewnętrznej łączności. |
Odnowienie rejestracji usług w chmurze. |
Zrezygnowano z rejestracji na usługi w chmurze. Trwa przedłużenie rejestracji. |
Rejestracja usług w chmurze została odrzucona. |
Rejestracja na usługi w chmurze została zakończona. Usługa jest wyłączona. |
Usługa jeszcze nie została aktywowana. |
Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do produkcji. |
Skonfigurowana domena nie odpowiada certyfikatowi serwera. |
Upewnij się, że certyfikat serwera jest zgodny z skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że certyfikat CN został ostatnio zmieniony i jest teraz inny niż CN, który był używany podczas początkowej konfiguracji. |
Nie można uwierzytelnić usług w chmurze. |
Kontrola poprawności i ewentualnego wygaśnięcia poświadczeń konta usługi. |
Nie można otworzyć lokalnego pliku keystore. |
Sprawdź integralność i dokładność hasła w lokalnym pliku keystore. |
Certyfikat lokalnego serwera jest nieprawidłowy. |
Sprawdź datę ważności certyfikatu serwera i potwierdź, że został on wydany przez zaufany urząd certyfikacji. |
Nie można publikować metryk. |
Sprawdź dostęp sieci lokalnej do zewnętrznych usług w chmurze. |
/media/configdrive/hds katalog nie istnieje. |
Sprawdź konfigurację montażu ISO na wirtualnym hostze. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu na ponownym uruchomieniu i czy został pomyślnie zainstalowany. |
Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych
1 | Przejrzyj Control Hub dla wszystkich alertów i naprawić wszystkie znalezione tam elementy. |
2 | Przejrzyj wyjście serwera dziennika systemowego pod kątem aktywności z wdrożenia hybrydowego zabezpieczenia danych. |
3 | Skontaktuj się z pomocą techniczną Cisco. |
Znane problemy dotyczące hybrydowych zabezpieczeń danych
Jeśli zamkniesz klaster hybrydowego zabezpieczenia danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych keystore, użytkownicy aplikacji Webex nie będą mogli już korzystać ze spacji na liście Osoby utworzonej za pomocą kluczy z KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia ani rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłudze aktywnych kont użytkowników.
Klient z istniejącym połączeniem ECDH z KMS utrzymuje to połączenie przez pewien czas (prawdopodobnie godzinę). Gdy użytkownik staje się członkiem próby hybrydowego zabezpieczenia danych, klient użytkownika nadal korzysta z istniejącego połączenia ECDH do czasu jego wyłączenia. Alternatywnie, użytkownik może wylogować się i wrócić do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w przypadku kluczy szyfrowania.
To samo zachowanie występuje podczas przenoszenia próby do produkcji dla organizacji. Wszyscy użytkownicy spoza wersji próbnej posiadający istniejące połączenia ECDH z poprzednimi służbami bezpieczeństwa danych będą nadal korzystać z tych usług do czasu renegocjacji połączenia ECDH (poprzez limit czasu lub poprzez wylogowanie i powrót).
Użyj protokołu OpenSSL, aby wygenerować plik PKCS12
Przed rozpoczęciem
OpenSSL jest jednym z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do ładowania w narzędziu konfiguracji HDS. Istnieją inne sposoby, aby to zrobić, i nie popieramy ani nie promujemy jednej drogi nad drugą.
Jeśli zdecydujesz się korzystać z OpenSSL, zapewniamy tę procedurę jako wytyczną, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatów X.509. Zrozum te wymagania, zanim przejdziesz dalej.
Zainstaluj OpenSSL w obsługiwanym środowisku. Patrz https://www.openssl.org oprogramowanie i dokumentacja.
Utwórz klucz prywatny.
Procedurę tę należy rozpocząć po otrzymaniu certyfikatu serwera od urzędu certyfikacji.
1 | Po otrzymaniu certyfikatu serwera z urzędu certyfikacji zapisz go jako |
2 | Wyświetl certyfikat jako tekst i zweryfikuj szczegóły.
|
3 | Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie
|
4 | Utwórz plik .p12 o przyjaznej nazwie
|
5 | Sprawdź szczegóły certyfikatu serwera. |
Co zrobić dalej
Powróć, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych. Korzystasz z hdsnode.p12
plik i ustawione dla niego hasło w Utwórz ISO konfiguracji dla prowadzących HDS.
Możesz ponownie użyć tych plików, aby poprosić o nowy certyfikat po wygaśnięciu oryginalnego certyfikatu. |
Ruch między węzłami HDS a chmurą
Ruch zbierania metryk wychodzących
Węzły hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dla maks. stosu, stosowanego stosu, obciążenia procesora i liczenia wątków; metryki na wątkach synchronicznych i asynchronicznych; metryki na alertach obejmujące próg połączeń szyfrowania, opóźnienie lub długość kolejki żądań; metryki na zbiorniku danych; oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał poza pasmem (oddzielony od żądania).
Ruch przychodzący
Węzły hybrydowego zabezpieczenia danych otrzymują następujące typy ruchu przychodzącego z chmury Webex:
Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania
Aktualizacja do oprogramowania węzła
Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych
Websocket Nie Można Połączyć Za Pomocą Proxy Squid
Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS, mogą ingerować w tworzenie websocket ( wss:
) połączenia, których wymaga Hybrid Data Security. Sekcje te zawierają wskazówki dotyczące konfigurowania różnych wersji Squid do ignorowania wss:
ruch w celu prawidłowego funkcjonowania usług.
Squid 4 i 5
Dodaj on_unsupported_protocol
dyrektywa do squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Z powodzeniem przetestowaliśmy hybrydowe zabezpieczenia danych, dodając następujące zasady squid.conf
. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizacji chmury Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nowe i zmienione informacje
Data | Zmiany | ||
---|---|---|---|
20 października 2023 r. |
| ||
07 sierpnia 2023 r. |
| ||
23 maja 2023 r. |
| ||
06 grudnia 2022 r. |
| ||
23 listopada 2022 r. |
| ||
13 października 2021 r. | Docker Desktop musi uruchomić program konfiguracji przed zainstalowaniem węzłów HDS. Zobacz Wymagania Dotyczące Pulpitu Docker. | ||
24 czerwca 2021 r. | Pamiętaj, że możesz ponownie użyć pliku klucza prywatnego i CSR, aby poprosić o inny certyfikat. Aby uzyskać szczegółowe informacje, zobacz Użyj OpenSSL, aby wygenerować plik PKCS12. | ||
30 kwietnia 2021 r. | Zmieniono wymaganie VM dla lokalnego miejsca na dysku twardym na 30 GB. Szczegółowe informacje można znaleźć w sekcji Wymagania wirtualnego prowadzącego. | ||
24 lutego 2021 r. | Narzędzie konfiguracji usługi HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie ISO konfiguracji hostów HDS. | ||
2 lutego 2021 r. | HDS może teraz działać bez zamontowanego pliku ISO. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS. | ||
11 stycznia 2021 r. | Dodano informacje o narzędziu do konfiguracji HDS i pełnomocnikach, aby utworzyć ISO konfiguracji dla prowadzących HDS. | ||
13 października 2020 r. | Zaktualizowano Pobierz pliki instalacyjne. | ||
8 października 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP. | ||
14 sierpnia 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła ze zmianami w procesie logowania. | ||
5 sierpnia 2020 r. | Zaktualizowano testowanie wdrażania hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika. Zaktualizowano wymagania hosta wirtualnego , aby usunąć maksymalną liczbę hostów. | ||
16 czerwca 2020 r. | Zaktualizowano Usuwanie węzła pod kątem zmian w interfejsie interfejsu Control Hub. | ||
4 czerwca 2020 r. | Zaktualizowano Tworzenie ISO konfiguracji dla hostów HDS w celu wprowadzenia zmian w ustawieniach zaawansowanych, które można ustawić. | ||
29 maja 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami interfejsu użytkownika i innymi wyjaśnieniami. | ||
5 maja 2020 r. | Zaktualizowano wymagania hosta wirtualnego , aby pokazać nowe wymagania ESXi 6.5. | ||
21 kwietnia 2020 r. | Zaktualizowane wymagania dotyczące łączności zewnętrznej z nowymi hostami CI Americas. | ||
1 kwietnia 2020 r. | Zaktualizowane wymagania dotyczące łączności zewnętrznej z informacjami na temat regionalnych prowadzących CI. | ||
20 lutego 2020 r. | Zaktualizowano Utwórz ISO konfiguracji hostów HDS z informacjami na nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu do konfiguracji HDS. | ||
4 lutego 2020 r. | Zaktualizowano wymagania serwera proxy. | ||
16 grudnia 2019 r. | Wyjaśnione wymagania dotyczące zablokowanego zewnętrznego trybu rozdzielczości DNS do pracy w wymaganiach serwera proxy. | ||
19 listopada 2019 r. | Dodano informacje o zablokowanym zewnętrznym trybie rozpoznawania DNS w następujących sekcjach: | ||
8 listopada 2019 r. | Teraz można skonfigurować ustawienia sieciowe węzła podczas wdrażania OVA, a nie później. Zaktualizowano odpowiednio następujące sekcje:
| ||
6 września 2019 r. | Dodano SQL Server Standard do wymagań serwera bazy danych. | ||
29 sierpnia 2019 r. | Dodano Configure Squid Proxies for Hybrid Data Security appendix z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu zignorowania ruchu websocket w celu prawidłowej obsługi. | ||
20 sierpnia 2019 r. | Dodano i zaktualizowano sekcje, aby objąć obsługę proxy komunikacji węzła hybrydowego bezpieczeństwa danych z chmurą Webex. Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł pomocy Proxy Support for Hybrid Data Security i Webex Video Mesh . | ||
13 czerwca 2019 r. | Zaktualizowano próbny do przepływu zadań produkcyjnych z przypomnieniem o synchronizacji HdsTrialGroup obiekt grupowy przed rozpoczęciem próby, jeśli Twoja organizacja korzysta z synchronizacji katalogu. | ||
6 marca 2019 r. |
| ||
28 lutego 2019 r. |
| ||
26 lutego 2019 r. |
| ||
24 stycznia 2019 r. |
| ||
5 listopada 2018 r. |
| ||
19 października 2018 r. |
| ||
31 lipca 2018 r. |
| ||
21 maja 2018 r. | Zmieniona terminologia odzwierciedlająca zmianę marki Cisco Spark:
| ||
11 kwietnia 2018 r. |
| ||
22 lutego 2018 r. |
| ||
Luty 15, 2018 |
| ||
Styczeń 18, 2018 |
| ||
2 listopada 2017 r. |
| ||
18 sierpnia 2017 r. | Pierwsza publikacja |
Przegląd zabezpieczeń danych hybrydowych
Od pierwszego dnia bezpieczeństwo danych było głównym celem projektowania aplikacji Webex. Podstawą tych zabezpieczeń jest kompleksowe szyfrowanie zawartości, włączane przez klientów aplikacji Webex , którzy wchodzą w interakcję z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.
Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS w obszarze bezpieczeństwa firmy Cisco. Hybrid Data Security przenosi usługę KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie ma kluczy do zaszyfrowanej zawartości.
Architektura domeny zabezpieczeń
Architektura chmury Webex oddziela różne rodzaje usług od osobnych domen lub domen zaufania, jak przedstawiono poniżej.
Aby lepiej zrozumieć hybrydowe zabezpieczenia danych, spójrzmy najpierw na ten przypadek czystej chmury, w którym firma Cisco zapewnia wszystkie funkcje w swoich domenach w chmurze. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od domeny bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od domeny, w której ostatecznie przechowywana jest zaszyfrowana zawartość, w centrum danych C.
Na tym schemacie klient to aplikacja Webex działająca na laptopie użytkownika i uwierzytelniona za pomocą usługi tożsamości. Gdy użytkownik komponuje wiadomość do wysłania do obszaru, wykonywane są następujące czynności:
Klient ustanawia bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie prosi o klucz do szyfrowania wiadomości. Bezpieczne połączenie korzysta z ECDH, a KMS szyfruje klucz przy użyciu klucza głównego AES-256.
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła go do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniach zawartości.
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w domenie przechowywania.
Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze, które składają się na usługę Webex (w tym pamięć masowa tożsamości i zawartości), pozostają w domenach Cisco.
Współpraca z innymi organizacjami
Użytkownicy w organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników prosi o klucz do obszaru należącego do organizacji (ponieważ został on utworzony przez jednego z użytkowników), KMS wysyła klucz do klienta za pośrednictwem kanału zabezpieczonego ECDH. Jednak gdy inna organizacja jest właścicielem klucza dla obszaru, system KMS kieruje żądanie do chmury Webex przez osobny kanał ECDH, aby uzyskać klucz z odpowiedniego systemu KMS, a następnie zwraca go do użytkownika na oryginalnym kanale.
Usługa KMS działająca na Org A weryfikuje połączenia z KMSs w innych organizacjach za pomocą certyfikatów PKI x.509. Aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użytku z wdrożeniem hybrydowego zabezpieczenia danych, zobacz Prepare Your Environment (Przygotowanie środowiska).
Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych
Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klienta i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.
Aby wdrożyć hybrydowe zabezpieczenia danych, należy zapewnić:
Bezpieczne centrum danych w kraju, który jest obsługiwaną lokalizacją dla planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w punkcie Przygotowanie środowiska.
Kompletna utrata konfiguracji ISO utworzonej dla hybrydowego zabezpieczenia danych lub dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:
Zarządzanie kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.
Przygotuj się do szybkiego odzyskiwania awaryjnego w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub awaria centrum danych.
Nie ma mechanizmu przenoszenia kluczy z powrotem do chmury po wdrożeniu HDS. |
Proces konfiguracji na wysokim poziomie
Niniejszy dokument obejmuje konfigurację i zarządzanie wdrożeniem hybrydowego zabezpieczenia danych:
Skonfiguruj hybrydowe zabezpieczenia danych— obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, testowanie wdrożenia z podzbiorem użytkowników w trybie próbnym oraz, po zakończeniu testów, przejście do produkcji. Spowoduje to konwertowanie całej organizacji do używania klastra Hybrid Data Security dla funkcji zabezpieczeń.
Etapy konfiguracji, prób i produkcji zostały szczegółowo omówione w kolejnych trzech rozdziałach.
Utrzymuj wdrożenie hybrydowego zabezpieczenia danych— chmura Webex automatycznie zapewnia trwające uaktualnienia. Dział IT może zapewnić wsparcie poziomu pierwszego dla tego wdrożenia i zaangażować wsparcie Cisco w razie potrzeby. Możesz korzystać z powiadomień na ekranie i konfigurować alerty oparte na wiadomościach e-mail w Control Hub.
Zrozumienie wspólnych alertów, kroków rozwiązywania problemów i znanych problemów— w przypadku wystąpienia problemów z wdrożeniem lub użyciem hybrydowego zabezpieczenia danych ostatni rozdział niniejszego przewodnika i dodatku do Znanych problemów może pomóc w określeniu i rozwiązaniu problemu.
Hybrydowy model wdrażania zabezpieczeń danych
W centrum danych przedsiębiorstwa wdrażasz hybrydowe zabezpieczenia danych jako jeden klaster węzłów na osobnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych websocketów i bezpiecznego protokołu HTTP.
Podczas procesu instalacji dostarczamy Ci plik OVA do skonfigurowania urządzenia wirtualnego na dostarczonych maszynach wirtualnych. Narzędzie konfiguracyjne HDS służy do tworzenia niestandardowego pliku ISO konfiguracji klastra, który jest montowany w każdym węźle. Klaster Hybrid Data Security korzysta z dostarczonego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu konfiguracji HDS).
Minimalna liczba węzłów w klastrze to dwa. Zalecamy co najmniej trzy, a możesz mieć do pięciu. Posiadanie wielu węzłów zapewnia, że usługa nie zostanie przerwana podczas uaktualniania oprogramowania lub innej czynności konserwacyjnej w węźle. (Chmura Webex aktualizuje tylko jeden węzeł naraz).
Wszystkie węzły w klastrze mają dostęp do tego samego rekordu danych klucza i aktywności dziennika na tym samym serwerze dziennika systemowego. Same węzły są bezpaństwowe i obsługują żądania kluczy w sposób okrągły, zgodnie z zaleceniami chmury.
Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby usunąć pojedynczy węzeł z usługi, można go wyrejestrować, a następnie ponownie wyrejestrować w razie potrzeby.
Obsługujemy tylko jeden klaster na organizację.
Tryb próbny zabezpieczeń danych hybrydowych
Po skonfigurowaniu wdrożenia hybrydowego zabezpieczenia danych spróbuj go najpierw z zestawem użytkowników pilotażowych. W okresie próbnym użytkownicy ci wykorzystują lokalną domenę hybrydowego zabezpieczenia danych do szyfrowania kluczy i innych usług domeny zabezpieczeń. Inni użytkownicy nadal korzystają ze sfery zabezpieczeń w chmurze.
Jeśli zdecydujesz się nie kontynuować wdrażania podczas wersji próbnej i dezaktywować usługi, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi współpracowali, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zostanie wyświetlony komunikat „Nie można odszyfrować tej wiadomości” w aplikacji Webex.
Jeśli jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych i jesteś gotowy do rozszerzenia hybrydowego zabezpieczenia danych na wszystkich użytkowników, przenosisz wdrożenie do produkcji. Użytkownicy pilotażowi nadal mają dostęp do kluczy, które były używane podczas próby. Nie można jednak poruszać się w tę i z powrotem między trybem produkcji a oryginalnym testem. Jeśli musisz dezaktywować usługę, na przykład w celu przeprowadzenia odzyskiwania po awarii, po ponownej aktywacji musisz rozpocząć nową wersję próbną i skonfigurować zestaw użytkowników pilotażowych dla nowej wersji próbnej przed powrotem do trybu produkcji. To, czy użytkownicy zachowują w tym momencie dostęp do danych, zależy od tego, czy udało się zachować kopie zapasowe kluczowego magazynu danych i pliku konfiguracyjnego ISO dla węzłów hybrydowych zabezpieczeń danych w klastrze.
Standby Data Center for Disaster Recovery
Podczas wdrażania skonfigurowano bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie anulować wdrożenie do centrum danych w trybie gotowości.
Bazy danych aktywnych i standby centrów danych są ze sobą zsynchronizowane, co zminimalizuje czas potrzebny na wykonanie przełącznika awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają rejestrację węzłów w organizacji, ale nie obsługują ruchu. Stąd węzły standby data center zawsze pozostają aktualne z najnowszą wersją oprogramowania HDS.
Aktywne węzły hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych. |
Konfiguracja Standby Data Center do odzyskiwania awarii
Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:
Przed rozpoczęciem
Centrum danych w stanie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych oraz zapasową bazę danych PostgreSQL lub Microsoft SQL Server. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne (zobacz Standby Data Center for Disaster Recovery , aby zapoznać się z tym modelem failover).
Upewnij się, że synchronizacja bazy danych jest włączona między bazą danych aktywnych i pasywnych węzłów klastra.
