Dziękujemy za opinię.

1

Pobierz plik OVA do lokalnego komputera, aby później go użyć.

2

Za pomocą narzędzia konfiguracyjnego HDS można utworzyć plik konfiguracyjny ISO dla węzłów hybrydowych zabezpieczeń danych.

3

Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych

Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe.

Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

4

Zaloguj się na konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.

5

Konfigurowanie węzła HDS dla integracji serwera proxy

Skonfiguruj VM z pliku konfiguracyjnego ISO utworzonego za pomocą narzędzia do konfiguracji HDS.

6

Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, którego użyjesz dla węzła, i w razie potrzeby dodaj certyfikat serwera proxy do sklepu zaufania.

7

Zarejestruj maszynę wirtualną za pomocą chmury Cisco Webex jako węzeł hybrydowego zabezpieczenia danych.

8

Konfigurowanie hybrydowego klastra bezpieczeństwa danych

Zakończ konfigurację klastra.

9

Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział)

Do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana.

Pobierz pliki instalacyjne

W tym zadaniu pobierz plik OVA do swojego komputera (nie do serwerów skonfigurowanych jako węzły hybrydowego zabezpieczenia danych). Ten plik jest używany później w procesie instalacji.

1

Zaloguj się do https://admin.webex.com, a następnie kliknij opcję Usługi.

2

W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych, a następnie kliknij przycisk Skonfiguruj.

Jeśli karta jest wyłączona lub jej nie widzisz, skontaktuj się z zespołem ds. kont lub organizacją partnerską. Podaj im numer konta i poproś o włączenie organizacji Hybrid Data Security. Aby znaleźć numer konta, kliknij bieg w prawym górnym rogu obok nazwy organizacji.

OVA można również pobrać w dowolnym momencie z sekcji Pomoc na stronie Ustawienia . Na karcie Hybrid Data Security kliknij opcję Edytuj ustawienia, aby otworzyć stronę. Następnie kliknij opcję Pobierz oprogramowanie hybrydowego zabezpieczenia danych w sekcji Pomoc .

Starsze wersje pakietu oprogramowania (OVA) nie będą kompatybilne z najnowszymi aktualizacjami Hybrid Data Security. Może to spowodować problemy podczas uaktualniania aplikacji. Upewnij się, że pobierz najnowszą wersję pliku OVA.

3

Wybierz Nie , aby wskazać, że węzeł nie został jeszcze skonfigurowany, a następnie kliknij przycisk Dalej.

Plik OVA automatycznie zaczyna się pobierać. Zapisz plik w lokalizacji na komputerze.

4

Opcjonalnie kliknij Open Deployment Guide (Otwórz przewodnik wdrażania), aby sprawdzić, czy dostępna jest późniejsza wersja tego przewodnika.

Tworzenie ISO konfiguracji dla prowadzących HDS

Proces konfiguracji hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie należy użyć ISO do skonfigurowania hosta hybrydowego bezpieczeństwa danych.

Przed rozpoczęciem

Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas podnoszenia kontenera Docker w kroku 5. W tej tabeli podano kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Wygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Potrzebna jest najnowsza kopia tego pliku, gdy wprowadzasz zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatów
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrowanie połączeń z bazą danych, skonfiguruj wdrożenie programu PostgreSQL lub SQL Server dla TLS.

1

W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

W zwykłych środowiskach:

docker rmi ciscocitg/hds-setup:stable

W środowiskach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

2

Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:

docker login -u hdscustomersro

3

Po wyświetleniu monitu o hasło wprowadź ten skrót:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Pobierz najnowszy stabilny obraz dla swojego środowiska:

W zwykłych środowiskach:

docker pull ciscocitg/hds-setup:stable

W środowiskach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

5

Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:

W zwykłych środowiskach bez serwera proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

W zwykłych środowiskach z serwerem proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

W zwykłych środowiskach z serwerem proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

W środowiskach FedRAMP bez serwera proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z serwerem proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z serwerem proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

6

Narzędzie Konfiguracja nie obsługuje łączenia się z localhost za pośrednictwem http://localhost:8080. Użyj http://127.0.0.1:8080, aby połączyć się z hostem lokalizacji.

Użyj przeglądarki internetowej, aby przejść do hosta lokalizacji, http://127.0.0.1:8080, i wprowadź nazwę użytkownika administratora klienta dla Control Hub po wyświetleniu monitu.