1 | Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.
| ||
2 | Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
3 | Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwał żadnego ruchu.
| ||
4 | Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
5 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
6 | W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
7 | Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
8 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
9 | Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
Po skonfigurowaniu passiveMode
w pliku ISO i zapisanie go można utworzyć inną kopię pliku ISO bez passiveMode
konfigurację i zapisanie w bezpiecznym miejscu. Ta kopia pliku ISO bez passiveMode
skonfigurowany może pomóc w szybkim procesie awaryjnym podczas odzyskiwania po awarii. Aby zapoznać się ze szczegółową procedurą przywracania awaryjnego za pomocą Standby Data Center (Centrum danych gotowości).
Wsparcie proxy
Hybrydowe zabezpieczenia danych obsługują jednoznaczne, przejrzyste inspekcje i nieinspekcje serwerów proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby można było zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy można używać w węzłach do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.
Węzły hybrydowego zabezpieczenia danych obsługują następujące opcje serwera proxy:
Brak serwera proxy — ustawienie domyślne, jeśli w celu zintegrowania serwera proxy nie jest używane do konfiguracji węzła HDS Trust Store & Proxy. Nie jest wymagana aktualizacja certyfikatu.
Przejrzysty serwer proxy niekontrolowany — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z serwerem proxy niekontrolowanym. Nie jest wymagana aktualizacja certyfikatu.
Przejrzyste tunelowanie lub sprawdzanie serwera proxy — węzły nie są skonfigurowane do korzystania z określonego adresu serwera proxy. W węzłach nie są konieczne zmiany konfiguracji protokołu HTTP ani protokołu HTTPS. Węzły potrzebują jednak certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).
Wyraźny serwer proxy — w przypadku wyraźnego serwera proxy należy wskazać węzły HDS, których serwer proxy i schemat uwierzytelniania należy używać. Aby skonfigurować wyraźny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.
Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.
Protokół proxy— w zależności od tego, co obsługuje serwer proxy, wybierz między następującymi protokołami:
HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
HTTPS — udostępnia kanał do serwera. Klient odbiera i weryfikuje certyfikat serwera.
Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:
Brak — dalsze uwierzytelnianie nie jest wymagane.
Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.
Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.
Dostępne tylko po wybraniu protokołu HTTPS jako protokołu proxy.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Przykład węzłów hybrydowych zabezpieczeń danych i serwera proxy
Na tym wykresie przedstawiono przykładowe połączenie między hybrydowym zabezpieczeniem danych, siecią i serwerem proxy. W przypadku opcji przejrzystej inspekcji i jawnej inspekcji serwera proxy HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach hybrydowych zabezpieczeń danych.
Zablokowany zewnętrzny tryb rozpoznawania DNS (wyraźne konfiguracje serwera proxy)
Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. W przypadku wdrożeń z wyraźnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzną rozdzielczość DNS dla klientów wewnętrznych, jeśli węzeł nie może wyszukiwać serwerów DNS, automatycznie przechodzi on w tryb Zablokowanej zewnętrznej rozdzielczości DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.
Wymagania dotyczące hybrydowego bezpieczeństwa danych
Wymagania licencyjne Cisco Webex
Aby wdrożyć hybrydowe zabezpieczenia danych:
Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub (patrz https://www.cisco.com/go/pro-pack).
Docker Wymagania pulpitowe
Przed zainstalowaniem węzłów HDS potrzebny jest Docker Desktop do uruchomienia programu konfiguracji. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis w blogu platformy Docker, „ Docker aktualizuje i rozszerza subskrypcje naszych produktów ”.
Wymagania dotyczące certyfikatu X.509
Łańcuch certyfikatów musi spełniać następujące wymagania:
Wymaganie | Szczegóły |
---|---|
| Domyślnie ufamy urzędnikom na liście Mozilla (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs. |
| CN nie musi być osiągalne ani hostem na żywo. Zalecamy używanie nazwy odzwierciedlającej np. organizację, CN nie może zawierać * (wildcard). CN służy do weryfikacji węzłów hybrydowych zabezpieczeń danych dla klientów aplikacji Webex. Wszystkie węzły hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. System KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie obsługujemy zmiany nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych. |
| Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu weryfikacji połączeń z KMSs innych organizacji. |
| Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Po uruchomieniu narzędzia konfiguracji usługi HDS należy wprowadzić hasło. |
Oprogramowanie KMS nie wymusza użycia klucza ani nie nakłada dodatkowych ograniczeń w jego używaniu. Niektóre organy certyfikatów wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia użycia kluczy, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.
Wymagania dotyczące wirtualnego prowadzącego
Wirtualne hosty skonfigurowane jako węzły hybrydowego zabezpieczenia danych w klastrze mają następujące wymagania:
Co najmniej dwa osobne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych
Oprogramowanie VMware ESXi 6.5 (lub nowsze) zostało zainstalowane i uruchomione.
Jeśli masz wcześniejszą wersję ESXi, musisz ją uaktualnić.
Minimum 4 procesory vCPUs, 8-GB pamięci głównej, 30-GB lokalnego miejsca na dysk twardy na serwer
Wymagania serwera bazy danych
Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych. |
Istnieją dwie opcje dla serwera bazy danych. Wymagania dla każdego z nich są następujące:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) | Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) |
Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC kierowca 42.2.5 | SQL Server JDBC sterownik 4.6 Ta wersja sterownika obsługuje program SQL Server Always On (Always On Failover Cluster Instances oraz Always On availability groups). |
Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w usłudze Microsoft SQL Server
Jeśli chcesz, aby węzły HDS używały uwierzytelniania w systemie Windows, aby uzyskać dostęp do bazy danych keystore na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w swoim środowisku:
Węzły HDS, infrastruktura Active Directory i MS SQL Server muszą być synchronizowane z NTP.
Konto systemu Windows dla węzłów HDS musi mieć dostęp do bazy danych do odczytu/zapisu.
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozwiązać klucz centrum dystrybucji (KDC).
Wystąpienie bazy danych HDS można zarejestrować na serwerze Microsoft SQL Server jako główną nazwę usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.
Narzędzie do konfigurowania HDS, uruchamianie HDS i lokalne KMS muszą używać uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych keystore. Używają szczegółów z konfiguracji ISO do budowy SPN podczas żądania dostępu za pomocą uwierzytelniania Kerberos.
Wymagania dotyczące połączeń zewnętrznych
Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:
Aplikacja | Protokół | Port | Polecenie z aplikacji | Miejsce docelowe |
---|---|---|---|---|
Węzły hybrydowego zabezpieczenia danych | TCP | 443 | Zewnętrzne HTTPS i WSS |
|
Narzędzie do konfigurowania HDS | TCP | 443 | Zewnętrzny protokół HTTPS |
|
Węzły hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub za zaporą, o ile NAT lub zapora zezwala na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują dostępu do węzłów hybrydowych zabezpieczeń danych w portach TCP 443 i 22 do celów administracyjnych. |
Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Są to bieżące hosty CI:
Region | Wspólne adresy URL prowadzącego tożsamości |
---|---|
Ameryka |
|
Unia Europejska |
|
Kanada |
|
Wymagania serwera proxy
Oficjalnie obsługujemy następujące rozwiązania proxy, które mogą integrować się z węzłami hybrydowego zabezpieczenia danych.
Przejrzysty serwer proxy — Cisco Web Security Appliance (WSA).
Wyraźny serwer proxy — Squid.
Proxies Squid, które sprawdzają ruch HTTPS może kolidować z ustanowieniem websocket (wss:) połączeń. Aby rozwiązać ten problem, zobacz Configure Squid Proxies for Hybrid Data Security.
Obsługujemy następujące kombinacje typów uwierzytelniania dla serwerów proxy:
Brak uwierzytelniania przy użyciu protokołu HTTP lub HTTPS
Uwierzytelnianie podstawowe przy użyciu protokołu HTTP lub HTTPS
Uwierzytelnianie przy użyciu protokołu HTTPS
W przypadku przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS należy posiadać kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania zawarte w tym przewodniku informują o sposobie przesłania kopii do sklepów zaufania węzłów hybrydowych zabezpieczeń danych.
Sieć hostująca węzły HDS musi być skonfigurowana tak, aby wymuszać wychodzący ruch TCP na porcie 443 na trasę przez serwer proxy.
Serwery proxy, które kontrolują ruch sieciowy, mogą zakłócać połączenia z gniazdem internetowym. Jeśli wystąpi ten problem, omijając (nie kontrolując) ruch do
wbx2.com
iciscospark.com
rozwiąże problem.
Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych
1 | Upewnij się, że Twoja organizacja Webex jest włączona dla pakietu Pro Pack dla Cisco Webex Control Hub i uzyskaj poświadczenia konta z pełnymi prawami administratora organizacji. Aby uzyskać pomoc w tym procesie, skontaktuj się z partnerem firmy Cisco lub menedżerem konta. | ||
2 | Wybierz nazwę domeny dla wdrożenia HDS (na przykład | ||
3 | Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły hybrydowego zabezpieczenia danych w klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych, które spełniają wymagania w Wymagania wirtualnego hosta. | ||
4 | Przygotuj serwer bazy danych, który będzie działał jako kluczowy magazyn danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być zestawiony w bezpiecznym centrum danych z wirtualnymi hostami. | ||
5 | W celu szybkiego odzyskiwania danych po awarii należy skonfigurować środowisko tworzenia kopii zapasowych w innym centrum danych. Środowisko tworzenia kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i zapasowego serwera bazy danych. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne. | ||
6 | Skonfiguruj hosta dziennika systemowego, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemowego (domyślnie jest to UDP 514). | ||
7 | Utwórz bezpieczne zasady tworzenia kopii zapasowych węzłów hybrydowych zabezpieczeń danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec niemożliwej do odzyskania utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów hybrydowych zabezpieczeń danych.
Klienci aplikacji Webex przechowują klucze w pamięci podręcznej, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się widoczna. Chociaż tymczasowe przerwy są niemożliwe do zapobieżenia, są one do odzyskania. Jednak całkowita utrata (brak kopii zapasowych) bazy danych lub pliku konfiguracyjnego ISO spowoduje niemożliwy do odzyskania dane klienta. Oczekuje się, że operatorzy węzłów hybrydowego bezpieczeństwa danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowy centrum danych hybrydowego bezpieczeństwa danych w przypadku wystąpienia katastrofalnej awarii. | ||
8 | Upewnij się, że konfiguracja zapory umożliwia dostęp do łączności w węzłach hybrydowych zabezpieczeń danych, jak opisano w Zewnętrznych wymogach dotyczących łączności. | ||
9 | Zainstaluj Docker ( https://www.docker.com) na każdej maszynie lokalnej z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080. Za pomocą wystąpienia Docker można pobrać i uruchomić narzędzie konfiguracji HDS, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów hybrydowych zabezpieczeń danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania Dotyczące Pulpitu Dockera. Aby zainstalować i uruchomić narzędzie do konfiguracji HDS, lokalna maszyna musi mieć łączność opisaną w Zewnętrznych wymaganiach dotyczących łączności. | ||
10 | Jeśli integrujesz serwer proxy z hybrydowymi zabezpieczeniami danych, upewnij się, że spełnia on wymagania serwera proxy. | ||
11 | Jeśli Twoja organizacja używa synchronizacji katalogu, utwórz grupę w usłudze Active Directory o nazwie
|
Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych
Przed rozpoczęciem
1 |
Pobierz plik OVA do lokalnego komputera, aby później go użyć. | ||
2 | Tworzenie ISO konfiguracji dla prowadzących HDS Za pomocą narzędzia konfiguracyjnego HDS można utworzyć plik konfiguracyjny ISO dla węzłów hybrydowych zabezpieczeń danych. | ||
3 |
Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe.
| ||
4 | Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych Zaloguj się na konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA. | ||
5 | Prześlij i zamontuj ISO konfiguracji HDS Skonfiguruj VM z pliku konfiguracyjnego ISO utworzonego za pomocą narzędzia do konfiguracji HDS. | ||
6 | Konfigurowanie węzła HDS dla integracji serwera proxy Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, którego użyjesz dla węzła, i w razie potrzeby dodaj certyfikat serwera proxy do sklepu zaufania. | ||
7 | Zarejestruj pierwszy węzeł w klastrze Zarejestruj maszynę wirtualną za pomocą chmury Cisco Webex jako węzeł hybrydowego zabezpieczenia danych. | ||
8 | Tworzenie i rejestrowanie większej liczby węzłów Zakończ konfigurację klastra. | ||
9 | Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział) Do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
Pobierz pliki instalacyjne
1 | Zaloguj się do https://admin.webex.com, a następnie kliknij opcję Usługi. | ||||
2 | W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych, a następnie kliknij przycisk Skonfiguruj. Jeśli karta jest wyłączona lub jej nie widzisz, skontaktuj się z zespołem ds. kont lub organizacją partnerską. Podaj im numer konta i poproś o włączenie organizacji Hybrid Data Security. Aby znaleźć numer konta, kliknij bieg w prawym górnym rogu obok nazwy organizacji.
| ||||
3 | Wybierz Nie , aby wskazać, że węzeł nie został jeszcze skonfigurowany, a następnie kliknij przycisk Dalej. Plik OVA automatycznie zaczyna się pobierać. Zapisz plik w lokalizacji na komputerze.
| ||||
4 | Opcjonalnie kliknij Open Deployment Guide (Otwórz przewodnik wdrażania), aby sprawdzić, czy dostępna jest późniejsza wersja tego przewodnika. |
Tworzenie ISO konfiguracji dla prowadzących HDS
Proces konfiguracji hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie należy użyć ISO do skonfigurowania hosta hybrydowego bezpieczeństwa danych.
Przed rozpoczęciem
Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas podnoszenia kontenera Docker w kroku 5. W tej tabeli podano kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Serwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Wygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Potrzebna jest najnowsza kopia tego pliku, gdy wprowadzasz zmiany w konfiguracji, takie jak:
Poświadczenia bazy danych
Aktualizacje certyfikatów
Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrowanie połączeń z bazą danych, skonfiguruj wdrożenie programu PostgreSQL lub SQL Server dla TLS.
1 | W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach:
W środowiskach FedRAMP:
| ||||||||||||
2 | Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:
| ||||||||||||
3 | Po wyświetleniu monitu o hasło wprowadź ten skrót:
| ||||||||||||
4 | Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach:
W środowiskach FedRAMP:
| ||||||||||||
5 | Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:
Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”. | ||||||||||||
6 |
Użyj przeglądarki internetowej, aby przejść do hosta lokalizacji, Narzędzie używa tego pierwszego wpisu nazwy użytkownika, aby ustawić odpowiednie środowisko dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie. | ||||||||||||
7 | Po wyświetleniu monitu wprowadź poświadczenia logowania administratora klienta Control Hub, a następnie kliknij przycisk Zaloguj się , aby zezwolić na dostęp do wymaganych usług Hybrid Data Security. | ||||||||||||
8 | Na stronie Przegląd narzędzia konfiguracyjnego kliknij Rozpocznij. | ||||||||||||
9 | Na stronie ISO Import dostępne są następujące opcje:
| ||||||||||||
10 | Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatów X.509.
| ||||||||||||
11 | Wprowadź adres bazy danych i konto HDS, aby uzyskać dostęp do klucza danych: | ||||||||||||
12 | Wybierz tryb połączenia z bazą danych TLS:
Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracji HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie sprawdza również osobę podpisującą certyfikat i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w połączeniach węzły HDS mogą być w stanie nawiązać połączenie TLS, nawet jeśli maszyna narzędziowa HDS Setup Tool nie jest w stanie go przetestować). | ||||||||||||
13 | Na stronie Dzienniki systemu skonfiguruj serwer Syslogd: | ||||||||||||
14 | (Opcjonalnie) W ustawieniach zaawansowanych można zmienić wartość domyślną niektórych parametrów połączenia z bazą danych. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić:
| ||||||||||||
15 | Kliknij przycisk Kontynuuj na ekranie Resetuj hasło konta usługi . Hasła konta serwisowego mają okres dziewięciu miesięcy. Użyj tego ekranu, gdy hasła zbliżają się do wygaśnięcia lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO. | ||||||||||||
16 | Kliknij opcję Pobierz plik ISO. Zapisz plik w lokalizacji, którą łatwo znaleźć. | ||||||||||||
17 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||||||||||||
18 | Aby zamknąć narzędzie Setup, wpisz: |
Co zrobić dalej
Kopia zapasowa pliku ISO konfiguracji. Musisz utworzyć więcej węzłów do odzyskiwania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Odzyskiwanie kluczy z bazy danych PostgreSQL lub Microsoft SQL Server nie jest możliwe.
Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz. |
Instalowanie OVA hosta HDS
1 | Aby zalogować się do wirtualnego hosta ESXi, użyj klienta VMware vSphere na komputerze. | ||||||
2 | Wybierz Plik > Wdrożenie szablonu OVF. | ||||||
3 | W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij Następny. | ||||||
4 | Na ekranie Wybierz nazwę i folder strona, wprowadź Nazwa maszyny wirtualnej dla węzła (na przykład „HDS_Node_1”) wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Następny. | ||||||
5 | Na ekranie Wybierz zasób obliczeniowy strona, wybierz docelowy zasób obliczeniowy, a następnie kliknij Następny. Trwa kontrola walidacji. Po jego zakończeniu pojawiają się szczegóły szablonu. | ||||||
6 | Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej. | ||||||
7 | Jeśli zostaniesz poproszony o wybranie konfiguracji zasobów na stronie Konfiguracja strona, kliknij 4 CPU a następnie kliknij Następny. | ||||||
8 | Na ekranie Wybierz miejsce strona, kliknij Następny aby zaakceptować domyślny format dysku i zasady przechowywania VM. | ||||||
9 | Na ekranie Wybierz sieci na stronie wybierz opcję sieci z listy pozycji, aby zapewnić żądaną łączność z maszyną wirtualną. | ||||||
10 | Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieci:
Jeśli jest to preferowane, można pominąć konfigurację ustawień sieci i wykonać czynności opisane w punkcie Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych w celu skonfigurowania ustawień z konsoli węzła.
| ||||||
11 | Kliknij prawym przyciskiem myszy węzeł VM, a następnie wybierz .Oprogramowanie Hybrid Data Security jest instalowane jako gość w hostu VM. Teraz możesz zalogować się na konsoli i skonfigurować węzeł. Wskazówki dotyczące rozwiązywania problemów Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzła. Podczas pierwszego uruchamiania na konsoli pojawi się komunikat zapory mostowej, podczas którego nie można się zalogować. |
Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych
Użyj tej procedury, aby po raz pierwszy zalogować się na konsoli VM węzła hybrydowego zabezpieczenia danych i ustawić poświadczenia logowania. Konsola może również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.
1 | W kliencie VMware vSphere wybierz węzeł VM Hybrid Data Security i kartę Console . Maszyna zostanie uruchomiona i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie nie jest wyświetlany, naciśnij przycisk Enter.
|
2 | Aby się zalogować i zmienić poświadczenia, należy użyć następującego domyślnego loginu i hasła: Ponieważ logujesz się do VM po raz pierwszy, musisz zmienić hasło administratora. |
3 | Jeśli ustawienia sieci zostały już skonfigurowane w Instalowaniu OVA hosta usługi HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację. |
4 | Skonfiguruj statyczną konfigurację z adresem IP, maską, bramą i informacjami DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany. |
5 | (Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne do dopasowania do zasad sieci. Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509. |
6 | Zapisz konfigurację sieci i uruchom ponownie VM, aby zmiany weszły w życie. |
Prześlij i zamontuj ISO konfiguracji HDS
Przed rozpoczęciem
Ponieważ plik ISO zawiera klucz główny, powinien on być narażony tylko na „potrzebę wiedzy”, aby uzyskać dostęp do hybrydowych maszyn wirtualnych ds. bezpieczeństwa danych i wszystkich administratorów, którzy mogą wymagać wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mogą uzyskać dostęp do bazy danych.
1 | Prześlij plik ISO z komputera: |
2 | Montaż pliku ISO: |
Co zrobić dalej
Jeśli polityka IT wymaga, możesz opcjonalnie odmontować plik ISO po tym, jak wszystkie węzły podniosą zmiany w konfiguracji. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.
Konfigurowanie węzła HDS dla integracji serwera proxy
Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z Hybrid Data Security. Po wybraniu przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS można użyć interfejsu węzła do przesłania i zainstalowania certyfikatu głównego. Możesz również sprawdzić połączenie serwera proxy z poziomu interfejsu i rozwiązać ewentualne problemy.
Przed rozpoczęciem
Aby zapoznać się z opcjami obsługiwanego serwera proxy, zobacz Obsługa serwera proxy.
1 | Wprowadź adres URL konfiguracji węzła HDS |
2 | Przejdź do sklepu Trust Store & Proxy, a następnie wybierz opcję:
Postępuj zgodnie z kolejnymi krokami w celu przejrzystego kontrolowania serwera proxy, bezpośredniego serwera proxy HTTP z uwierzytelnianiem podstawowym lub bezpośredniego serwera proxy HTTPS. |
3 | Kliknij opcję Prześlij certyfikat główny lub certyfikat jednostki końcowej, a następnie przejdź do opcji Wybierz certyfikat główny serwera proxy. Certyfikat jest przesyłany, ale jeszcze nie został zainstalowany, ponieważ aby zainstalować certyfikat, należy ponownie uruchomić węzeł. Aby uzyskać więcej szczegółów, kliknij strzałkę chevron po nazwie emitenta certyfikatu lub kliknij opcję Usuń, jeśli popełniłeś błąd i chcesz ponownie przesłać plik. |
4 | Kliknij Check Proxy Connection (Sprawdź połączenie proxy), aby sprawdzić połączenie sieciowe między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, pojawi się komunikat o błędzie przedstawiający przyczynę i sposób naprawienia problemu. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS. Warunek ten jest oczekiwany w wielu wyraźnych konfiguracjach serwera proxy. Możesz kontynuować konfigurację, a węzeł będzie działał w trybie Zablokowanej Zewnętrznej Rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj poniższe czynności, a następnie zobacz Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS. |
5 | Po przejściu testu połączenia, w przypadku wyraźnego serwera proxy ustawionego tylko na https, włącz przełącznik do Trasowania wszystkich żądań portu 443/444 https z tego węzła za pomocą wyraźnego serwera proxy. To ustawienie wymaga 15 sekund działania. |
6 | Kliknij Instaluj Wszystkie Certyfikaty W Sklepie Zaufania (pojawi się dla wyraźnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawi się dla wyraźnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij opcję Instaluj , jeśli jesteś gotowy. Węzeł zostanie uruchomiony ponownie w ciągu kilku minut. |
7 | Po ponownym uruchomieniu węzła zaloguj się ponownie w razie potrzeby, a następnie otwórz stronę Przegląd , aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie mają zielony status. Kontrola połączenia z serwerem proxy sprawdza tylko poddomenę webex.com. Jeśli występują problemy z łącznością, powszechnym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy. |
Zarejestruj pierwszy węzeł w klastrze
Po zarejestrowaniu pierwszego węzła utwórz klaster, do którego jest przypisany węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia zwolnień.
Przed rozpoczęciem
Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.
1 | Zaloguj się w https://admin.webex.com. |
2 | W menu po lewej stronie ekranu wybierz opcję Usługi. |
3 | W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij przycisk Skonfiguruj. Zostanie wyświetlona strona węzła Zarejestruj hybrydowe zabezpieczenia danych.
|
4 | Wybierz Tak, aby wskazać, że węzeł został skonfigurowany i chcesz go zarejestrować, a następnie kliknij przycisk Dalej. |
5 | W pierwszym polu wprowadź nazwę klastra, do którego chcesz przypisać węzeł hybrydowego zabezpieczenia danych. Zalecamy nazwanie klastra na podstawie lokalizacji węzłów klastra. Przykłady: "San Francisco", "Nowy Jork" czy "Dallas" |
6 | W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej. Ten adres IP lub nazwa FQDN powinny być zgodne z adresem IP lub nazwą hosta i domeną używaną podczas konfigurowania hybrydowej maszyny wirtualnej ds. bezpieczeństwa danych. Pojawi się komunikat informujący, że można zarejestrować węzeł w usłudze Webex.
|
7 | Kliknij przycisk Przejdź do węzła. |
8 | Kliknij przycisk Kontynuuj w komunikacie ostrzegawczym. Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji Webex, aby uzyskać dostęp do węzła.
|
9 | Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
|
10 | Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub. Na stronie Hybrid Data Security jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.
|
Tworzenie i rejestrowanie większej liczby węzłów
W tym czasie zapasowe maszyny wirtualne utworzone w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych są hostami gotowymi, które są używane tylko w przypadku odzyskiwania po awarii; do tego czasu nie są rejestrowane w systemie. Aby uzyskać szczegółowe informacje, patrz Przywracanie systemu po awarii za pomocą Standby Data Center. |
Przed rozpoczęciem
Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.
1 | Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Instalacji OVA hosta HDS. |
2 | Skonfiguruj konfigurację początkową na nowej maszynie wirtualnej, powtarzając kroki w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych. |
3 | W nowej maszynie wirtualnej wykonaj ponownie czynności opisane w polu Prześlij i zamontuj ISO konfiguracji HDS. |
4 | Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w Konfigurowaniu węzła HDS dla integracji serwera proxy zgodnie z potrzebami nowego węzła. |
5 | Zarejestruj węzeł. Twój węzeł jest zarejestrowany. Należy pamiętać, że do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie jest jeszcze aktywowana.
|
Co zrobić dalej
Przepływ próby do zadania produkcyjnego
Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.
Przed rozpoczęciem
1 | Jeśli dotyczy, zsynchronizuj Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać |
2 |
Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
3 | Przetestuj wdrożenie hybrydowego zabezpieczenia danych Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych. |
4 | Monitorowanie stanu hybrydowego bezpieczeństwa danych Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów. |
5 | |
6 | Zakończ fazę próbną, wykonując jedną z następujących czynności: |
Aktywuj wersję próbną
Przed rozpoczęciem
Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup
obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby dla organizacji. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.
1 | Zaloguj się do https://admin.webex.com, a następnie wybierz opcję Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną. Stan usługi zmienia się w tryb próbny.
|
4 | Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług. (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, |
Przetestuj wdrożenie hybrydowego zabezpieczenia danych
Przed rozpoczęciem
Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.
Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.
1 | Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.
| ||
2 | Wysyłaj wiadomości do nowego obszaru. | ||
3 | Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych. |
Monitorowanie stanu hybrydowego bezpieczeństwa danych
1 | W Control Hub wybierz Usługi z menu po lewej stronie ekranu. |
2 | W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij Ustawienia. Zostanie wyświetlona strona Ustawienia zabezpieczeń danych hybrydowych.
|
3 | W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij przycisk Enter. |
Dodawanie lub usuwanie użytkowników z wersji próbnej
Jeśli usuniesz użytkownika z wersji próbnej, klient poprosi go o utworzenie kluczy i klawiszy z chmury KMS zamiast Twojego KMS. Jeśli klient potrzebuje klucza przechowywanego w KMS, Cloud KMS pobierze go w imieniu użytkownika.
Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory (zamiast tej procedury) do zarządzania grupą próbną, HdsTrialGroup
; można wyświetlać członków grupy w Control Hub, ale nie można ich dodawać ani usuwać.
1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Tryby wersji próbnej w obszarze Stan usługi kliknij przycisk Dodaj użytkowników lub kliknij widok i edytuj , aby usunąć użytkowników z wersji próbnej. |
4 | Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania lub kliknij przycisk X identyfikatorem użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij Zapisz . |
Przeniesienie z wersji próbnej do produkcji
1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Stan usługi kliknij opcję Przenieś do produkcji. |
4 | Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji. |
Zakończ wersję próbną bez przejścia do produkcji
1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Dezaktywuj kliknij przycisk Dezaktywuj. |
4 | Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny. |
Zarządzanie wdrożeniem HDS
Użyj opisanych tutaj zadań do zarządzania wdrożeniem hybrydowego zabezpieczenia danych.
Ustaw harmonogram uaktualniania klastra
Aby ustawić harmonogram uaktualniania:
1 | Zaloguj się do Centrum sterowania . |
2 | Na stronie Przegląd w obszarze Usługi hybrydowe wybierz opcję Hybrid Data Security. |
3 | Na stronie Zasoby zabezpieczeń danych hybrydowych wybierz klaster. |
4 | W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra. |
5 | Na stronie Ustawienia w obszarze Uaktualnianie wybierz godzinę i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest następna dostępna data i godzina aktualizacji. W razie potrzeby można odroczyć uaktualnienie do następnego dnia, klikając opcję Odłóż. |
Zmień konfigurację węzła
Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.
Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do zarejestrowania klastra.
Aktualizowanie ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.
Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.
Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.
Ponadto, ze względów bezpieczeństwa, Hybrid Data Security używa haseł do kont usługi o dziewięciomiesięcznym okresie ważności. Gdy narzędzie konfiguracji HDS wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO . Gdy hasła organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex , aby zresetować hasło do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj API konta komputera, aby zaktualizować hasło”). Jeśli hasła jeszcze nie wygasły, narzędzie udostępnia dwie opcje:
Miękki reset — Stare i nowe hasło działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
Twardy reset — Stare hasła natychmiast przestają działać.
Jeśli hasła wygasną bez zresetowania, będzie to miało wpływ na usługę HDS i wymaga natychmiastowego twardego resetu i zastąpienia pliku ISO we wszystkich węzłach.
Ta procedura służy do generowania nowego konfiguracyjnego pliku ISO i zastosowania go do klastra.
Przed rozpoczęciem
Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas przywoływania kontenera Docker w 1.e. W tej tabeli podano kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Serwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO . ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.
1 | Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie konfiguracji HDS. |
2 | Jeśli uruchomiony jest tylko jeden węzeł HDS , utwórz nową maszynę VM węzła Hybrid Data Security i zarejestruj ją przy użyciu nowego konfiguracyjnego pliku ISO . Aby uzyskać bardziej szczegółowe instrukcje, zobacz temat Tworzenie i rejestrowanie większej liczby węzłów. |
3 | W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO . Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła: |
4 | Powtórz krok 3, aby zastąpić konfigurację w każdym pozostałym węźle, na którym działa stara konfiguracja. |
Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS
Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznawać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb Zablokowanej zewnętrznej rozdzielczości DNS.
Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, uruchamiając ponownie test połączenia serwera proxy w każdym węźle.
Przed rozpoczęciem
1 | W przeglądarce internetowej otwórz interfejs węzła hybrydowego zabezpieczenia danych (adres IP/konfiguracja, na przykład https://192.0.2.0/setup), wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się. |
2 | Przejdź do Przegląd (strona domyślna). Po włączeniu Rozpoznawanie zablokowanego zewnętrznego DNS jest ustawiony na Tak . |
3 | Przejdź do strony Trust Store & Proxy. |
4 | Kliknij przycisk Sprawdź połączenie z serwerem proxy. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS i pozostanie w tym trybie. W przeciwnym razie po ponownym uruchomieniu węzła i powrocie na stronę Przegląd zablokowana zewnętrzna rozdzielczość DNS powinna być ustawiona na nr. |
Co zrobić dalej
Usuń węzeł
1 | Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi i wyłączyć maszynę wirtualną. |
2 | Usuń węzeł: |
3 | W kliencie vSphere usuń maszynę wirtualną (w lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij polecenie Usuń). Jeśli nie usuniesz VM, pamiętaj o usunięciu pliku ISO konfiguracji. Bez pliku ISO nie można użyć maszyny wirtualnej, aby uzyskać dostęp do danych bezpieczeństwa. |
Odzyskiwanie po awarii za pomocą Standby Data Center
Najbardziej krytyczną usługą oferowaną przez klaster Hybrid Data Security jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji przypisanego do hybrydowego zabezpieczenia danych nowe żądania tworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za przywrócenie kluczy, które został utworzony do wszystkich użytkowników upoważnionych do ich odzyskania, na przykład członków obszaru konwersacji.
Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby utrzymywały się odpowiednie kopie zapasowe. Utrata bazy danych hybrydowych zabezpieczeń danych lub układu ISO konfiguracji stosowanego dla schematu spowoduje NIEZBĘDNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, konieczne są następujące praktyki:
Jeśli awaria spowoduje, że wdrożenie HDS w głównym centrum danych stanie się niedostępne, postępuj zgodnie z tą procedurą, aby ręcznie przełączyć się na standby centrum danych.
1 | Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts. | ||
2 | Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
3 | Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń
| ||
4 | Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
5 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
6 | W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
7 | Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
8 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
9 | Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
(Opcjonalnie) Odmontować ISO Po Konfiguracji HDS
Standardowa konfiguracja HDS działa z zamontowanym ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale zamontowanych. Plik ISO można odmontować po odebraniu nowej konfiguracji przez wszystkie węzły HDS.
Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego ISO lub aktualizacji ISO za pomocą narzędzia konfiguracyjnego należy zamontować zaktualizowany ISO na wszystkich węzłach HDS. Po odebraniu zmian konfiguracji przez wszystkie węzły można ponownie rozmontować ISO za pomocą tej procedury.
Przed rozpoczęciem
Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.
1 | Zamknij jeden z węzłów HDS. |
2 | W urządzeniu VCenter Server Appliance wybierz węzeł HDS. |
3 | Wybierz pliku Datastore ISO. i usuń zaznaczenie |
4 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut. |
5 | Powtórz kolejno dla każdego węzła HDS. |
Wyświetlanie alertów i rozwiązywania problemów
Wdrożenie hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że wymaga przekroczenia czasu. Jeśli użytkownicy nie mogą skontaktować się z klastrem hybrydowego zabezpieczenia danych, mogą wystąpić następujące objawy:
Nie można utworzyć nowych obszarów (nie można utworzyć nowych kluczy)
Wiadomości i tytuły przestrzeni nie można odszyfrować dla:
Dodano nowych użytkowników do obszaru (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze będą z powodzeniem działać tak długo, jak ich klienci będą mieli pamięć podręczną kluczy szyfrowania
Ważne jest, aby odpowiednio monitorować klaster hybrydowego zabezpieczenia danych i szybko zwracać się do wszystkich alertów, aby uniknąć zakłóceń w obsłudze.
Alerty
Jeśli występuje problem z konfiguracją hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.
Alert | Czynność |
---|---|
Niepowodzenie dostępu do lokalnej bazy danych. |
Sprawdź, czy występują błędy w bazie danych lub problemy z siecią lokalną. |
Niepowodzenie połączenia z lokalną bazą danych. |
Sprawdź, czy serwer bazy danych jest dostępny, a w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi. |
Niepowodzenie dostępu do usługi w chmurze. |
Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z wymaganiami Zewnętrznej łączności. |
Odnowienie rejestracji usług w chmurze. |
Zrezygnowano z rejestracji na usługi w chmurze. Trwa przedłużenie rejestracji. |
Rejestracja usług w chmurze została odrzucona. |
Rejestracja na usługi w chmurze została zakończona. Usługa jest wyłączona. |
Usługa jeszcze nie została aktywowana. |
Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do produkcji. |
Skonfigurowana domena nie odpowiada certyfikatowi serwera. |
Upewnij się, że certyfikat serwera jest zgodny z skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że certyfikat CN został ostatnio zmieniony i jest teraz inny niż CN, który był używany podczas początkowej konfiguracji. |
Nie można uwierzytelnić usług w chmurze. |
Kontrola poprawności i ewentualnego wygaśnięcia poświadczeń konta usługi. |
Nie można otworzyć lokalnego pliku keystore. |
Sprawdź integralność i dokładność hasła w lokalnym pliku keystore. |
Certyfikat lokalnego serwera jest nieprawidłowy. |
Sprawdź datę ważności certyfikatu serwera i potwierdź, że został on wydany przez zaufany urząd certyfikacji. |
Nie można publikować metryk. |
Sprawdź dostęp sieci lokalnej do zewnętrznych usług w chmurze. |
/media/configdrive/hds katalog nie istnieje. |
Sprawdź konfigurację montażu ISO na wirtualnym hostze. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu na ponownym uruchomieniu i czy został pomyślnie zainstalowany. |
Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych
1 | Przejrzyj Control Hub dla wszystkich alertów i naprawić wszystkie znalezione tam elementy. |
2 | Przejrzyj wyjście serwera dziennika systemowego pod kątem aktywności z wdrożenia hybrydowego zabezpieczenia danych. |
3 | Skontaktuj się z pomocą techniczną Cisco. |
Znane problemy dotyczące hybrydowych zabezpieczeń danych
Jeśli zamkniesz klaster hybrydowego zabezpieczenia danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych keystore, użytkownicy aplikacji Webex nie będą mogli już korzystać ze spacji na liście Osoby utworzonej za pomocą kluczy z KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia ani rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłudze aktywnych kont użytkowników.
Klient z istniejącym połączeniem ECDH z KMS utrzymuje to połączenie przez pewien czas (prawdopodobnie godzinę). Gdy użytkownik staje się członkiem próby hybrydowego zabezpieczenia danych, klient użytkownika nadal korzysta z istniejącego połączenia ECDH do czasu jego wyłączenia. Alternatywnie, użytkownik może wylogować się i wrócić do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w przypadku kluczy szyfrowania.
To samo zachowanie występuje podczas przenoszenia próby do produkcji dla organizacji. Wszyscy użytkownicy spoza wersji próbnej posiadający istniejące połączenia ECDH z poprzednimi służbami bezpieczeństwa danych będą nadal korzystać z tych usług do czasu renegocjacji połączenia ECDH (poprzez limit czasu lub poprzez wylogowanie i powrót).
Użyj protokołu OpenSSL, aby wygenerować plik PKCS12
Przed rozpoczęciem
OpenSSL jest jednym z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do ładowania w narzędziu konfiguracji HDS. Istnieją inne sposoby, aby to zrobić, i nie popieramy ani nie promujemy jednej drogi nad drugą.
Jeśli zdecydujesz się korzystać z OpenSSL, zapewniamy tę procedurę jako wytyczną, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatów X.509. Zrozum te wymagania, zanim przejdziesz dalej.
Zainstaluj OpenSSL w obsługiwanym środowisku. Patrz https://www.openssl.org oprogramowanie i dokumentacja.
Utwórz klucz prywatny.