Narzędzie używa tego pierwszego wpisu nazwy użytkownika, aby ustawić odpowiednie środowisko dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.

7

Po wyświetleniu monitu wprowadź poświadczenia logowania administratora klienta Control Hub, a następnie kliknij przycisk Zaloguj się , aby zezwolić na dostęp do wymaganych usług Hybrid Data Security.

8

Na stronie Przegląd narzędzia konfiguracyjnego kliknij Rozpocznij.

9

Na stronie ISO Import dostępne są następujące opcje:

Nie— jeśli tworzysz swój pierwszy węzeł HDS, nie masz pliku ISO do przesłania.
Tak— jeśli utworzono już węzły HDS, należy wybrać plik ISO podczas przeglądania i przesyłania go.

10

Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatów X.509.

Jeśli nigdy wcześniej nie przesłałeś certyfikatu, prześlij certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.
Jeśli certyfikat jest prawidłowy, kliknij przycisk Kontynuuj.
Jeśli certyfikat wygasł lub chcesz go zastąpić, wybierz opcję Nie , aby Kontynuować korzystanie z łańcucha certyfikatów HDS i klucza prywatnego z poprzedniego ISO?. Prześlij nowy certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.

11

Wprowadź adres bazy danych i konto HDS, aby uzyskać dostęp do klucza danych:

Wybierz typ bazy danych (PostgreSQL lub Microsoft SQL Server).

Jeśli wybierzesz program Microsoft SQL Server, otrzymasz pole Typ uwierzytelniania.
(tylko Microsoft SQL Server) Wybierz Typ uwierzytelniania:
- Uwierzytelnianie podstawowe: W polu Nazwa użytkownika potrzebna jest lokalna nazwa konta SQL Server.
- Uwierzytelnianie systemu Windows: Potrzebujesz konta Windows w formacie username@DOMAIN w polu Nazwa użytkownika.
Wprowadź adres serwera bazy danych w formularzu <hostname>:<port> lub <IP-address>:<port>.

Przykład:
dbhost.example.org:1433 lub 198.51.100.17:1433

Do podstawowego uwierzytelniania można użyć adresu IP, jeśli węzły nie mogą używać DNS do rozpoznawania nazwy hosta.

Jeśli używasz uwierzytelniania systemu Windows, musisz wprowadzić w pełni kwalifikowaną nazwę domeny w formacie dbhost.example.org:1433
Wprowadź nazwę bazy danych.
Wprowadź nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych magazynu kluczy.

12

Wybierz tryb połączenia z bazą danych TLS:

Tryb

Opis

Preferuj TLS (opcja domyślna)

Węzły HDS nie wymagają TLS do łączenia się z serwerem bazy danych. Jeśli włączysz protokół TLS na serwerze bazy danych, węzły spróbują zaszyfrowanego połączenia.

Wymagaj TLS

Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować TLS.

Wymagaj TLS i zweryfikuj osobę podpisującą certyfikat

Ten tryb nie ma zastosowania do baz danych SQL Server.

Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować TLS.
Po nawiązaniu połączenia TLS węzeł porównuje sygnera certyfikatu z serwera bazy danych z organem certyfikatu w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie.

Użyj przycisku Certyfikat główny bazy danych poniżej listy rozwijanej, aby przesłać certyfikat główny dla tej opcji.

Wymagaj TLS oraz zweryfikuj osobę podpisującą certyfikat i nazwę hosta

Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować TLS.
Po nawiązaniu połączenia TLS węzeł porównuje sygnera certyfikatu z serwera bazy danych z organem certyfikatu w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie.
Węzły sprawdzają również, czy nazwa hosta w certyfikacie serwera jest zgodna z nazwą hosta w polu Baza danych i port . Nazwy muszą być dokładnie takie same, w przeciwnym razie węzeł zerwie połączenie.

Użyj przycisku Certyfikat główny bazy danych poniżej listy rozwijanej, aby przesłać certyfikat główny dla tej opcji.

Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracji HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie sprawdza również osobę podpisującą certyfikat i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w połączeniach węzły HDS mogą być w stanie nawiązać połączenie TLS, nawet jeśli maszyna narzędziowa HDS Setup Tool nie jest w stanie go przetestować).