Procedurę tę należy rozpocząć po otrzymaniu certyfikatu serwera od urzędu certyfikacji.
1 | Po otrzymaniu certyfikatu serwera z urzędu certyfikacji zapisz go jako |
2 | Wyświetl certyfikat jako tekst i zweryfikuj szczegóły.
|
3 | Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie
|
4 | Utwórz plik .p12 o przyjaznej nazwie
|
5 | Sprawdź szczegóły certyfikatu serwera. |
Co zrobić dalej
Powróć, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych. Korzystasz z hdsnode.p12
plik i ustawione dla niego hasło w Utwórz ISO konfiguracji dla prowadzących HDS.
Możesz ponownie użyć tych plików, aby poprosić o nowy certyfikat po wygaśnięciu oryginalnego certyfikatu. |
Ruch między węzłami HDS a chmurą
Ruch zbierania metryk wychodzących
Węzły hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dla maks. stosu, stosowanego stosu, obciążenia procesora i liczenia wątków; metryki na wątkach synchronicznych i asynchronicznych; metryki na alertach obejmujące próg połączeń szyfrowania, opóźnienie lub długość kolejki żądań; metryki na zbiorniku danych; oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał poza pasmem (oddzielony od żądania).
Ruch przychodzący
Węzły hybrydowego zabezpieczenia danych otrzymują następujące typy ruchu przychodzącego z chmury Webex:
Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania
Aktualizacja do oprogramowania węzła
Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych
Websocket Nie Można Połączyć Za Pomocą Proxy Squid
Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS, mogą ingerować w tworzenie websocket ( wss:
) połączenia, których wymaga Hybrid Data Security. Sekcje te zawierają wskazówki dotyczące konfigurowania różnych wersji Squid do ignorowania wss:
ruch w celu prawidłowego funkcjonowania usług.
Squid 4 i 5
Dodaj on_unsupported_protocol
dyrektywa do squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Z powodzeniem przetestowaliśmy hybrydowe zabezpieczenia danych, dodając następujące zasady squid.conf
. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizacji chmury Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nowe i zmienione informacje
Data | Zmiany | ||
---|---|---|---|
20 października 2023 r. |
| ||
07 sierpnia 2023 r. |
| ||
23 maja 2023 r. |
| ||
06 grudnia 2022 r. |
| ||
23 listopada 2022 r. |
| ||
13 października 2021 r. | Docker Desktop musi uruchomić program konfiguracji przed zainstalowaniem węzłów HDS. Zobacz Wymagania Dotyczące Pulpitu Docker. | ||
24 czerwca 2021 r. | Pamiętaj, że możesz ponownie użyć pliku klucza prywatnego i CSR, aby poprosić o inny certyfikat. Aby uzyskać szczegółowe informacje, zobacz Użyj OpenSSL, aby wygenerować plik PKCS12. | ||
30 kwietnia 2021 r. | Zmieniono wymaganie VM dla lokalnego miejsca na dysku twardym na 30 GB. Szczegółowe informacje można znaleźć w sekcji Wymagania wirtualnego prowadzącego. | ||
24 lutego 2021 r. | Narzędzie konfiguracji usługi HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie ISO konfiguracji hostów HDS. | ||
2 lutego 2021 r. | HDS może teraz działać bez zamontowanego pliku ISO. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS. | ||
11 stycznia 2021 r. | Dodano informacje o narzędziu do konfiguracji HDS i pełnomocnikach, aby utworzyć ISO konfiguracji dla prowadzących HDS. | ||
13 października 2020 r. | Zaktualizowano Pobierz pliki instalacyjne. | ||
8 października 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP. | ||
14 sierpnia 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła ze zmianami w procesie logowania. | ||
5 sierpnia 2020 r. | Zaktualizowano testowanie wdrażania hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika. Zaktualizowano wymagania hosta wirtualnego , aby usunąć maksymalną liczbę hostów. | ||
16 czerwca 2020 r. | Zaktualizowano Usuwanie węzła pod kątem zmian w interfejsie interfejsu Control Hub. | ||
4 czerwca 2020 r. | Zaktualizowano Tworzenie ISO konfiguracji dla hostów HDS w celu wprowadzenia zmian w ustawieniach zaawansowanych, które można ustawić. | ||
29 maja 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami interfejsu użytkownika i innymi wyjaśnieniami. | ||
5 maja 2020 r. | Zaktualizowano wymagania hosta wirtualnego , aby pokazać nowe wymagania ESXi 6.5. | ||
21 kwietnia 2020 r. | Zaktualizowane wymagania dotyczące łączności zewnętrznej z nowymi hostami CI Americas. | ||
1 kwietnia 2020 r. | Zaktualizowane wymagania dotyczące łączności zewnętrznej z informacjami na temat regionalnych prowadzących CI. | ||
20 lutego 2020 r. | Zaktualizowano Utwórz ISO konfiguracji hostów HDS z informacjami na nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu do konfiguracji HDS. | ||
4 lutego 2020 r. | Zaktualizowano wymagania serwera proxy. | ||
16 grudnia 2019 r. | Wyjaśnione wymagania dotyczące zablokowanego zewnętrznego trybu rozdzielczości DNS do pracy w wymaganiach serwera proxy. | ||
19 listopada 2019 r. | Dodano informacje o zablokowanym zewnętrznym trybie rozpoznawania DNS w następujących sekcjach: | ||
8 listopada 2019 r. | Teraz można skonfigurować ustawienia sieciowe węzła podczas wdrażania OVA, a nie później. Zaktualizowano odpowiednio następujące sekcje:
| ||
6 września 2019 r. | Dodano SQL Server Standard do wymagań serwera bazy danych. | ||
29 sierpnia 2019 r. | Dodano Configure Squid Proxies for Hybrid Data Security appendix z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu zignorowania ruchu websocket w celu prawidłowej obsługi. | ||
20 sierpnia 2019 r. | Dodano i zaktualizowano sekcje, aby objąć obsługę proxy komunikacji węzła hybrydowego bezpieczeństwa danych z chmurą Webex. Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł pomocy Proxy Support for Hybrid Data Security i Webex Video Mesh . | ||
13 czerwca 2019 r. | Zaktualizowano próbny do przepływu zadań produkcyjnych z przypomnieniem o synchronizacji HdsTrialGroup obiekt grupowy przed rozpoczęciem próby, jeśli Twoja organizacja korzysta z synchronizacji katalogu. | ||
6 marca 2019 r. |
| ||
28 lutego 2019 r. |
| ||
26 lutego 2019 r. |
| ||
24 stycznia 2019 r. |
| ||
5 listopada 2018 r. |
| ||
19 października 2018 r. |
| ||
31 lipca 2018 r. |
| ||
21 maja 2018 r. | Zmieniona terminologia odzwierciedlająca zmianę marki Cisco Spark:
| ||
11 kwietnia 2018 r. |
| ||
22 lutego 2018 r. |
| ||
Luty 15, 2018 |
| ||
Styczeń 18, 2018 |
| ||
2 listopada 2017 r. |
| ||
18 sierpnia 2017 r. | Pierwsza publikacja |
Przegląd zabezpieczeń danych hybrydowych
Od pierwszego dnia bezpieczeństwo danych było głównym celem projektowania aplikacji Webex. Podstawą tych zabezpieczeń jest kompleksowe szyfrowanie zawartości, włączane przez klientów aplikacji Webex , którzy wchodzą w interakcję z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.
Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS w obszarze bezpieczeństwa firmy Cisco. Hybrid Data Security przenosi usługę KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie ma kluczy do zaszyfrowanej zawartości.
Architektura domeny zabezpieczeń
Architektura chmury Webex oddziela różne rodzaje usług od osobnych domen lub domen zaufania, jak przedstawiono poniżej.
Aby lepiej zrozumieć hybrydowe zabezpieczenia danych, spójrzmy najpierw na ten przypadek czystej chmury, w którym firma Cisco zapewnia wszystkie funkcje w swoich domenach w chmurze. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od domeny bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od domeny, w której ostatecznie przechowywana jest zaszyfrowana zawartość, w centrum danych C.
Na tym schemacie klient to aplikacja Webex działająca na laptopie użytkownika i uwierzytelniona za pomocą usługi tożsamości. Gdy użytkownik komponuje wiadomość do wysłania do obszaru, wykonywane są następujące czynności:
Klient ustanawia bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie prosi o klucz do szyfrowania wiadomości. Bezpieczne połączenie korzysta z ECDH, a KMS szyfruje klucz przy użyciu klucza głównego AES-256.
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła go do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniach zawartości.
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w domenie przechowywania.
Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze, które składają się na usługę Webex (w tym pamięć masowa tożsamości i zawartości), pozostają w domenach Cisco.
Współpraca z innymi organizacjami
Użytkownicy w organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników prosi o klucz do obszaru należącego do organizacji (ponieważ został on utworzony przez jednego z użytkowników), KMS wysyła klucz do klienta za pośrednictwem kanału zabezpieczonego ECDH. Jednak gdy inna organizacja jest właścicielem klucza dla obszaru, system KMS kieruje żądanie do chmury Webex przez osobny kanał ECDH, aby uzyskać klucz z odpowiedniego systemu KMS, a następnie zwraca go do użytkownika na oryginalnym kanale.
Usługa KMS działająca na Org A weryfikuje połączenia z KMSs w innych organizacjach za pomocą certyfikatów PKI x.509. Aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użytku z wdrożeniem hybrydowego zabezpieczenia danych, zobacz Prepare Your Environment (Przygotowanie środowiska).
Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych
Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klienta i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.
Aby wdrożyć hybrydowe zabezpieczenia danych, należy zapewnić:
Bezpieczne centrum danych w kraju, który jest obsługiwaną lokalizacją dla planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w punkcie Przygotowanie środowiska.
Kompletna utrata konfiguracji ISO utworzonej dla hybrydowego zabezpieczenia danych lub dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:
Zarządzanie kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.
Przygotuj się do szybkiego odzyskiwania awaryjnego w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub awaria centrum danych.
Nie ma mechanizmu przenoszenia kluczy z powrotem do chmury po wdrożeniu HDS. |
Proces konfiguracji na wysokim poziomie
Niniejszy dokument obejmuje konfigurację i zarządzanie wdrożeniem hybrydowego zabezpieczenia danych:
Skonfiguruj hybrydowe zabezpieczenia danych— obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, testowanie wdrożenia z podzbiorem użytkowników w trybie próbnym oraz, po zakończeniu testów, przejście do produkcji. Spowoduje to konwertowanie całej organizacji do używania klastra Hybrid Data Security dla funkcji zabezpieczeń.
Etapy konfiguracji, prób i produkcji zostały szczegółowo omówione w kolejnych trzech rozdziałach.
Utrzymuj wdrożenie hybrydowego zabezpieczenia danych— chmura Webex automatycznie zapewnia trwające uaktualnienia. Dział IT może zapewnić wsparcie poziomu pierwszego dla tego wdrożenia i zaangażować wsparcie Cisco w razie potrzeby. Możesz korzystać z powiadomień na ekranie i konfigurować alerty oparte na wiadomościach e-mail w Control Hub.
Zrozumienie wspólnych alertów, kroków rozwiązywania problemów i znanych problemów— w przypadku wystąpienia problemów z wdrożeniem lub użyciem hybrydowego zabezpieczenia danych ostatni rozdział niniejszego przewodnika i dodatku do Znanych problemów może pomóc w określeniu i rozwiązaniu problemu.
Hybrydowy model wdrażania zabezpieczeń danych
W centrum danych przedsiębiorstwa wdrażasz hybrydowe zabezpieczenia danych jako jeden klaster węzłów na osobnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych websocketów i bezpiecznego protokołu HTTP.
Podczas procesu instalacji dostarczamy Ci plik OVA do skonfigurowania urządzenia wirtualnego na dostarczonych maszynach wirtualnych. Narzędzie konfiguracyjne HDS służy do tworzenia niestandardowego pliku ISO konfiguracji klastra, który jest montowany w każdym węźle. Klaster Hybrid Data Security korzysta z dostarczonego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu konfiguracji HDS).
Minimalna liczba węzłów w klastrze to dwa. Zalecamy co najmniej trzy, a możesz mieć do pięciu. Posiadanie wielu węzłów zapewnia, że usługa nie zostanie przerwana podczas uaktualniania oprogramowania lub innej czynności konserwacyjnej w węźle. (Chmura Webex aktualizuje tylko jeden węzeł naraz).
Wszystkie węzły w klastrze mają dostęp do tego samego rekordu danych klucza i aktywności dziennika na tym samym serwerze dziennika systemowego. Same węzły są bezpaństwowe i obsługują żądania kluczy w sposób okrągły, zgodnie z zaleceniami chmury.
Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby usunąć pojedynczy węzeł z usługi, można go wyrejestrować, a następnie ponownie wyrejestrować w razie potrzeby.
Obsługujemy tylko jeden klaster na organizację.
Tryb próbny zabezpieczeń danych hybrydowych
Po skonfigurowaniu wdrożenia hybrydowego zabezpieczenia danych spróbuj go najpierw z zestawem użytkowników pilotażowych. W okresie próbnym użytkownicy ci wykorzystują lokalną domenę hybrydowego zabezpieczenia danych do szyfrowania kluczy i innych usług domeny zabezpieczeń. Inni użytkownicy nadal korzystają ze sfery zabezpieczeń w chmurze.
Jeśli zdecydujesz się nie kontynuować wdrażania podczas wersji próbnej i dezaktywować usługi, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi współpracowali, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zostanie wyświetlony komunikat „Nie można odszyfrować tej wiadomości” w aplikacji Webex.
Jeśli jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych i jesteś gotowy do rozszerzenia hybrydowego zabezpieczenia danych na wszystkich użytkowników, przenosisz wdrożenie do produkcji. Użytkownicy pilotażowi nadal mają dostęp do kluczy, które były używane podczas próby. Nie można jednak poruszać się w tę i z powrotem między trybem produkcji a oryginalnym testem. Jeśli musisz dezaktywować usługę, na przykład w celu przeprowadzenia odzyskiwania po awarii, po ponownej aktywacji musisz rozpocząć nową wersję próbną i skonfigurować zestaw użytkowników pilotażowych dla nowej wersji próbnej przed powrotem do trybu produkcji. To, czy użytkownicy zachowują w tym momencie dostęp do danych, zależy od tego, czy udało się zachować kopie zapasowe kluczowego magazynu danych i pliku konfiguracyjnego ISO dla węzłów hybrydowych zabezpieczeń danych w klastrze.
Standby Data Center for Disaster Recovery
Podczas wdrażania skonfigurowano bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie anulować wdrożenie do centrum danych w trybie gotowości.
Bazy danych aktywnych i standby centrów danych są ze sobą zsynchronizowane, co zminimalizuje czas potrzebny na wykonanie przełącznika awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają rejestrację węzłów w organizacji, ale nie obsługują ruchu. Stąd węzły standby data center zawsze pozostają aktualne z najnowszą wersją oprogramowania HDS.
Aktywne węzły hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych. |
Konfiguracja Standby Data Center do odzyskiwania awarii
Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:
Przed rozpoczęciem
Centrum danych w stanie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych oraz zapasową bazę danych PostgreSQL lub Microsoft SQL Server. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne (zobacz Standby Data Center for Disaster Recovery , aby zapoznać się z tym modelem failover).
Upewnij się, że synchronizacja bazy danych jest włączona między bazą danych aktywnych i pasywnych węzłów klastra.
1 | Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.
| ||
2 | Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
3 | Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwał żadnego ruchu.
| ||
4 | Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
5 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
6 | W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
7 | Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
8 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
9 | Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
Po skonfigurowaniu passiveMode
w pliku ISO i zapisanie go można utworzyć inną kopię pliku ISO bez passiveMode
konfigurację i zapisanie w bezpiecznym miejscu. Ta kopia pliku ISO bez passiveMode
skonfigurowany może pomóc w szybkim procesie awaryjnym podczas odzyskiwania po awarii. Aby zapoznać się ze szczegółową procedurą przywracania awaryjnego za pomocą Standby Data Center (Centrum danych gotowości).
Wsparcie proxy
Hybrydowe zabezpieczenia danych obsługują jednoznaczne, przejrzyste inspekcje i nieinspekcje serwerów proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby można było zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy można używać w węzłach do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.
Węzły hybrydowego zabezpieczenia danych obsługują następujące opcje serwera proxy:
Brak serwera proxy — ustawienie domyślne, jeśli w celu zintegrowania serwera proxy nie jest używane do konfiguracji węzła HDS Trust Store & Proxy. Nie jest wymagana aktualizacja certyfikatu.
Przejrzysty serwer proxy niekontrolowany — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z serwerem proxy niekontrolowanym. Nie jest wymagana aktualizacja certyfikatu.
Przejrzyste tunelowanie lub sprawdzanie serwera proxy — węzły nie są skonfigurowane do korzystania z określonego adresu serwera proxy. W węzłach nie są konieczne zmiany konfiguracji protokołu HTTP ani protokołu HTTPS. Węzły potrzebują jednak certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).
Wyraźny serwer proxy — w przypadku wyraźnego serwera proxy należy wskazać węzły HDS, których serwer proxy i schemat uwierzytelniania należy używać. Aby skonfigurować wyraźny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.
Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.
Protokół proxy— w zależności od tego, co obsługuje serwer proxy, wybierz między następującymi protokołami:
HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
HTTPS — udostępnia kanał do serwera. Klient odbiera i weryfikuje certyfikat serwera.
Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:
Brak — dalsze uwierzytelnianie nie jest wymagane.
Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.
Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.
Dostępne tylko po wybraniu protokołu HTTPS jako protokołu proxy.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Przykład węzłów hybrydowych zabezpieczeń danych i serwera proxy
Na tym wykresie przedstawiono przykładowe połączenie między hybrydowym zabezpieczeniem danych, siecią i serwerem proxy. W przypadku opcji przejrzystej inspekcji i jawnej inspekcji serwera proxy HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach hybrydowych zabezpieczeń danych.
Zablokowany zewnętrzny tryb rozpoznawania DNS (wyraźne konfiguracje serwera proxy)
Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. W przypadku wdrożeń z wyraźnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzną rozdzielczość DNS dla klientów wewnętrznych, jeśli węzeł nie może wyszukiwać serwerów DNS, automatycznie przechodzi on w tryb Zablokowanej zewnętrznej rozdzielczości DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.
Wymagania dotyczące hybrydowego bezpieczeństwa danych
Wymagania licencyjne Cisco Webex
Aby wdrożyć hybrydowe zabezpieczenia danych:
Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub (patrz https://www.cisco.com/go/pro-pack).
Docker Wymagania pulpitowe
Przed zainstalowaniem węzłów HDS potrzebny jest Docker Desktop do uruchomienia programu konfiguracji. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis w blogu platformy Docker, „ Docker aktualizuje i rozszerza subskrypcje naszych produktów ”.