13

Na stronie Dzienniki systemu skonfiguruj serwer Syslogd:

Wprowadź adres URL serwera dziennika systemowego.

Jeśli serwer nie jest w stanie rozwiązać DNS z węzłów klastra HDS, użyj adresu IP w adresie URL.

Przykład:
udp://10.92.43.23:514 wskazuje logowanie do hosta Syslogd 10.92.43.23 w porcie UDP 514.
Jeśli skonfigurujesz serwer, aby używał szyfrowania TLS, sprawdź, czy serwer dziennika systemowego jest skonfigurowany do szyfrowania SSL?.

Jeśli zaznaczysz to pole wyboru, upewnij się, że wprowadzasz adres URL TCP, taki jak: tcp://10.92.43.23:514.
Z listy rozwijanej Wybierz zakończenie rekordu dziennika systemowego wybierz odpowiednie ustawienie dla pliku ISO: Wybierz lub Newline są używane do Graylog i Rsyslog TCP
- Byte czajnika -- \x00
- Newline -- \n — Wybierz ten wybór dla aplikacji Graylog i Rsyslog TCP.
Kliknij przycisk Kontynuuj.

14

(Opcjonalnie) W ustawieniach zaawansowanych można zmienić wartość domyślną niektórych parametrów połączenia z bazą danych. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić:

app_datasource_connection_pool_maxSize: 10

15

Kliknij przycisk Kontynuuj na ekranie Resetuj hasło konta usługi .

Hasła konta serwisowego mają okres dziewięciu miesięcy. Użyj tego ekranu, gdy hasła zbliżają się do wygaśnięcia lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO.

16

Kliknij opcję Pobierz plik ISO. Zapisz plik w lokalizacji, którą łatwo znaleźć.

17

Wykonaj kopię zapasową pliku ISO w lokalnym systemie.

Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

18

Aby zamknąć narzędzie Setup, wpisz: CTRL+C.

Co zrobić dalej

Kopia zapasowa pliku ISO konfiguracji. Musisz utworzyć więcej węzłów do odzyskiwania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Odzyskiwanie kluczy z bazy danych PostgreSQL lub Microsoft SQL Server nie jest możliwe.

Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz.

Instalowanie OVA hosta HDS

Użyj tej procedury, aby utworzyć maszynę wirtualną z pliku OVA.

1

Aby zalogować się do wirtualnego hosta ESXi, użyj klienta VMware vSphere na komputerze.

2

Wybierz Plik > Wdrożenie szablonu OVF.

3

W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij Następny.

4

Na ekranie Wybierz nazwę i folder strona, wprowadź Nazwa maszyny wirtualnej dla węzła (na przykład „HDS_Node_1”) wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Następny.

5

Na ekranie Wybierz zasób obliczeniowy strona, wybierz docelowy zasób obliczeniowy, a następnie kliknij Następny.

Trwa kontrola walidacji. Po jego zakończeniu pojawiają się szczegóły szablonu.

6

Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej.

7

Jeśli zostaniesz poproszony o wybranie konfiguracji zasobów na stronie Konfiguracja strona, kliknij 4 CPU a następnie kliknij Następny.

8

Na ekranie Wybierz miejsce strona, kliknij Następny aby zaakceptować domyślny format dysku i zasady przechowywania VM.

9

Na ekranie Wybierz sieci na stronie wybierz opcję sieci z listy pozycji, aby zapewnić żądaną łączność z maszyną wirtualną.

10

Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieci:

Nazwa hosta — wprowadź nazwę hosta FQDN (nazwa hosta i domena) lub nazwę hosta pojedynczego słowa dla węzła.

Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509.
Aby zapewnić pomyślną rejestrację w chmurze, użyj tylko znaków z małymi literami w nazwie FQDN lub nazwie hosta ustawionej dla węzła. W tym momencie kapitalizacja nie jest obsługiwana.
Całkowita długość FQDN nie może przekraczać 64 znaków.

Adres IP— wprowadź adres IP interfejsu wewnętrznego węzła.

Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany.
Maska— wprowadź adres maski podsieci w notacji dot-dziesiętnej. Na przykład: 255.255.255.0.
Brama — wprowadź adres IP bramy. Brama to węzeł sieciowy, który służy jako punkt dostępu do innej sieci.
Serwery DNS— wprowadź oddzieloną przecinkami listę serwerów DNS, które obsługują tłumaczenie nazw domen na numeryczne adresy IP. (Dozwolone są do 4 wpisy DNS).
Serwery NTP — wprowadź serwer NTP swojej organizacji lub inny zewnętrzny serwer NTP, który może być używany w Twojej organizacji. Domyślne serwery NTP mogą nie działać dla wszystkich przedsiębiorstw. Można również użyć listy rozdzielonej przecinkami, aby wprowadzić wiele serwerów NTP.

Wdrożenie wszystkich węzłów w tej samej podsieci lub sieci VLAN, tak aby wszystkie węzły w klastrze były dostępne dla klientów w sieci do celów administracyjnych.

Jeśli jest to preferowane, można pominąć konfigurację ustawień sieci i wykonać czynności opisane w punkcie Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych w celu skonfigurowania ustawień z konsoli węzła.

Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

11

Kliknij prawym przyciskiem myszy węzeł VM, a następnie wybierz Zasilanie > Włączanie zasilania.

Oprogramowanie Hybrid Data Security jest instalowane jako gość w hostu VM. Teraz możesz zalogować się na konsoli i skonfigurować węzeł.

Wskazówki dotyczące rozwiązywania problemów

Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzła. Podczas pierwszego uruchamiania na konsoli pojawi się komunikat zapory mostowej, podczas którego nie można się zalogować.

Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych

Użyj tej procedury, aby po raz pierwszy zalogować się na konsoli VM węzła hybrydowego zabezpieczenia danych i ustawić poświadczenia logowania. Konsola może również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.

1	W kliencie VMware vSphere wybierz węzeł VM Hybrid Data Security i kartę Console . Maszyna zostanie uruchomiona i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie nie jest wyświetlany, naciśnij przycisk Enter.
2	Aby się zalogować i zmienić poświadczenia, należy użyć następującego domyślnego loginu i hasła: Logowanie: `admin` Hasło: `cisco` Ponieważ logujesz się do VM po raz pierwszy, musisz zmienić hasło administratora.
3	Jeśli ustawienia sieci zostały już skonfigurowane w Instalowaniu OVA hosta usługi HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację.
4	Skonfiguruj statyczną konfigurację z adresem IP, maską, bramą i informacjami DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany.
5	(Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne do dopasowania do zasad sieci. Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509.
6	Zapisz konfigurację sieci i uruchom ponownie VM, aby zmiany weszły w życie.

Prześlij i zamontuj ISO konfiguracji HDS

Ta procedura służy do konfigurowania maszyny wirtualnej z pliku ISO utworzonego za pomocą narzędzia konfiguracji HDS.

Przed rozpoczęciem

Ponieważ plik ISO zawiera klucz główny, powinien on być narażony tylko na „potrzebę wiedzy”, aby uzyskać dostęp do hybrydowych maszyn wirtualnych ds. bezpieczeństwa danych i wszystkich administratorów, którzy mogą wymagać wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mogą uzyskać dostęp do bazy danych.

1

Prześlij plik ISO z komputera:

W lewym okienku nawigacyjnym klienta VMware vSphere kliknij na serwer ESXi.
Na liście Sprzętu na karcie Konfiguracja kliknij przycisk Przechowywanie.
Na liście Datastores kliknij prawym przyciskiem myszy katalog danych dla swoich maszyn wirtualnych i kliknij opcję Przeglądaj Datastore.
Kliknij ikonę Prześlij pliki, a następnie kliknij Prześlij plik.
Przejdź do lokalizacji, w której pobrałeś plik ISO na komputerze i kliknij przycisk Otwórz.
Kliknij przycisk Tak, aby zaakceptować ostrzeżenie o operacji przesyłania/pobierania i zamknąć okno dialogowe z listą danych.

2

Montaż pliku ISO:

W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy VM i kliknij Edytuj ustawienia .
Kliknij przycisk OK, aby zaakceptować ostrzeżenie o opcjach edycji ograniczonej.
Kliknij CD/DVD Drive 1, wybierz opcję montażu z pliku ISO w zbiorniku danych i przejdź do lokalizacji, w której przesłano plik ISO konfiguracji.
Sprawdzić Podłączono i Podłączono przy włączonym zasilaniu.
Zapisz zmiany i uruchom ponownie maszynę wirtualną.