Wymagania dotyczące certyfikatu X.509
Łańcuch certyfikatów musi spełniać następujące wymagania:
Wymaganie | Szczegóły |
---|---|
| Domyślnie ufamy urzędnikom na liście Mozilla (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs. |
| CN nie musi być osiągalne ani hostem na żywo. Zalecamy używanie nazwy odzwierciedlającej np. organizację, CN nie może zawierać * (wildcard). CN służy do weryfikacji węzłów hybrydowych zabezpieczeń danych dla klientów aplikacji Webex. Wszystkie węzły hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. System KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie obsługujemy zmiany nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych. |
| Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu weryfikacji połączeń z KMSs innych organizacji. |
| Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Po uruchomieniu narzędzia konfiguracji usługi HDS należy wprowadzić hasło. |
Oprogramowanie KMS nie wymusza użycia klucza ani nie nakłada dodatkowych ograniczeń w jego używaniu. Niektóre organy certyfikatów wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia użycia kluczy, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.
Wymagania dotyczące wirtualnego prowadzącego
Wirtualne hosty skonfigurowane jako węzły hybrydowego zabezpieczenia danych w klastrze mają następujące wymagania:
Co najmniej dwa osobne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych
Oprogramowanie VMware ESXi 6.5 (lub nowsze) zostało zainstalowane i uruchomione.
Jeśli masz wcześniejszą wersję ESXi, musisz ją uaktualnić.
Minimum 4 procesory vCPUs, 8-GB pamięci głównej, 30-GB lokalnego miejsca na dysk twardy na serwer
Wymagania serwera bazy danych
Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych. |
Istnieją dwie opcje dla serwera bazy danych. Wymagania dla każdego z nich są następujące:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) | Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) |
Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC kierowca 42.2.5 | SQL Server JDBC sterownik 4.6 Ta wersja sterownika obsługuje program SQL Server Always On (Always On Failover Cluster Instances oraz Always On availability groups). |
Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w usłudze Microsoft SQL Server
Jeśli chcesz, aby węzły HDS używały uwierzytelniania w systemie Windows, aby uzyskać dostęp do bazy danych keystore na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w swoim środowisku:
Węzły HDS, infrastruktura Active Directory i MS SQL Server muszą być synchronizowane z NTP.
Konto systemu Windows dla węzłów HDS musi mieć dostęp do bazy danych do odczytu/zapisu.
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozwiązać klucz centrum dystrybucji (KDC).
Wystąpienie bazy danych HDS można zarejestrować na serwerze Microsoft SQL Server jako główną nazwę usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.
Narzędzie do konfigurowania HDS, uruchamianie HDS i lokalne KMS muszą używać uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych keystore. Używają szczegółów z konfiguracji ISO do budowy SPN podczas żądania dostępu za pomocą uwierzytelniania Kerberos.
Wymagania dotyczące połączeń zewnętrznych
Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:
Aplikacja | Protokół | Port | Polecenie z aplikacji | Miejsce docelowe |
---|---|---|---|---|
Węzły hybrydowego zabezpieczenia danych | TCP | 443 | Zewnętrzne HTTPS i WSS |
|
Narzędzie do konfigurowania HDS | TCP | 443 | Zewnętrzny protokół HTTPS |
|
Węzły hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub za zaporą, o ile NAT lub zapora zezwala na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują dostępu do węzłów hybrydowych zabezpieczeń danych w portach TCP 443 i 22 do celów administracyjnych. |
Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Są to bieżące hosty CI:
Region | Wspólne adresy URL prowadzącego tożsamości |
---|---|
Ameryka |
|
Unia Europejska |
|
Kanada |
|
Wymagania serwera proxy
Oficjalnie obsługujemy następujące rozwiązania proxy, które mogą integrować się z węzłami hybrydowego zabezpieczenia danych.
Przejrzysty serwer proxy — Cisco Web Security Appliance (WSA).
Wyraźny serwer proxy — Squid.
Proxies Squid, które sprawdzają ruch HTTPS może kolidować z ustanowieniem websocket (wss:) połączeń. Aby rozwiązać ten problem, zobacz Configure Squid Proxies for Hybrid Data Security.
Obsługujemy następujące kombinacje typów uwierzytelniania dla serwerów proxy:
Brak uwierzytelniania przy użyciu protokołu HTTP lub HTTPS
Uwierzytelnianie podstawowe przy użyciu protokołu HTTP lub HTTPS
Uwierzytelnianie przy użyciu protokołu HTTPS
W przypadku przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS należy posiadać kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania zawarte w tym przewodniku informują o sposobie przesłania kopii do sklepów zaufania węzłów hybrydowych zabezpieczeń danych.
Sieć hostująca węzły HDS musi być skonfigurowana tak, aby wymuszać wychodzący ruch TCP na porcie 443 na trasę przez serwer proxy.
Serwery proxy, które kontrolują ruch sieciowy, mogą zakłócać połączenia z gniazdem internetowym. Jeśli wystąpi ten problem, omijając (nie kontrolując) ruch do
wbx2.com
iciscospark.com
rozwiąże problem.
Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych
1 | Upewnij się, że Twoja organizacja Webex jest włączona dla pakietu Pro Pack dla Cisco Webex Control Hub i uzyskaj poświadczenia konta z pełnymi prawami administratora organizacji. Aby uzyskać pomoc w tym procesie, skontaktuj się z partnerem firmy Cisco lub menedżerem konta. | ||
2 | Wybierz nazwę domeny dla wdrożenia HDS (na przykład | ||
3 | Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły hybrydowego zabezpieczenia danych w klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych, które spełniają wymagania w Wymagania wirtualnego hosta. | ||
4 | Przygotuj serwer bazy danych, który będzie działał jako kluczowy magazyn danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być zestawiony w bezpiecznym centrum danych z wirtualnymi hostami. | ||
5 | W celu szybkiego odzyskiwania danych po awarii należy skonfigurować środowisko tworzenia kopii zapasowych w innym centrum danych. Środowisko tworzenia kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i zapasowego serwera bazy danych. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne. | ||
6 | Skonfiguruj hosta dziennika systemowego, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemowego (domyślnie jest to UDP 514). | ||
7 | Utwórz bezpieczne zasady tworzenia kopii zapasowych węzłów hybrydowych zabezpieczeń danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec niemożliwej do odzyskania utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów hybrydowych zabezpieczeń danych.
Klienci aplikacji Webex przechowują klucze w pamięci podręcznej, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się widoczna. Chociaż tymczasowe przerwy są niemożliwe do zapobieżenia, są one do odzyskania. Jednak całkowita utrata (brak kopii zapasowych) bazy danych lub pliku konfiguracyjnego ISO spowoduje niemożliwy do odzyskania dane klienta. Oczekuje się, że operatorzy węzłów hybrydowego bezpieczeństwa danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowy centrum danych hybrydowego bezpieczeństwa danych w przypadku wystąpienia katastrofalnej awarii. | ||
8 | Upewnij się, że konfiguracja zapory umożliwia dostęp do łączności w węzłach hybrydowych zabezpieczeń danych, jak opisano w Zewnętrznych wymogach dotyczących łączności. | ||
9 | Zainstaluj Docker ( https://www.docker.com) na każdej maszynie lokalnej z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080. Za pomocą wystąpienia Docker można pobrać i uruchomić narzędzie konfiguracji HDS, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów hybrydowych zabezpieczeń danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania Dotyczące Pulpitu Dockera. Aby zainstalować i uruchomić narzędzie do konfiguracji HDS, lokalna maszyna musi mieć łączność opisaną w Zewnętrznych wymaganiach dotyczących łączności. | ||
10 | Jeśli integrujesz serwer proxy z hybrydowymi zabezpieczeniami danych, upewnij się, że spełnia on wymagania serwera proxy. | ||
11 | Jeśli Twoja organizacja używa synchronizacji katalogu, utwórz grupę w usłudze Active Directory o nazwie
|
Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych
Przed rozpoczęciem
1 |
Pobierz plik OVA do lokalnego komputera, aby później go użyć. | ||
2 | Tworzenie ISO konfiguracji dla prowadzących HDS Za pomocą narzędzia konfiguracyjnego HDS można utworzyć plik konfiguracyjny ISO dla węzłów hybrydowych zabezpieczeń danych. | ||
3 |
Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe.
| ||
4 | Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych Zaloguj się na konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA. | ||
5 | Prześlij i zamontuj ISO konfiguracji HDS Skonfiguruj VM z pliku konfiguracyjnego ISO utworzonego za pomocą narzędzia do konfiguracji HDS. | ||
6 | Konfigurowanie węzła HDS dla integracji serwera proxy Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, którego użyjesz dla węzła, i w razie potrzeby dodaj certyfikat serwera proxy do sklepu zaufania. | ||
7 | Zarejestruj pierwszy węzeł w klastrze Zarejestruj maszynę wirtualną za pomocą chmury Cisco Webex jako węzeł hybrydowego zabezpieczenia danych. | ||
8 | Tworzenie i rejestrowanie większej liczby węzłów Zakończ konfigurację klastra. | ||
9 | Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział) Do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
Pobierz pliki instalacyjne
1 | Zaloguj się do https://admin.webex.com, a następnie kliknij opcję Usługi. | ||||
2 | W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych, a następnie kliknij przycisk Skonfiguruj. Jeśli karta jest wyłączona lub jej nie widzisz, skontaktuj się z zespołem ds. kont lub organizacją partnerską. Podaj im numer konta i poproś o włączenie organizacji Hybrid Data Security. Aby znaleźć numer konta, kliknij bieg w prawym górnym rogu obok nazwy organizacji.
| ||||
3 | Wybierz Nie , aby wskazać, że węzeł nie został jeszcze skonfigurowany, a następnie kliknij przycisk Dalej. Plik OVA automatycznie zaczyna się pobierać. Zapisz plik w lokalizacji na komputerze.
| ||||
4 | Opcjonalnie kliknij Open Deployment Guide (Otwórz przewodnik wdrażania), aby sprawdzić, czy dostępna jest późniejsza wersja tego przewodnika. |
Tworzenie ISO konfiguracji dla prowadzących HDS
Proces konfiguracji hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie należy użyć ISO do skonfigurowania hosta hybrydowego bezpieczeństwa danych.
Przed rozpoczęciem
Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas podnoszenia kontenera Docker w kroku 5. W tej tabeli podano kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Serwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Wygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Potrzebna jest najnowsza kopia tego pliku, gdy wprowadzasz zmiany w konfiguracji, takie jak:
Poświadczenia bazy danych
Aktualizacje certyfikatów
Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrowanie połączeń z bazą danych, skonfiguruj wdrożenie programu PostgreSQL lub SQL Server dla TLS.
1 | W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach:
W środowiskach FedRAMP:
| ||||||||||||
2 | Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:
| ||||||||||||
3 | Po wyświetleniu monitu o hasło wprowadź ten skrót:
| ||||||||||||
4 | Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach:
W środowiskach FedRAMP:
| ||||||||||||
5 | Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:
Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”. | ||||||||||||
6 |
Użyj przeglądarki internetowej, aby przejść do hosta lokalizacji, Narzędzie używa tego pierwszego wpisu nazwy użytkownika, aby ustawić odpowiednie środowisko dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie. | ||||||||||||
7 | Po wyświetleniu monitu wprowadź poświadczenia logowania administratora klienta Control Hub, a następnie kliknij przycisk Zaloguj się , aby zezwolić na dostęp do wymaganych usług Hybrid Data Security. | ||||||||||||
8 | Na stronie Przegląd narzędzia konfiguracyjnego kliknij Rozpocznij. | ||||||||||||
9 | Na stronie ISO Import dostępne są następujące opcje:
| ||||||||||||
10 | Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatów X.509.
| ||||||||||||
11 | Wprowadź adres bazy danych i konto HDS, aby uzyskać dostęp do klucza danych: | ||||||||||||
12 | Wybierz tryb połączenia z bazą danych TLS:
Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracji HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie sprawdza również osobę podpisującą certyfikat i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w połączeniach węzły HDS mogą być w stanie nawiązać połączenie TLS, nawet jeśli maszyna narzędziowa HDS Setup Tool nie jest w stanie go przetestować). | ||||||||||||
13 | Na stronie Dzienniki systemu skonfiguruj serwer Syslogd: | ||||||||||||
14 | (Opcjonalnie) W ustawieniach zaawansowanych można zmienić wartość domyślną niektórych parametrów połączenia z bazą danych. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić:
| ||||||||||||
15 | Kliknij przycisk Kontynuuj na ekranie Resetuj hasło konta usługi . Hasła konta serwisowego mają okres dziewięciu miesięcy. Użyj tego ekranu, gdy hasła zbliżają się do wygaśnięcia lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO. | ||||||||||||
16 | Kliknij opcję Pobierz plik ISO. Zapisz plik w lokalizacji, którą łatwo znaleźć. | ||||||||||||
17 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||||||||||||
18 | Aby zamknąć narzędzie Setup, wpisz: |
Co zrobić dalej
Kopia zapasowa pliku ISO konfiguracji. Musisz utworzyć więcej węzłów do odzyskiwania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Odzyskiwanie kluczy z bazy danych PostgreSQL lub Microsoft SQL Server nie jest możliwe.
Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz. |
Instalowanie OVA hosta HDS
1 | Aby zalogować się do wirtualnego hosta ESXi, użyj klienta VMware vSphere na komputerze. | ||||||
2 | Wybierz Plik > Wdrożenie szablonu OVF. | ||||||
3 | W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij Następny. | ||||||
4 | Na ekranie Wybierz nazwę i folder strona, wprowadź Nazwa maszyny wirtualnej dla węzła (na przykład „HDS_Node_1”) wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Następny. | ||||||
5 | Na ekranie Wybierz zasób obliczeniowy strona, wybierz docelowy zasób obliczeniowy, a następnie kliknij Następny. Trwa kontrola walidacji. Po jego zakończeniu pojawiają się szczegóły szablonu. | ||||||
6 | Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej. | ||||||
7 | Jeśli zostaniesz poproszony o wybranie konfiguracji zasobów na stronie Konfiguracja strona, kliknij 4 CPU a następnie kliknij Następny. | ||||||
8 | Na ekranie Wybierz miejsce strona, kliknij Następny aby zaakceptować domyślny format dysku i zasady przechowywania VM. | ||||||
9 | Na ekranie Wybierz sieci na stronie wybierz opcję sieci z listy pozycji, aby zapewnić żądaną łączność z maszyną wirtualną. | ||||||
10 | Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieci:
Jeśli jest to preferowane, można pominąć konfigurację ustawień sieci i wykonać czynności opisane w punkcie Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych w celu skonfigurowania ustawień z konsoli węzła.
| ||||||
11 | Kliknij prawym przyciskiem myszy węzeł VM, a następnie wybierz .Oprogramowanie Hybrid Data Security jest instalowane jako gość w hostu VM. Teraz możesz zalogować się na konsoli i skonfigurować węzeł. Wskazówki dotyczące rozwiązywania problemów Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzła. Podczas pierwszego uruchamiania na konsoli pojawi się komunikat zapory mostowej, podczas którego nie można się zalogować. |
Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych
Użyj tej procedury, aby po raz pierwszy zalogować się na konsoli VM węzła hybrydowego zabezpieczenia danych i ustawić poświadczenia logowania. Konsola może również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.
1 | W kliencie VMware vSphere wybierz węzeł VM Hybrid Data Security i kartę Console . Maszyna zostanie uruchomiona i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie nie jest wyświetlany, naciśnij przycisk Enter.
|
2 | Aby się zalogować i zmienić poświadczenia, należy użyć następującego domyślnego loginu i hasła: Ponieważ logujesz się do VM po raz pierwszy, musisz zmienić hasło administratora. |
3 | Jeśli ustawienia sieci zostały już skonfigurowane w Instalowaniu OVA hosta usługi HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację. |
4 | Skonfiguruj statyczną konfigurację z adresem IP, maską, bramą i informacjami DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany. |
5 | (Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne do dopasowania do zasad sieci. Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509. |
6 | Zapisz konfigurację sieci i uruchom ponownie VM, aby zmiany weszły w życie. |
Prześlij i zamontuj ISO konfiguracji HDS
Przed rozpoczęciem
Ponieważ plik ISO zawiera klucz główny, powinien on być narażony tylko na „potrzebę wiedzy”, aby uzyskać dostęp do hybrydowych maszyn wirtualnych ds. bezpieczeństwa danych i wszystkich administratorów, którzy mogą wymagać wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mogą uzyskać dostęp do bazy danych.
1 | Prześlij plik ISO z komputera: |
2 | Montaż pliku ISO: |
Co zrobić dalej
Jeśli polityka IT wymaga, możesz opcjonalnie odmontować plik ISO po tym, jak wszystkie węzły podniosą zmiany w konfiguracji. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.
Konfigurowanie węzła HDS dla integracji serwera proxy
Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z Hybrid Data Security. Po wybraniu przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS można użyć interfejsu węzła do przesłania i zainstalowania certyfikatu głównego. Możesz również sprawdzić połączenie serwera proxy z poziomu interfejsu i rozwiązać ewentualne problemy.
Przed rozpoczęciem
Aby zapoznać się z opcjami obsługiwanego serwera proxy, zobacz Obsługa serwera proxy.
1 | Wprowadź adres URL konfiguracji węzła HDS |
2 | Przejdź do sklepu Trust Store & Proxy, a następnie wybierz opcję:
Postępuj zgodnie z kolejnymi krokami w celu przejrzystego kontrolowania serwera proxy, bezpośredniego serwera proxy HTTP z uwierzytelnianiem podstawowym lub bezpośredniego serwera proxy HTTPS. |
3 | Kliknij opcję Prześlij certyfikat główny lub certyfikat jednostki końcowej, a następnie przejdź do opcji Wybierz certyfikat główny serwera proxy. Certyfikat jest przesyłany, ale jeszcze nie został zainstalowany, ponieważ aby zainstalować certyfikat, należy ponownie uruchomić węzeł. Aby uzyskać więcej szczegółów, kliknij strzałkę chevron po nazwie emitenta certyfikatu lub kliknij opcję Usuń, jeśli popełniłeś błąd i chcesz ponownie przesłać plik. |
4 | Kliknij Check Proxy Connection (Sprawdź połączenie proxy), aby sprawdzić połączenie sieciowe między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, pojawi się komunikat o błędzie przedstawiający przyczynę i sposób naprawienia problemu. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS. Warunek ten jest oczekiwany w wielu wyraźnych konfiguracjach serwera proxy. Możesz kontynuować konfigurację, a węzeł będzie działał w trybie Zablokowanej Zewnętrznej Rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj poniższe czynności, a następnie zobacz Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS. |
5 | Po przejściu testu połączenia, w przypadku wyraźnego serwera proxy ustawionego tylko na https, włącz przełącznik do Trasowania wszystkich żądań portu 443/444 https z tego węzła za pomocą wyraźnego serwera proxy. To ustawienie wymaga 15 sekund działania. |
6 | Kliknij Instaluj Wszystkie Certyfikaty W Sklepie Zaufania (pojawi się dla wyraźnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawi się dla wyraźnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij opcję Instaluj , jeśli jesteś gotowy. Węzeł zostanie uruchomiony ponownie w ciągu kilku minut. |
7 | Po ponownym uruchomieniu węzła zaloguj się ponownie w razie potrzeby, a następnie otwórz stronę Przegląd , aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie mają zielony status. Kontrola połączenia z serwerem proxy sprawdza tylko poddomenę webex.com. Jeśli występują problemy z łącznością, powszechnym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy. |
Zarejestruj pierwszy węzeł w klastrze
Po zarejestrowaniu pierwszego węzła utwórz klaster, do którego jest przypisany węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia zwolnień.