Co zrobić dalej

Jeśli polityka IT wymaga, możesz opcjonalnie odmontować plik ISO po tym, jak wszystkie węzły podniosą zmiany w konfiguracji. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.

Konfigurowanie węzła HDS dla integracji serwera proxy

Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z Hybrid Data Security. Po wybraniu przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS można użyć interfejsu węzła do przesłania i zainstalowania certyfikatu głównego. Możesz również sprawdzić połączenie serwera proxy z poziomu interfejsu i rozwiązać ewentualne problemy.

Przed rozpoczęciem

Aby zapoznać się z opcjami obsługiwanego serwera proxy, zobacz Obsługa serwera proxy.
Wymagania serwera proxy

1	Wprowadź adres URL konfiguracji węzła HDS `https://[HDS Node IP or FQDN]/setup` w przeglądarce internetowej wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się.
2	Przejdź do sklepu Trust Store & Proxy, a następnie wybierz opcję: Brak serwera proxy — opcja domyślna przed integracją serwera proxy. Nie jest wymagana aktualizacja certyfikatu. Transparent Non-Inspecting Proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z niekontrolowanym serwerem proxy. Nie jest wymagana aktualizacja certyfikatu. Transparent Inspecting Proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy. W przypadku wdrożenia hybrydowego zabezpieczenia danych nie są konieczne zmiany konfiguracji protokołu HTTPS, jednak węzły HDS potrzebują certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS). Explicit Proxy— w przypadku wyraźnego serwera proxy użytkownik informuje klienta (węzły HDS), którego serwera proxy ma używać, a ta opcja obsługuje kilka typów uwierzytelniania. Po wybraniu tej opcji należy wprowadzić następujące informacje: Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy. Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy. Protokół proxy — wybierz http (wyświetla i kontroluje wszystkie żądania otrzymane od klienta) lub https (dostarcza kanał do serwera, a klient odbiera i weryfikuje certyfikat serwera). Wybierz opcję na podstawie tego, co obsługuje serwer proxy. Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania: Brak — dalsze uwierzytelnianie nie jest wymagane. Dostępne dla serwerów proxy HTTP lub HTTPS. Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64. Dostępne dla serwerów proxy HTTP lub HTTPS. Jeśli wybierzesz tę opcję, musisz również wprowadzić nazwę użytkownika i hasło. Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem. Dostępne tylko dla serwerów proxy HTTPS. Jeśli wybierzesz tę opcję, musisz również wprowadzić nazwę użytkownika i hasło. Postępuj zgodnie z kolejnymi krokami w celu przejrzystego kontrolowania serwera proxy, bezpośredniego serwera proxy HTTP z uwierzytelnianiem podstawowym lub bezpośredniego serwera proxy HTTPS.
3	Kliknij opcję Prześlij certyfikat główny lub certyfikat jednostki końcowej, a następnie przejdź do opcji Wybierz certyfikat główny serwera proxy. Certyfikat jest przesyłany, ale jeszcze nie został zainstalowany, ponieważ aby zainstalować certyfikat, należy ponownie uruchomić węzeł. Aby uzyskać więcej szczegółów, kliknij strzałkę chevron po nazwie emitenta certyfikatu lub kliknij opcję Usuń, jeśli popełniłeś błąd i chcesz ponownie przesłać plik.
4	Kliknij Check Proxy Connection (Sprawdź połączenie proxy), aby sprawdzić połączenie sieciowe między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, pojawi się komunikat o błędzie przedstawiający przyczynę i sposób naprawienia problemu. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS. Warunek ten jest oczekiwany w wielu wyraźnych konfiguracjach serwera proxy. Możesz kontynuować konfigurację, a węzeł będzie działał w trybie Zablokowanej Zewnętrznej Rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj poniższe czynności, a następnie zobacz Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS.
5	Po przejściu testu połączenia, w przypadku wyraźnego serwera proxy ustawionego tylko na https, włącz przełącznik do Trasowania wszystkich żądań portu 443/444 https z tego węzła za pomocą wyraźnego serwera proxy. To ustawienie wymaga 15 sekund działania.
6	Kliknij Instaluj Wszystkie Certyfikaty W Sklepie Zaufania (pojawi się dla wyraźnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawi się dla wyraźnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij opcję Instaluj , jeśli jesteś gotowy. Węzeł zostanie uruchomiony ponownie w ciągu kilku minut.
7	Po ponownym uruchomieniu węzła zaloguj się ponownie w razie potrzeby, a następnie otwórz stronę Przegląd , aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie mają zielony status. Kontrola połączenia z serwerem proxy sprawdza tylko poddomenę webex.com. Jeśli występują problemy z łącznością, powszechnym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy.