Przed rozpoczęciem
Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.
1 | Zaloguj się w https://admin.webex.com. |
2 | W menu po lewej stronie ekranu wybierz opcję Usługi. |
3 | W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij przycisk Skonfiguruj. Zostanie wyświetlona strona węzła Zarejestruj hybrydowe zabezpieczenia danych.
|
4 | Wybierz Tak, aby wskazać, że węzeł został skonfigurowany i chcesz go zarejestrować, a następnie kliknij przycisk Dalej. |
5 | W pierwszym polu wprowadź nazwę klastra, do którego chcesz przypisać węzeł hybrydowego zabezpieczenia danych. Zalecamy nazwanie klastra na podstawie lokalizacji węzłów klastra. Przykłady: "San Francisco", "Nowy Jork" czy "Dallas" |
6 | W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej. Ten adres IP lub nazwa FQDN powinny być zgodne z adresem IP lub nazwą hosta i domeną używaną podczas konfigurowania hybrydowej maszyny wirtualnej ds. bezpieczeństwa danych. Pojawi się komunikat informujący, że można zarejestrować węzeł w usłudze Webex.
|
7 | Kliknij przycisk Przejdź do węzła. |
8 | Kliknij przycisk Kontynuuj w komunikacie ostrzegawczym. Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji Webex, aby uzyskać dostęp do węzła.
|
9 | Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
|
10 | Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub. Na stronie Hybrid Data Security jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.
|
Tworzenie i rejestrowanie większej liczby węzłów
W tym czasie zapasowe maszyny wirtualne utworzone w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych są hostami gotowymi, które są używane tylko w przypadku odzyskiwania po awarii; do tego czasu nie są rejestrowane w systemie. Aby uzyskać szczegółowe informacje, patrz Przywracanie systemu po awarii za pomocą Standby Data Center. |
Przed rozpoczęciem
Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.
1 | Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Instalacji OVA hosta HDS. |
2 | Skonfiguruj konfigurację początkową na nowej maszynie wirtualnej, powtarzając kroki w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych. |
3 | W nowej maszynie wirtualnej wykonaj ponownie czynności opisane w polu Prześlij i zamontuj ISO konfiguracji HDS. |
4 | Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w Konfigurowaniu węzła HDS dla integracji serwera proxy zgodnie z potrzebami nowego węzła. |
5 | Zarejestruj węzeł. Twój węzeł jest zarejestrowany. Należy pamiętać, że do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie jest jeszcze aktywowana.
|
Co zrobić dalej
Przepływ próby do zadania produkcyjnego
Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.
Przed rozpoczęciem
1 | Jeśli dotyczy, zsynchronizuj Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać |
2 |
Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
3 | Przetestuj wdrożenie hybrydowego zabezpieczenia danych Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych. |
4 | Monitorowanie stanu hybrydowego bezpieczeństwa danych Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów. |
5 | |
6 | Zakończ fazę próbną, wykonując jedną z następujących czynności: |
Aktywuj wersję próbną
Przed rozpoczęciem
Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup
obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby dla organizacji. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.
1 | Zaloguj się do https://admin.webex.com, a następnie wybierz opcję Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną. Stan usługi zmienia się w tryb próbny.
|
4 | Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług. (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, |
Przetestuj wdrożenie hybrydowego zabezpieczenia danych
Przed rozpoczęciem
Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.
Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.
1 | Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.
| ||
2 | Wysyłaj wiadomości do nowego obszaru. | ||
3 | Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych. |
Monitorowanie stanu hybrydowego bezpieczeństwa danych
1 | W Control Hub wybierz Usługi z menu po lewej stronie ekranu. |
2 | W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij Ustawienia. Zostanie wyświetlona strona Ustawienia zabezpieczeń danych hybrydowych.
|
3 | W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij przycisk Enter. |
Dodawanie lub usuwanie użytkowników z wersji próbnej
Jeśli usuniesz użytkownika z wersji próbnej, klient poprosi go o utworzenie kluczy i klawiszy z chmury KMS zamiast Twojego KMS. Jeśli klient potrzebuje klucza przechowywanego w KMS, Cloud KMS pobierze go w imieniu użytkownika.
Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory (zamiast tej procedury) do zarządzania grupą próbną, HdsTrialGroup
; można wyświetlać członków grupy w Control Hub, ale nie można ich dodawać ani usuwać.
1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Tryby wersji próbnej w obszarze Stan usługi kliknij przycisk Dodaj użytkowników lub kliknij widok i edytuj , aby usunąć użytkowników z wersji próbnej. |
4 | Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania lub kliknij przycisk X identyfikatorem użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij Zapisz . |
Przeniesienie z wersji próbnej do produkcji
1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Stan usługi kliknij opcję Przenieś do produkcji. |
4 | Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji. |
Zakończ wersję próbną bez przejścia do produkcji
1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Dezaktywuj kliknij przycisk Dezaktywuj. |
4 | Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny. |
Zarządzanie wdrożeniem HDS
Użyj opisanych tutaj zadań do zarządzania wdrożeniem hybrydowego zabezpieczenia danych.
Ustaw harmonogram uaktualniania klastra
Aby ustawić harmonogram uaktualniania:
1 | Zaloguj się do Centrum sterowania . |
2 | Na stronie Przegląd w obszarze Usługi hybrydowe wybierz opcję Hybrid Data Security. |
3 | Na stronie Zasoby zabezpieczeń danych hybrydowych wybierz klaster. |
4 | W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra. |
5 | Na stronie Ustawienia w obszarze Uaktualnianie wybierz godzinę i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest następna dostępna data i godzina aktualizacji. W razie potrzeby można odroczyć uaktualnienie do następnego dnia, klikając opcję Odłóż. |
Zmień konfigurację węzła
Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.
Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do zarejestrowania klastra.
Aktualizowanie ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.
Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.
Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.
Ponadto, ze względów bezpieczeństwa, Hybrid Data Security używa haseł do kont usługi o dziewięciomiesięcznym okresie ważności. Gdy narzędzie konfiguracji HDS wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO . Gdy hasła organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex , aby zresetować hasło do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj API konta komputera, aby zaktualizować hasło”). Jeśli hasła jeszcze nie wygasły, narzędzie udostępnia dwie opcje:
Miękki reset — Stare i nowe hasło działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
Twardy reset — Stare hasła natychmiast przestają działać.
Jeśli hasła wygasną bez zresetowania, będzie to miało wpływ na usługę HDS i wymaga natychmiastowego twardego resetu i zastąpienia pliku ISO we wszystkich węzłach.
Ta procedura służy do generowania nowego konfiguracyjnego pliku ISO i zastosowania go do klastra.
Przed rozpoczęciem
Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas przywoływania kontenera Docker w 1.e. W tej tabeli podano kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Serwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO . ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.
1 | Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie konfiguracji HDS. |
2 | Jeśli uruchomiony jest tylko jeden węzeł HDS , utwórz nową maszynę VM węzła Hybrid Data Security i zarejestruj ją przy użyciu nowego konfiguracyjnego pliku ISO . Aby uzyskać bardziej szczegółowe instrukcje, zobacz temat Tworzenie i rejestrowanie większej liczby węzłów. |
3 | W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO . Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła: |
4 | Powtórz krok 3, aby zastąpić konfigurację w każdym pozostałym węźle, na którym działa stara konfiguracja. |
Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS
Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznawać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb Zablokowanej zewnętrznej rozdzielczości DNS.
Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, uruchamiając ponownie test połączenia serwera proxy w każdym węźle.
Przed rozpoczęciem
1 | W przeglądarce internetowej otwórz interfejs węzła hybrydowego zabezpieczenia danych (adres IP/konfiguracja, na przykład https://192.0.2.0/setup), wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się. |
2 | Przejdź do Przegląd (strona domyślna). Po włączeniu Rozpoznawanie zablokowanego zewnętrznego DNS jest ustawiony na Tak . |
3 | Przejdź do strony Trust Store & Proxy. |
4 | Kliknij przycisk Sprawdź połączenie z serwerem proxy. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS i pozostanie w tym trybie. W przeciwnym razie po ponownym uruchomieniu węzła i powrocie na stronę Przegląd zablokowana zewnętrzna rozdzielczość DNS powinna być ustawiona na nr. |
Co zrobić dalej
Usuń węzeł
1 | Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi i wyłączyć maszynę wirtualną. |
2 | Usuń węzeł: |
3 | W kliencie vSphere usuń maszynę wirtualną (w lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij polecenie Usuń). Jeśli nie usuniesz VM, pamiętaj o usunięciu pliku ISO konfiguracji. Bez pliku ISO nie można użyć maszyny wirtualnej, aby uzyskać dostęp do danych bezpieczeństwa. |
Odzyskiwanie po awarii za pomocą Standby Data Center
Najbardziej krytyczną usługą oferowaną przez klaster Hybrid Data Security jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji przypisanego do hybrydowego zabezpieczenia danych nowe żądania tworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za przywrócenie kluczy, które został utworzony do wszystkich użytkowników upoważnionych do ich odzyskania, na przykład członków obszaru konwersacji.
Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby utrzymywały się odpowiednie kopie zapasowe. Utrata bazy danych hybrydowych zabezpieczeń danych lub układu ISO konfiguracji stosowanego dla schematu spowoduje NIEZBĘDNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, konieczne są następujące praktyki:
Jeśli awaria spowoduje, że wdrożenie HDS w głównym centrum danych stanie się niedostępne, postępuj zgodnie z tą procedurą, aby ręcznie przełączyć się na standby centrum danych.
1 | Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts. | ||
2 | Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
3 | Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń
| ||
4 | Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
5 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
6 | W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
7 | Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
8 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
9 | Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
(Opcjonalnie) Odmontować ISO Po Konfiguracji HDS
Standardowa konfiguracja HDS działa z zamontowanym ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale zamontowanych. Plik ISO można odmontować po odebraniu nowej konfiguracji przez wszystkie węzły HDS.
Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego ISO lub aktualizacji ISO za pomocą narzędzia konfiguracyjnego należy zamontować zaktualizowany ISO na wszystkich węzłach HDS. Po odebraniu zmian konfiguracji przez wszystkie węzły można ponownie rozmontować ISO za pomocą tej procedury.
Przed rozpoczęciem
Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.
1 | Zamknij jeden z węzłów HDS. |
2 | W urządzeniu VCenter Server Appliance wybierz węzeł HDS. |
3 | Wybierz pliku Datastore ISO. i usuń zaznaczenie |
4 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut. |
5 | Powtórz kolejno dla każdego węzła HDS. |
Wyświetlanie alertów i rozwiązywania problemów
Wdrożenie hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że wymaga przekroczenia czasu. Jeśli użytkownicy nie mogą skontaktować się z klastrem hybrydowego zabezpieczenia danych, mogą wystąpić następujące objawy:
Nie można utworzyć nowych obszarów (nie można utworzyć nowych kluczy)
Wiadomości i tytuły przestrzeni nie można odszyfrować dla:
Dodano nowych użytkowników do obszaru (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze będą z powodzeniem działać tak długo, jak ich klienci będą mieli pamięć podręczną kluczy szyfrowania
Ważne jest, aby odpowiednio monitorować klaster hybrydowego zabezpieczenia danych i szybko zwracać się do wszystkich alertów, aby uniknąć zakłóceń w obsłudze.
Alerty
Jeśli występuje problem z konfiguracją hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.
Alert | Czynność |
---|---|
Niepowodzenie dostępu do lokalnej bazy danych. |
Sprawdź, czy występują błędy w bazie danych lub problemy z siecią lokalną. |
Niepowodzenie połączenia z lokalną bazą danych. |
Sprawdź, czy serwer bazy danych jest dostępny, a w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi. |
Niepowodzenie dostępu do usługi w chmurze. |
Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z wymaganiami Zewnętrznej łączności. |
Odnowienie rejestracji usług w chmurze. |
Zrezygnowano z rejestracji na usługi w chmurze. Trwa przedłużenie rejestracji. |
Rejestracja usług w chmurze została odrzucona. |
Rejestracja na usługi w chmurze została zakończona. Usługa jest wyłączona. |
Usługa jeszcze nie została aktywowana. |
Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do produkcji. |
Skonfigurowana domena nie odpowiada certyfikatowi serwera. |
Upewnij się, że certyfikat serwera jest zgodny z skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że certyfikat CN został ostatnio zmieniony i jest teraz inny niż CN, który był używany podczas początkowej konfiguracji. |
Nie można uwierzytelnić usług w chmurze. |
Kontrola poprawności i ewentualnego wygaśnięcia poświadczeń konta usługi. |
Nie można otworzyć lokalnego pliku keystore. |
Sprawdź integralność i dokładność hasła w lokalnym pliku keystore. |
Certyfikat lokalnego serwera jest nieprawidłowy. |
Sprawdź datę ważności certyfikatu serwera i potwierdź, że został on wydany przez zaufany urząd certyfikacji. |
Nie można publikować metryk. |
Sprawdź dostęp sieci lokalnej do zewnętrznych usług w chmurze. |
/media/configdrive/hds katalog nie istnieje. |
Sprawdź konfigurację montażu ISO na wirtualnym hostze. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu na ponownym uruchomieniu i czy został pomyślnie zainstalowany. |
Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych
1 | Przejrzyj Control Hub dla wszystkich alertów i naprawić wszystkie znalezione tam elementy. |
2 | Przejrzyj wyjście serwera dziennika systemowego pod kątem aktywności z wdrożenia hybrydowego zabezpieczenia danych. |
3 | Skontaktuj się z pomocą techniczną Cisco. |
Znane problemy dotyczące hybrydowych zabezpieczeń danych
Jeśli zamkniesz klaster hybrydowego zabezpieczenia danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych keystore, użytkownicy aplikacji Webex nie będą mogli już korzystać ze spacji na liście Osoby utworzonej za pomocą kluczy z KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia ani rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłudze aktywnych kont użytkowników.
Klient z istniejącym połączeniem ECDH z KMS utrzymuje to połączenie przez pewien czas (prawdopodobnie godzinę). Gdy użytkownik staje się członkiem próby hybrydowego zabezpieczenia danych, klient użytkownika nadal korzysta z istniejącego połączenia ECDH do czasu jego wyłączenia. Alternatywnie, użytkownik może wylogować się i wrócić do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w przypadku kluczy szyfrowania.
To samo zachowanie występuje podczas przenoszenia próby do produkcji dla organizacji. Wszyscy użytkownicy spoza wersji próbnej posiadający istniejące połączenia ECDH z poprzednimi służbami bezpieczeństwa danych będą nadal korzystać z tych usług do czasu renegocjacji połączenia ECDH (poprzez limit czasu lub poprzez wylogowanie i powrót).
Użyj protokołu OpenSSL, aby wygenerować plik PKCS12
Przed rozpoczęciem
OpenSSL jest jednym z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do ładowania w narzędziu konfiguracji HDS. Istnieją inne sposoby, aby to zrobić, i nie popieramy ani nie promujemy jednej drogi nad drugą.
Jeśli zdecydujesz się korzystać z OpenSSL, zapewniamy tę procedurę jako wytyczną, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatów X.509. Zrozum te wymagania, zanim przejdziesz dalej.
Zainstaluj OpenSSL w obsługiwanym środowisku. Patrz https://www.openssl.org oprogramowanie i dokumentacja.
Utwórz klucz prywatny.
Procedurę tę należy rozpocząć po otrzymaniu certyfikatu serwera od urzędu certyfikacji.
1 | Po otrzymaniu certyfikatu serwera z urzędu certyfikacji zapisz go jako |
2 | Wyświetl certyfikat jako tekst i zweryfikuj szczegóły.
|
3 | Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie
|
4 | Utwórz plik .p12 o przyjaznej nazwie
|
5 | Sprawdź szczegóły certyfikatu serwera. |
Co zrobić dalej
Powróć, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych. Korzystasz z hdsnode.p12
plik i ustawione dla niego hasło w Utwórz ISO konfiguracji dla prowadzących HDS.
Możesz ponownie użyć tych plików, aby poprosić o nowy certyfikat po wygaśnięciu oryginalnego certyfikatu. |
Ruch między węzłami HDS a chmurą
Ruch zbierania metryk wychodzących
Węzły hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dla maks. stosu, stosowanego stosu, obciążenia procesora i liczenia wątków; metryki na wątkach synchronicznych i asynchronicznych; metryki na alertach obejmujące próg połączeń szyfrowania, opóźnienie lub długość kolejki żądań; metryki na zbiorniku danych; oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał poza pasmem (oddzielony od żądania).
Ruch przychodzący
Węzły hybrydowego zabezpieczenia danych otrzymują następujące typy ruchu przychodzącego z chmury Webex:
Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania
Aktualizacja do oprogramowania węzła
Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych
Websocket Nie Można Połączyć Za Pomocą Proxy Squid
Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS, mogą ingerować w tworzenie websocket ( wss:
) połączenia, których wymaga Hybrid Data Security. Sekcje te zawierają wskazówki dotyczące konfigurowania różnych wersji Squid do ignorowania wss:
ruch w celu prawidłowego funkcjonowania usług.
Squid 4 i 5
Dodaj on_unsupported_protocol
dyrektywa do squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Z powodzeniem przetestowaliśmy hybrydowe zabezpieczenia danych, dodając następujące zasady squid.conf
. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizacji chmury Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nowe i zmienione informacje
Data | Zmiany | ||
---|---|---|---|
20 października 2023 r. |
| ||
07 sierpnia 2023 r. |
| ||
23 maja 2023 r. |
| ||
06 grudnia 2022 r. |
| ||
23 listopada 2022 r. |
| ||
13 października 2021 r. | Docker Desktop musi uruchomić program konfiguracji przed zainstalowaniem węzłów HDS. Zobacz Wymagania Dotyczące Pulpitu Docker. | ||
24 czerwca 2021 r. | Pamiętaj, że możesz ponownie użyć pliku klucza prywatnego i CSR, aby poprosić o inny certyfikat. Aby uzyskać szczegółowe informacje, zobacz Użyj OpenSSL, aby wygenerować plik PKCS12. | ||
30 kwietnia 2021 r. | Zmieniono wymaganie VM dla lokalnego miejsca na dysku twardym na 30 GB. Szczegółowe informacje można znaleźć w sekcji Wymagania wirtualnego prowadzącego. | ||
24 lutego 2021 r. | Narzędzie konfiguracji usługi HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie ISO konfiguracji hostów HDS. | ||
2 lutego 2021 r. | HDS może teraz działać bez zamontowanego pliku ISO. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS. | ||
11 stycznia 2021 r. | Dodano informacje o narzędziu do konfiguracji HDS i pełnomocnikach, aby utworzyć ISO konfiguracji dla prowadzących HDS. | ||
13 października 2020 r. | Zaktualizowano Pobierz pliki instalacyjne. | ||
8 października 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP. | ||
14 sierpnia 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła ze zmianami w procesie logowania. | ||
5 sierpnia 2020 r. | Zaktualizowano testowanie wdrażania hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika. Zaktualizowano wymagania hosta wirtualnego , aby usunąć maksymalną liczbę hostów. | ||
16 czerwca 2020 r. | Zaktualizowano Usuwanie węzła pod kątem zmian w interfejsie interfejsu Control Hub. | ||
4 czerwca 2020 r. | Zaktualizowano Tworzenie ISO konfiguracji dla hostów HDS w celu wprowadzenia zmian w ustawieniach zaawansowanych, które można ustawić. | ||
29 maja 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami interfejsu użytkownika i innymi wyjaśnieniami. | ||
5 maja 2020 r. | Zaktualizowano wymagania hosta wirtualnego , aby pokazać nowe wymagania ESXi 6.5. | ||
21 kwietnia 2020 r. | Zaktualizowane wymagania dotyczące łączności zewnętrznej z nowymi hostami CI Americas. | ||
1 kwietnia 2020 r. | Zaktualizowane wymagania dotyczące łączności zewnętrznej z informacjami na temat regionalnych prowadzących CI. | ||
20 lutego 2020 r. | Zaktualizowano Utwórz ISO konfiguracji hostów HDS z informacjami na nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu do konfiguracji HDS. | ||
4 lutego 2020 r. | Zaktualizowano wymagania serwera proxy. | ||
16 grudnia 2019 r. | Wyjaśnione wymagania dotyczące zablokowanego zewnętrznego trybu rozdzielczości DNS do pracy w wymaganiach serwera proxy. | ||
19 listopada 2019 r. | Dodano informacje o zablokowanym zewnętrznym trybie rozpoznawania DNS w następujących sekcjach: | ||
8 listopada 2019 r. | Teraz można skonfigurować ustawienia sieciowe węzła podczas wdrażania OVA, a nie później. Zaktualizowano odpowiednio następujące sekcje:
| ||
6 września 2019 r. | Dodano SQL Server Standard do wymagań serwera bazy danych. | ||
29 sierpnia 2019 r. | Dodano Configure Squid Proxies for Hybrid Data Security appendix z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu zignorowania ruchu websocket w celu prawidłowej obsługi. | ||
20 sierpnia 2019 r. | Dodano i zaktualizowano sekcje, aby objąć obsługę proxy komunikacji węzła hybrydowego bezpieczeństwa danych z chmurą Webex. Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł pomocy Proxy Support for Hybrid Data Security i Webex Video Mesh . | ||
13 czerwca 2019 r. | Zaktualizowano próbny do przepływu zadań produkcyjnych z przypomnieniem o synchronizacji HdsTrialGroup obiekt grupowy przed rozpoczęciem próby, jeśli Twoja organizacja korzysta z synchronizacji katalogu. | ||
6 marca 2019 r. |
| ||
28 lutego 2019 r. |
| ||
26 lutego 2019 r. |
| ||
24 stycznia 2019 r. |
| ||
5 listopada 2018 r. |
| ||
19 października 2018 r. |
| ||
31 lipca 2018 r. |
| ||
21 maja 2018 r. | Zmieniona terminologia odzwierciedlająca zmianę marki Cisco Spark:
| ||
11 kwietnia 2018 r. |
| ||
22 lutego 2018 r. |
| ||
Luty 15, 2018 |
| ||
Styczeń 18, 2018 |
| ||
2 listopada 2017 r. |
| ||
18 sierpnia 2017 r. | Pierwsza publikacja |
Przegląd zabezpieczeń danych hybrydowych
Od pierwszego dnia bezpieczeństwo danych było głównym celem projektowania aplikacji Webex. Podstawą tych zabezpieczeń jest kompleksowe szyfrowanie zawartości, włączane przez klientów aplikacji Webex , którzy wchodzą w interakcję z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.
Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS w obszarze bezpieczeństwa firmy Cisco. Hybrid Data Security przenosi usługę KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie ma kluczy do zaszyfrowanej zawartości.
Architektura domeny zabezpieczeń
Architektura chmury Webex oddziela różne rodzaje usług od osobnych domen lub domen zaufania, jak przedstawiono poniżej.
Aby lepiej zrozumieć hybrydowe zabezpieczenia danych, spójrzmy najpierw na ten przypadek czystej chmury, w którym firma Cisco zapewnia wszystkie funkcje w swoich domenach w chmurze. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od domeny bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od domeny, w której ostatecznie przechowywana jest zaszyfrowana zawartość, w centrum danych C.
Na tym schemacie klient to aplikacja Webex działająca na laptopie użytkownika i uwierzytelniona za pomocą usługi tożsamości. Gdy użytkownik komponuje wiadomość do wysłania do obszaru, wykonywane są następujące czynności:
Klient ustanawia bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie prosi o klucz do szyfrowania wiadomości. Bezpieczne połączenie korzysta z ECDH, a KMS szyfruje klucz przy użyciu klucza głównego AES-256.
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła go do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniach zawartości.
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w domenie przechowywania.
Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze, które składają się na usługę Webex (w tym pamięć masowa tożsamości i zawartości), pozostają w domenach Cisco.
Współpraca z innymi organizacjami
Użytkownicy w organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników prosi o klucz do obszaru należącego do organizacji (ponieważ został on utworzony przez jednego z użytkowników), KMS wysyła klucz do klienta za pośrednictwem kanału zabezpieczonego ECDH. Jednak gdy inna organizacja jest właścicielem klucza dla obszaru, system KMS kieruje żądanie do chmury Webex przez osobny kanał ECDH, aby uzyskać klucz z odpowiedniego systemu KMS, a następnie zwraca go do użytkownika na oryginalnym kanale.
Usługa KMS działająca na Org A weryfikuje połączenia z KMSs w innych organizacjach za pomocą certyfikatów PKI x.509. Aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użytku z wdrożeniem hybrydowego zabezpieczenia danych, zobacz Prepare Your Environment (Przygotowanie środowiska).
Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych
Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klienta i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.
Aby wdrożyć hybrydowe zabezpieczenia danych, należy zapewnić:
Bezpieczne centrum danych w kraju, który jest obsługiwaną lokalizacją dla planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w punkcie Przygotowanie środowiska.
Kompletna utrata konfiguracji ISO utworzonej dla hybrydowego zabezpieczenia danych lub dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:
Zarządzanie kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.
Przygotuj się do szybkiego odzyskiwania awaryjnego w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub awaria centrum danych.
Nie ma mechanizmu przenoszenia kluczy z powrotem do chmury po wdrożeniu HDS. |
Proces konfiguracji na wysokim poziomie
Niniejszy dokument obejmuje konfigurację i zarządzanie wdrożeniem hybrydowego zabezpieczenia danych:
Skonfiguruj hybrydowe zabezpieczenia danych— obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, testowanie wdrożenia z podzbiorem użytkowników w trybie próbnym oraz, po zakończeniu testów, przejście do produkcji. Spowoduje to konwertowanie całej organizacji do używania klastra Hybrid Data Security dla funkcji zabezpieczeń.
Etapy konfiguracji, prób i produkcji zostały szczegółowo omówione w kolejnych trzech rozdziałach.
Utrzymuj wdrożenie hybrydowego zabezpieczenia danych— chmura Webex automatycznie zapewnia trwające uaktualnienia. Dział IT może zapewnić wsparcie poziomu pierwszego dla tego wdrożenia i zaangażować wsparcie Cisco w razie potrzeby. Możesz korzystać z powiadomień na ekranie i konfigurować alerty oparte na wiadomościach e-mail w Control Hub.
Zrozumienie wspólnych alertów, kroków rozwiązywania problemów i znanych problemów— w przypadku wystąpienia problemów z wdrożeniem lub użyciem hybrydowego zabezpieczenia danych ostatni rozdział niniejszego przewodnika i dodatku do Znanych problemów może pomóc w określeniu i rozwiązaniu problemu.
Hybrydowy model wdrażania zabezpieczeń danych
W centrum danych przedsiębiorstwa wdrażasz hybrydowe zabezpieczenia danych jako jeden klaster węzłów na osobnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych websocketów i bezpiecznego protokołu HTTP.
Podczas procesu instalacji dostarczamy Ci plik OVA do skonfigurowania urządzenia wirtualnego na dostarczonych maszynach wirtualnych. Narzędzie konfiguracyjne HDS służy do tworzenia niestandardowego pliku ISO konfiguracji klastra, który jest montowany w każdym węźle. Klaster Hybrid Data Security korzysta z dostarczonego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu konfiguracji HDS).
Minimalna liczba węzłów w klastrze to dwa. Zalecamy co najmniej trzy, a możesz mieć do pięciu. Posiadanie wielu węzłów zapewnia, że usługa nie zostanie przerwana podczas uaktualniania oprogramowania lub innej czynności konserwacyjnej w węźle. (Chmura Webex aktualizuje tylko jeden węzeł naraz).
Wszystkie węzły w klastrze mają dostęp do tego samego rekordu danych klucza i aktywności dziennika na tym samym serwerze dziennika systemowego. Same węzły są bezpaństwowe i obsługują żądania kluczy w sposób okrągły, zgodnie z zaleceniami chmury.
Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby usunąć pojedynczy węzeł z usługi, można go wyrejestrować, a następnie ponownie wyrejestrować w razie potrzeby.
Obsługujemy tylko jeden klaster na organizację.
Tryb próbny zabezpieczeń danych hybrydowych
Po skonfigurowaniu wdrożenia hybrydowego zabezpieczenia danych spróbuj go najpierw z zestawem użytkowników pilotażowych. W okresie próbnym użytkownicy ci wykorzystują lokalną domenę hybrydowego zabezpieczenia danych do szyfrowania kluczy i innych usług domeny zabezpieczeń. Inni użytkownicy nadal korzystają ze sfery zabezpieczeń w chmurze.
Jeśli zdecydujesz się nie kontynuować wdrażania podczas wersji próbnej i dezaktywować usługi, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi współpracowali, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zostanie wyświetlony komunikat „Nie można odszyfrować tej wiadomości” w aplikacji Webex.
Jeśli jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych i jesteś gotowy do rozszerzenia hybrydowego zabezpieczenia danych na wszystkich użytkowników, przenosisz wdrożenie do produkcji. Użytkownicy pilotażowi nadal mają dostęp do kluczy, które były używane podczas próby. Nie można jednak poruszać się w tę i z powrotem między trybem produkcji a oryginalnym testem. Jeśli musisz dezaktywować usługę, na przykład w celu przeprowadzenia odzyskiwania po awarii, po ponownej aktywacji musisz rozpocząć nową wersję próbną i skonfigurować zestaw użytkowników pilotażowych dla nowej wersji próbnej przed powrotem do trybu produkcji. To, czy użytkownicy zachowują w tym momencie dostęp do danych, zależy od tego, czy udało się zachować kopie zapasowe kluczowego magazynu danych i pliku konfiguracyjnego ISO dla węzłów hybrydowych zabezpieczeń danych w klastrze.
Standby Data Center for Disaster Recovery
Podczas wdrażania skonfigurowano bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie anulować wdrożenie do centrum danych w trybie gotowości.
Bazy danych aktywnych i standby centrów danych są ze sobą zsynchronizowane, co zminimalizuje czas potrzebny na wykonanie przełącznika awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają rejestrację węzłów w organizacji, ale nie obsługują ruchu. Stąd węzły standby data center zawsze pozostają aktualne z najnowszą wersją oprogramowania HDS.
Aktywne węzły hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych. |
Konfiguracja Standby Data Center do odzyskiwania awarii
Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:
Przed rozpoczęciem
Centrum danych w stanie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych oraz zapasową bazę danych PostgreSQL lub Microsoft SQL Server. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne (zobacz Standby Data Center for Disaster Recovery , aby zapoznać się z tym modelem failover).
Upewnij się, że synchronizacja bazy danych jest włączona między bazą danych aktywnych i pasywnych węzłów klastra.
1 | Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.
| ||
2 | Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
3 | Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwał żadnego ruchu.
| ||
4 | Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
5 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
6 | W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
7 | Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
8 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
9 | Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
Po skonfigurowaniu passiveMode
w pliku ISO i zapisanie go można utworzyć inną kopię pliku ISO bez passiveMode
konfigurację i zapisanie w bezpiecznym miejscu. Ta kopia pliku ISO bez passiveMode
skonfigurowany może pomóc w szybkim procesie awaryjnym podczas odzyskiwania po awarii. Aby zapoznać się ze szczegółową procedurą przywracania awaryjnego za pomocą Standby Data Center (Centrum danych gotowości).
Wsparcie proxy
Hybrydowe zabezpieczenia danych obsługują jednoznaczne, przejrzyste inspekcje i nieinspekcje serwerów proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby można było zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy można używać w węzłach do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.
Węzły hybrydowego zabezpieczenia danych obsługują następujące opcje serwera proxy:
Brak serwera proxy — ustawienie domyślne, jeśli w celu zintegrowania serwera proxy nie jest używane do konfiguracji węzła HDS Trust Store & Proxy. Nie jest wymagana aktualizacja certyfikatu.
Przejrzysty serwer proxy niekontrolowany — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z serwerem proxy niekontrolowanym. Nie jest wymagana aktualizacja certyfikatu.
Przejrzyste tunelowanie lub sprawdzanie serwera proxy — węzły nie są skonfigurowane do korzystania z określonego adresu serwera proxy. W węzłach nie są konieczne zmiany konfiguracji protokołu HTTP ani protokołu HTTPS. Węzły potrzebują jednak certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).
Wyraźny serwer proxy — w przypadku wyraźnego serwera proxy należy wskazać węzły HDS, których serwer proxy i schemat uwierzytelniania należy używać. Aby skonfigurować wyraźny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.
Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.
Protokół proxy— w zależności od tego, co obsługuje serwer proxy, wybierz między następującymi protokołami:
HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
HTTPS — udostępnia kanał do serwera. Klient odbiera i weryfikuje certyfikat serwera.
Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:
Brak — dalsze uwierzytelnianie nie jest wymagane.
Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.
Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.
Dostępne tylko po wybraniu protokołu HTTPS jako protokołu proxy.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Przykład węzłów hybrydowych zabezpieczeń danych i serwera proxy
Na tym wykresie przedstawiono przykładowe połączenie między hybrydowym zabezpieczeniem danych, siecią i serwerem proxy. W przypadku opcji przejrzystej inspekcji i jawnej inspekcji serwera proxy HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach hybrydowych zabezpieczeń danych.
Zablokowany zewnętrzny tryb rozpoznawania DNS (wyraźne konfiguracje serwera proxy)
Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. W przypadku wdrożeń z wyraźnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzną rozdzielczość DNS dla klientów wewnętrznych, jeśli węzeł nie może wyszukiwać serwerów DNS, automatycznie przechodzi on w tryb Zablokowanej zewnętrznej rozdzielczości DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.
Wymagania dotyczące hybrydowego bezpieczeństwa danych
Wymagania licencyjne Cisco Webex
Aby wdrożyć hybrydowe zabezpieczenia danych:
Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub (patrz https://www.cisco.com/go/pro-pack).
Docker Wymagania pulpitowe
Przed zainstalowaniem węzłów HDS potrzebny jest Docker Desktop do uruchomienia programu konfiguracji. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis w blogu platformy Docker, „ Docker aktualizuje i rozszerza subskrypcje naszych produktów ”.
Wymagania dotyczące certyfikatu X.509
Łańcuch certyfikatów musi spełniać następujące wymagania:
Wymaganie | Szczegóły |
---|---|
| Domyślnie ufamy urzędnikom na liście Mozilla (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs. |
| CN nie musi być osiągalne ani hostem na żywo. Zalecamy używanie nazwy odzwierciedlającej np. organizację, CN nie może zawierać * (wildcard). CN służy do weryfikacji węzłów hybrydowych zabezpieczeń danych dla klientów aplikacji Webex. Wszystkie węzły hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. System KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie obsługujemy zmiany nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych. |
| Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu weryfikacji połączeń z KMSs innych organizacji. |
| Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Po uruchomieniu narzędzia konfiguracji usługi HDS należy wprowadzić hasło. |
Oprogramowanie KMS nie wymusza użycia klucza ani nie nakłada dodatkowych ograniczeń w jego używaniu. Niektóre organy certyfikatów wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia użycia kluczy, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.
Wymagania dotyczące wirtualnego prowadzącego
Wirtualne hosty skonfigurowane jako węzły hybrydowego zabezpieczenia danych w klastrze mają następujące wymagania:
Co najmniej dwa osobne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych
Oprogramowanie VMware ESXi 6.5 (lub nowsze) zostało zainstalowane i uruchomione.
Jeśli masz wcześniejszą wersję ESXi, musisz ją uaktualnić.
Minimum 4 procesory vCPUs, 8-GB pamięci głównej, 30-GB lokalnego miejsca na dysk twardy na serwer
Wymagania serwera bazy danych
Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych. |
Istnieją dwie opcje dla serwera bazy danych. Wymagania dla każdego z nich są następujące:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) | Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) |
Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC kierowca 42.2.5 | SQL Server JDBC sterownik 4.6 Ta wersja sterownika obsługuje program SQL Server Always On (Always On Failover Cluster Instances oraz Always On availability groups). |
Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w usłudze Microsoft SQL Server
Jeśli chcesz, aby węzły HDS używały uwierzytelniania w systemie Windows, aby uzyskać dostęp do bazy danych keystore na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w swoim środowisku:
Węzły HDS, infrastruktura Active Directory i MS SQL Server muszą być synchronizowane z NTP.
Konto systemu Windows dla węzłów HDS musi mieć dostęp do bazy danych do odczytu/zapisu.
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozwiązać klucz centrum dystrybucji (KDC).
Wystąpienie bazy danych HDS można zarejestrować na serwerze Microsoft SQL Server jako główną nazwę usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.
Narzędzie do konfigurowania HDS, uruchamianie HDS i lokalne KMS muszą używać uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych keystore. Używają szczegółów z konfiguracji ISO do budowy SPN podczas żądania dostępu za pomocą uwierzytelniania Kerberos.
Wymagania dotyczące połączeń zewnętrznych
Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:
Aplikacja | Protokół | Port | Polecenie z aplikacji | Miejsce docelowe |
---|---|---|---|---|
Węzły hybrydowego zabezpieczenia danych | TCP | 443 | Zewnętrzne HTTPS i WSS |
|
Narzędzie do konfigurowania HDS | TCP | 443 | Zewnętrzny protokół HTTPS |
|
Węzły hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub za zaporą, o ile NAT lub zapora zezwala na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują dostępu do węzłów hybrydowych zabezpieczeń danych w portach TCP 443 i 22 do celów administracyjnych. |
Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Są to bieżące hosty CI:
Region | Wspólne adresy URL prowadzącego tożsamości |
---|---|
Ameryka |
|
Unia Europejska |
|
Kanada |
|
Wymagania serwera proxy
Oficjalnie obsługujemy następujące rozwiązania proxy, które mogą integrować się z węzłami hybrydowego zabezpieczenia danych.
Przejrzysty serwer proxy — Cisco Web Security Appliance (WSA).
Wyraźny serwer proxy — Squid.
Proxies Squid, które sprawdzają ruch HTTPS może kolidować z ustanowieniem websocket (wss:) połączeń. Aby rozwiązać ten problem, zobacz Configure Squid Proxies for Hybrid Data Security.