Zarejestruj pierwszy węzeł w klastrze

To zadanie przejmuje ogólny węzeł utworzony w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych, rejestruje węzeł w chmurze Webex i zamienia go w węzeł hybrydowego bezpieczeństwa danych.

Po zarejestrowaniu pierwszego węzła utwórz klaster, do którego jest przypisany węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia zwolnień.

Przed rozpoczęciem

Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.

1	Zaloguj się w https://admin.webex.com.
2	W menu po lewej stronie ekranu wybierz opcję Usługi.
3	W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij przycisk Skonfiguruj. Zostanie wyświetlona strona węzła Zarejestruj hybrydowe zabezpieczenia danych.
4	Wybierz Tak, aby wskazać, że węzeł został skonfigurowany i chcesz go zarejestrować, a następnie kliknij przycisk Dalej.
5	W pierwszym polu wprowadź nazwę klastra, do którego chcesz przypisać węzeł hybrydowego zabezpieczenia danych. Zalecamy nazwanie klastra na podstawie lokalizacji węzłów klastra. Przykłady: "San Francisco", "Nowy Jork" czy "Dallas"
6	W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej. Ten adres IP lub nazwa FQDN powinny być zgodne z adresem IP lub nazwą hosta i domeną używaną podczas konfigurowania hybrydowej maszyny wirtualnej ds. bezpieczeństwa danych. Pojawi się komunikat informujący, że można zarejestrować węzeł w usłudze Webex.
7	Kliknij przycisk Przejdź do węzła.
8	Kliknij przycisk Kontynuuj w komunikacie ostrzegawczym. Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji Webex, aby uzyskać dostęp do węzła.
9	Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
10	Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub. Na stronie Hybrid Data Security jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.

Tworzenie i rejestrowanie większej liczby węzłów

Aby dodać dodatkowe węzły do klastra, wystarczy utworzyć dodatkowe numery VMs i zamontować ten sam plik ISO konfiguracji, a następnie zarejestrować węzeł. Zalecamy posiadanie co najmniej 3 węzłów.

W tym czasie zapasowe maszyny wirtualne utworzone w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych są hostami gotowymi, które są używane tylko w przypadku odzyskiwania po awarii; do tego czasu nie są rejestrowane w systemie. Aby uzyskać szczegółowe informacje, patrz Przywracanie systemu po awarii za pomocą Standby Data Center.

Przed rozpoczęciem

Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.

1	Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Instalacji OVA hosta HDS.
2	Skonfiguruj konfigurację początkową na nowej maszynie wirtualnej, powtarzając kroki w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych.
3	W nowej maszynie wirtualnej wykonaj ponownie czynności opisane w polu Prześlij i zamontuj ISO konfiguracji HDS.
4	Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w Konfigurowaniu węzła HDS dla integracji serwera proxy zgodnie z potrzebami nowego węzła.
5	Zarejestruj węzeł. W https://admin.webex.com wybierz Usługi z menu po lewej stronie ekranu. W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych i kliknij opcję Zasoby. Pojawi się strona Hybrid Data Security Resources (Zasoby zabezpieczeń danych hybrydowych). Kliknij przycisk Dodaj zasób. W pierwszym polu wybierz nazwę istniejącego klastra. W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej. Pojawi się komunikat informujący, że można zarejestrować węzeł w chmurze Webex. Kliknij przycisk Przejdź do węzła. Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji, aby uzyskać dostęp do węzła. Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex. Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub. Twój węzeł jest zarejestrowany. Należy pamiętać, że do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie jest jeszcze aktywowana.

Co zrobić dalej

Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział)

Uruchom wersję próbną i przejdź do produkcji

Przepływ próby do zadania produkcyjnego

Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.