Obsługujemy następujące kombinacje typów uwierzytelniania dla serwerów proxy:
Brak uwierzytelniania przy użyciu protokołu HTTP lub HTTPS
Uwierzytelnianie podstawowe przy użyciu protokołu HTTP lub HTTPS
Uwierzytelnianie przy użyciu protokołu HTTPS
W przypadku przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS należy posiadać kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania zawarte w tym przewodniku informują o sposobie przesłania kopii do sklepów zaufania węzłów hybrydowych zabezpieczeń danych.
Sieć hostująca węzły HDS musi być skonfigurowana tak, aby wymuszać wychodzący ruch TCP na porcie 443 na trasę przez serwer proxy.
Serwery proxy, które kontrolują ruch sieciowy, mogą zakłócać połączenia z gniazdem internetowym. Jeśli wystąpi ten problem, omijając (nie kontrolując) ruch do
wbx2.com
iciscospark.com
rozwiąże problem.
Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych
1 | Upewnij się, że Twoja organizacja Webex jest włączona dla pakietu Pro Pack dla Cisco Webex Control Hub i uzyskaj poświadczenia konta z pełnymi prawami administratora organizacji. Aby uzyskać pomoc w tym procesie, skontaktuj się z partnerem firmy Cisco lub menedżerem konta. | ||
2 | Wybierz nazwę domeny dla wdrożenia HDS (na przykład | ||
3 | Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły hybrydowego zabezpieczenia danych w klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych, które spełniają wymagania w Wymagania wirtualnego hosta. | ||
4 | Przygotuj serwer bazy danych, który będzie działał jako kluczowy magazyn danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być zestawiony w bezpiecznym centrum danych z wirtualnymi hostami. | ||
5 | W celu szybkiego odzyskiwania danych po awarii należy skonfigurować środowisko tworzenia kopii zapasowych w innym centrum danych. Środowisko tworzenia kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i zapasowego serwera bazy danych. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne. | ||
6 | Skonfiguruj hosta dziennika systemowego, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemowego (domyślnie jest to UDP 514). | ||
7 | Utwórz bezpieczne zasady tworzenia kopii zapasowych węzłów hybrydowych zabezpieczeń danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec niemożliwej do odzyskania utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów hybrydowych zabezpieczeń danych.
Klienci aplikacji Webex przechowują klucze w pamięci podręcznej, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się widoczna. Chociaż tymczasowe przerwy są niemożliwe do zapobieżenia, są one do odzyskania. Jednak całkowita utrata (brak kopii zapasowych) bazy danych lub pliku konfiguracyjnego ISO spowoduje niemożliwy do odzyskania dane klienta. Oczekuje się, że operatorzy węzłów hybrydowego bezpieczeństwa danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowy centrum danych hybrydowego bezpieczeństwa danych w przypadku wystąpienia katastrofalnej awarii. | ||
8 | Upewnij się, że konfiguracja zapory umożliwia dostęp do łączności w węzłach hybrydowych zabezpieczeń danych, jak opisano w Zewnętrznych wymogach dotyczących łączności. | ||
9 | Zainstaluj Docker ( https://www.docker.com) na każdej maszynie lokalnej z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080. Za pomocą wystąpienia Docker można pobrać i uruchomić narzędzie konfiguracji HDS, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów hybrydowych zabezpieczeń danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania Dotyczące Pulpitu Dockera. Aby zainstalować i uruchomić narzędzie do konfiguracji HDS, lokalna maszyna musi mieć łączność opisaną w Zewnętrznych wymaganiach dotyczących łączności. | ||
10 | Jeśli integrujesz serwer proxy z hybrydowymi zabezpieczeniami danych, upewnij się, że spełnia on wymagania serwera proxy. | ||
11 | Jeśli Twoja organizacja używa synchronizacji katalogu, utwórz grupę w usłudze Active Directory o nazwie
|
Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych
Przed rozpoczęciem
1 |
Pobierz plik OVA do lokalnego komputera, aby później go użyć. | ||
2 | Tworzenie ISO konfiguracji dla prowadzących HDS Za pomocą narzędzia konfiguracyjnego HDS można utworzyć plik konfiguracyjny ISO dla węzłów hybrydowych zabezpieczeń danych. | ||
3 |
Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe.
| ||
4 | Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych Zaloguj się na konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA. | ||
5 | Prześlij i zamontuj ISO konfiguracji HDS Skonfiguruj VM z pliku konfiguracyjnego ISO utworzonego za pomocą narzędzia do konfiguracji HDS. | ||
6 | Konfigurowanie węzła HDS dla integracji serwera proxy Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, którego użyjesz dla węzła, i w razie potrzeby dodaj certyfikat serwera proxy do sklepu zaufania. | ||
7 | Zarejestruj pierwszy węzeł w klastrze Zarejestruj maszynę wirtualną za pomocą chmury Cisco Webex jako węzeł hybrydowego zabezpieczenia danych. | ||
8 | Tworzenie i rejestrowanie większej liczby węzłów Zakończ konfigurację klastra. | ||
9 | Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział) Do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
Pobierz pliki instalacyjne
1 | Zaloguj się do https://admin.webex.com, a następnie kliknij opcję Usługi. | ||||
2 | W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych, a następnie kliknij przycisk Skonfiguruj. Jeśli karta jest wyłączona lub jej nie widzisz, skontaktuj się z zespołem ds. kont lub organizacją partnerską. Podaj im numer konta i poproś o włączenie organizacji Hybrid Data Security. Aby znaleźć numer konta, kliknij bieg w prawym górnym rogu obok nazwy organizacji.
| ||||
3 | Wybierz Nie , aby wskazać, że węzeł nie został jeszcze skonfigurowany, a następnie kliknij przycisk Dalej. Plik OVA automatycznie zaczyna się pobierać. Zapisz plik w lokalizacji na komputerze.
| ||||
4 | Opcjonalnie kliknij Open Deployment Guide (Otwórz przewodnik wdrażania), aby sprawdzić, czy dostępna jest późniejsza wersja tego przewodnika. |
Tworzenie ISO konfiguracji dla prowadzących HDS
Proces konfiguracji hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie należy użyć ISO do skonfigurowania hosta hybrydowego bezpieczeństwa danych.
Przed rozpoczęciem
Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas podnoszenia kontenera Docker w kroku 5. W tej tabeli podano kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Serwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Wygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Potrzebna jest najnowsza kopia tego pliku, gdy wprowadzasz zmiany w konfiguracji, takie jak:
Poświadczenia bazy danych
Aktualizacje certyfikatów
Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrowanie połączeń z bazą danych, skonfiguruj wdrożenie programu PostgreSQL lub SQL Server dla TLS.
1 | W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach:
W środowiskach FedRAMP:
| ||||||||||||
2 | Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:
| ||||||||||||
3 | Po wyświetleniu monitu o hasło wprowadź ten skrót:
| ||||||||||||
4 | Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach:
W środowiskach FedRAMP:
| ||||||||||||
5 | Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:
Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”. | ||||||||||||
6 |
Użyj przeglądarki internetowej, aby przejść do hosta lokalizacji, Narzędzie używa tego pierwszego wpisu nazwy użytkownika, aby ustawić odpowiednie środowisko dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie. | ||||||||||||
7 | Po wyświetleniu monitu wprowadź poświadczenia logowania administratora klienta Control Hub, a następnie kliknij przycisk Zaloguj się , aby zezwolić na dostęp do wymaganych usług Hybrid Data Security. | ||||||||||||
8 | Na stronie Przegląd narzędzia konfiguracyjnego kliknij Rozpocznij. | ||||||||||||
9 | Na stronie ISO Import dostępne są następujące opcje:
| ||||||||||||
10 | Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatów X.509.
| ||||||||||||
11 | Wprowadź adres bazy danych i konto HDS, aby uzyskać dostęp do klucza danych: | ||||||||||||
12 | Wybierz tryb połączenia z bazą danych TLS:
Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracji HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie sprawdza również osobę podpisującą certyfikat i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w połączeniach węzły HDS mogą być w stanie nawiązać połączenie TLS, nawet jeśli maszyna narzędziowa HDS Setup Tool nie jest w stanie go przetestować). | ||||||||||||
13 | Na stronie Dzienniki systemu skonfiguruj serwer Syslogd: | ||||||||||||
14 | (Opcjonalnie) W ustawieniach zaawansowanych można zmienić wartość domyślną niektórych parametrów połączenia z bazą danych. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić:
| ||||||||||||
15 | Kliknij przycisk Kontynuuj na ekranie Resetuj hasło konta usługi . Hasła konta serwisowego mają okres dziewięciu miesięcy. Użyj tego ekranu, gdy hasła zbliżają się do wygaśnięcia lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO. | ||||||||||||
16 | Kliknij opcję Pobierz plik ISO. Zapisz plik w lokalizacji, którą łatwo znaleźć. | ||||||||||||
17 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||||||||||||
18 | Aby zamknąć narzędzie Setup, wpisz: |
Co zrobić dalej
Kopia zapasowa pliku ISO konfiguracji. Musisz utworzyć więcej węzłów do odzyskiwania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Odzyskiwanie kluczy z bazy danych PostgreSQL lub Microsoft SQL Server nie jest możliwe.
Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz. |
Instalowanie OVA hosta HDS
1 | Aby zalogować się do wirtualnego hosta ESXi, użyj klienta VMware vSphere na komputerze. | ||||||
2 | Wybierz Plik > Wdrożenie szablonu OVF. | ||||||
3 | W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij Następny. | ||||||
4 | Na ekranie Wybierz nazwę i folder strona, wprowadź Nazwa maszyny wirtualnej dla węzła (na przykład „HDS_Node_1”) wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Następny. | ||||||
5 | Na ekranie Wybierz zasób obliczeniowy strona, wybierz docelowy zasób obliczeniowy, a następnie kliknij Następny. Trwa kontrola walidacji. Po jego zakończeniu pojawiają się szczegóły szablonu. | ||||||
6 | Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej. | ||||||
7 | Jeśli zostaniesz poproszony o wybranie konfiguracji zasobów na stronie Konfiguracja strona, kliknij 4 CPU a następnie kliknij Następny. | ||||||
8 | Na ekranie Wybierz miejsce strona, kliknij Następny aby zaakceptować domyślny format dysku i zasady przechowywania VM. | ||||||
9 | Na ekranie Wybierz sieci na stronie wybierz opcję sieci z listy pozycji, aby zapewnić żądaną łączność z maszyną wirtualną. | ||||||
10 | Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieci:
Jeśli jest to preferowane, można pominąć konfigurację ustawień sieci i wykonać czynności opisane w punkcie Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych w celu skonfigurowania ustawień z konsoli węzła.
| ||||||
11 | Kliknij prawym przyciskiem myszy węzeł VM, a następnie wybierz .Oprogramowanie Hybrid Data Security jest instalowane jako gość w hostu VM. Teraz możesz zalogować się na konsoli i skonfigurować węzeł. Wskazówki dotyczące rozwiązywania problemów Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzła. Podczas pierwszego uruchamiania na konsoli pojawi się komunikat zapory mostowej, podczas którego nie można się zalogować. |
Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych
Użyj tej procedury, aby po raz pierwszy zalogować się na konsoli VM węzła hybrydowego zabezpieczenia danych i ustawić poświadczenia logowania. Konsola może również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.
1 | W kliencie VMware vSphere wybierz węzeł VM Hybrid Data Security i kartę Console . Maszyna zostanie uruchomiona i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie nie jest wyświetlany, naciśnij przycisk Enter.
|
2 | Aby się zalogować i zmienić poświadczenia, należy użyć następującego domyślnego loginu i hasła: Ponieważ logujesz się do VM po raz pierwszy, musisz zmienić hasło administratora. |
3 | Jeśli ustawienia sieci zostały już skonfigurowane w Instalowaniu OVA hosta usługi HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację. |
4 | Skonfiguruj statyczną konfigurację z adresem IP, maską, bramą i informacjami DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany. |
5 | (Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne do dopasowania do zasad sieci. Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509. |
6 | Zapisz konfigurację sieci i uruchom ponownie VM, aby zmiany weszły w życie. |
Prześlij i zamontuj ISO konfiguracji HDS
Przed rozpoczęciem
Ponieważ plik ISO zawiera klucz główny, powinien on być narażony tylko na „potrzebę wiedzy”, aby uzyskać dostęp do hybrydowych maszyn wirtualnych ds. bezpieczeństwa danych i wszystkich administratorów, którzy mogą wymagać wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mogą uzyskać dostęp do bazy danych.
1 | Prześlij plik ISO z komputera: |
2 | Montaż pliku ISO: |
Co zrobić dalej
Jeśli polityka IT wymaga, możesz opcjonalnie odmontować plik ISO po tym, jak wszystkie węzły podniosą zmiany w konfiguracji. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.
Konfigurowanie węzła HDS dla integracji serwera proxy
Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z Hybrid Data Security. Po wybraniu przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS można użyć interfejsu węzła do przesłania i zainstalowania certyfikatu głównego. Możesz również sprawdzić połączenie serwera proxy z poziomu interfejsu i rozwiązać ewentualne problemy.
Przed rozpoczęciem
Aby zapoznać się z opcjami obsługiwanego serwera proxy, zobacz Obsługa serwera proxy.
1 | Wprowadź adres URL konfiguracji węzła HDS |
2 | Przejdź do sklepu Trust Store & Proxy, a następnie wybierz opcję:
Postępuj zgodnie z kolejnymi krokami w celu przejrzystego kontrolowania serwera proxy, bezpośredniego serwera proxy HTTP z uwierzytelnianiem podstawowym lub bezpośredniego serwera proxy HTTPS. |
3 | Kliknij opcję Prześlij certyfikat główny lub certyfikat jednostki końcowej, a następnie przejdź do opcji Wybierz certyfikat główny serwera proxy. Certyfikat jest przesyłany, ale jeszcze nie został zainstalowany, ponieważ aby zainstalować certyfikat, należy ponownie uruchomić węzeł. Aby uzyskać więcej szczegółów, kliknij strzałkę chevron po nazwie emitenta certyfikatu lub kliknij opcję Usuń, jeśli popełniłeś błąd i chcesz ponownie przesłać plik. |
4 | Kliknij Check Proxy Connection (Sprawdź połączenie proxy), aby sprawdzić połączenie sieciowe między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, pojawi się komunikat o błędzie przedstawiający przyczynę i sposób naprawienia problemu. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS. Warunek ten jest oczekiwany w wielu wyraźnych konfiguracjach serwera proxy. Możesz kontynuować konfigurację, a węzeł będzie działał w trybie Zablokowanej Zewnętrznej Rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj poniższe czynności, a następnie zobacz Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS. |
5 | Po przejściu testu połączenia, w przypadku wyraźnego serwera proxy ustawionego tylko na https, włącz przełącznik do Trasowania wszystkich żądań portu 443/444 https z tego węzła za pomocą wyraźnego serwera proxy. To ustawienie wymaga 15 sekund działania. |
6 | Kliknij Instaluj Wszystkie Certyfikaty W Sklepie Zaufania (pojawi się dla wyraźnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawi się dla wyraźnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij opcję Instaluj , jeśli jesteś gotowy. Węzeł zostanie uruchomiony ponownie w ciągu kilku minut. |
7 | Po ponownym uruchomieniu węzła zaloguj się ponownie w razie potrzeby, a następnie otwórz stronę Przegląd , aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie mają zielony status. Kontrola połączenia z serwerem proxy sprawdza tylko poddomenę webex.com. Jeśli występują problemy z łącznością, powszechnym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy. |
Zarejestruj pierwszy węzeł w klastrze
Po zarejestrowaniu pierwszego węzła utwórz klaster, do którego jest przypisany węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia zwolnień.
Przed rozpoczęciem
Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.
1 | Zaloguj się w https://admin.webex.com. |
2 | W menu po lewej stronie ekranu wybierz opcję Usługi. |
3 | W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij przycisk Skonfiguruj. Zostanie wyświetlona strona węzła Zarejestruj hybrydowe zabezpieczenia danych.
|
4 | Wybierz Tak, aby wskazać, że węzeł został skonfigurowany i chcesz go zarejestrować, a następnie kliknij przycisk Dalej. |
5 | W pierwszym polu wprowadź nazwę klastra, do którego chcesz przypisać węzeł hybrydowego zabezpieczenia danych. Zalecamy nazwanie klastra na podstawie lokalizacji węzłów klastra. Przykłady: "San Francisco", "Nowy Jork" czy "Dallas" |
6 | W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej. Ten adres IP lub nazwa FQDN powinny być zgodne z adresem IP lub nazwą hosta i domeną używaną podczas konfigurowania hybrydowej maszyny wirtualnej ds. bezpieczeństwa danych. Pojawi się komunikat informujący, że można zarejestrować węzeł w usłudze Webex.
|
7 | Kliknij przycisk Przejdź do węzła. |
8 | Kliknij przycisk Kontynuuj w komunikacie ostrzegawczym. Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji Webex, aby uzyskać dostęp do węzła.
|
9 | Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
|
10 | Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub. Na stronie Hybrid Data Security jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.
|
Tworzenie i rejestrowanie większej liczby węzłów
W tym czasie zapasowe maszyny wirtualne utworzone w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych są hostami gotowymi, które są używane tylko w przypadku odzyskiwania po awarii; do tego czasu nie są rejestrowane w systemie. Aby uzyskać szczegółowe informacje, patrz Przywracanie systemu po awarii za pomocą Standby Data Center. |
Przed rozpoczęciem
Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.
1 | Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Instalacji OVA hosta HDS. |
2 | Skonfiguruj konfigurację początkową na nowej maszynie wirtualnej, powtarzając kroki w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych. |
3 | W nowej maszynie wirtualnej wykonaj ponownie czynności opisane w polu Prześlij i zamontuj ISO konfiguracji HDS. |
4 | Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w Konfigurowaniu węzła HDS dla integracji serwera proxy zgodnie z potrzebami nowego węzła. |
5 | Zarejestruj węzeł. Twój węzeł jest zarejestrowany. Należy pamiętać, że do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie jest jeszcze aktywowana.
|
Co zrobić dalej
Przepływ próby do zadania produkcyjnego
Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.
Przed rozpoczęciem
1 | Jeśli dotyczy, zsynchronizuj Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać |
2 |
Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
3 | Przetestuj wdrożenie hybrydowego zabezpieczenia danych Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych. |
4 | Monitorowanie stanu hybrydowego bezpieczeństwa danych Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów. |
5 | |
6 | Zakończ fazę próbną, wykonując jedną z następujących czynności: |
Aktywuj wersję próbną
Przed rozpoczęciem
Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup
obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby dla organizacji. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.
1 | Zaloguj się do https://admin.webex.com, a następnie wybierz opcję Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną. Stan usługi zmienia się w tryb próbny.
|
4 | Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług. (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, |
Przetestuj wdrożenie hybrydowego zabezpieczenia danych
Przed rozpoczęciem
Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.
Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.
1 | Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.
| ||
2 | Wysyłaj wiadomości do nowego obszaru. | ||
3 | Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych. |