Przed rozpoczęciem

1	Jeśli dotyczy, zsynchronizuj `HdsTrialGroup` obiekt grupowy. Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać `HdsTrialGroup` obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.
2	Aktywuj wersję próbną Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana.
3	Przetestuj wdrożenie hybrydowego zabezpieczenia danych Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.
4	Monitorowanie stanu hybrydowego bezpieczeństwa danych Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów.
5	Dodawanie lub usuwanie użytkowników z wersji próbnej
6	Zakończ fazę próbną, wykonując jedną z następujących czynności: Przeniesienie z wersji próbnej do produkcji Zakończ wersję próbną bez przejścia do produkcji

Aktywuj wersję próbną

Przed rozpoczęciem

Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby dla organizacji. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.

1	Zaloguj się do https://admin.webex.com, a następnie wybierz opcję Usługi.
2	W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.
3	W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną. Stan usługi zmienia się w tryb próbny.
4	Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług. (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, `HdsTrialGroup`.)

Przetestuj wdrożenie hybrydowego zabezpieczenia danych

Użyj tej procedury, aby przetestować scenariusze szyfrowania hybrydowych zabezpieczeń danych.

Przed rozpoczęciem

Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.
Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.

1

Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.

Jeśli dezaktywujesz wdrożenie hybrydowego zabezpieczenia danych, zawartość w obszarach tworzonych przez użytkowników pilotażowych nie jest już dostępna po wymianie kopii kluczy szyfrowania w pamięci podręcznej klienta.

2

Wysyłaj wiadomości do nowego obszaru.

3

Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych.

Aby sprawdzić, czy użytkownik najpierw ustanawia bezpieczny kanał w systemie KMS, filtruj go kms.data.method=create oraz kms.data.type=EPHEMERAL_KEY_COLLECTION:

Należy znaleźć wpis taki jak następujący (identyfikatory skrócone dla czytelności):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Aby sprawdzić, czy użytkownik żądający istniejącego klucza z KMS, filtruj na kms.data.method=retrieve oraz kms.data.type=KEY:

Należy znaleźć wpis taki jak:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Aby sprawdzić, czy użytkownik wnioskuje o utworzenie nowego klucza KMS, filtruj kms.data.method=create oraz kms.data.type=KEY_COLLECTION:

Należy znaleźć wpis taki jak:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Aby sprawdzić, czy użytkownik prosi o utworzenie nowego obiektu zasobów KMS (KRO) podczas tworzenia obszaru lub innego chronionego zasobu, filtruj kms.data.method=create oraz kms.data.type=RESOURCE_COLLECTION:

Należy znaleźć wpis taki jak:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorowanie stanu hybrydowego bezpieczeństwa danych

Wskaźnik stanu w Control Hub pokazuje, czy wszystko jest dobrze we wdrożeniu hybrydowego zabezpieczenia danych. Aby uzyskać bardziej proaktywne alerty, zapisz się do powiadomień e-mail. Otrzymasz powiadomienie o alarmach lub aktualizacjach oprogramowania mających wpływ na usługę.

1	W Control Hub wybierz Usługi z menu po lewej stronie ekranu.
2	W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij Ustawienia. Zostanie wyświetlona strona Ustawienia zabezpieczeń danych hybrydowych.
3	W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij przycisk Enter.

Dodawanie lub usuwanie użytkowników z wersji próbnej

Po aktywacji wersji próbnej i dodaniu początkowego zestawu użytkowników wersji próbnej można dodać lub usunąć członków wersji próbnej w dowolnym momencie, gdy wersja próbna jest aktywna.

Jeśli usuniesz użytkownika z wersji próbnej, klient poprosi go o utworzenie kluczy i klawiszy z chmury KMS zamiast Twojego KMS. Jeśli klient potrzebuje klucza przechowywanego w KMS, Cloud KMS pobierze go w imieniu użytkownika.

Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory (zamiast tej procedury) do zarządzania grupą próbną, HdsTrialGroup; można wyświetlać członków grupy w Control Hub, ale nie można ich dodawać ani usuwać.

1	Zaloguj się do Control Hub, a następnie wybierz Usługi.
2	W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.
3	W sekcji Tryby wersji próbnej w obszarze Stan usługi kliknij przycisk Dodaj użytkowników lub kliknij widok i edytuj , aby usunąć użytkowników z wersji próbnej.
4	Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania lub kliknij przycisk X identyfikatorem użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij Zapisz .

Przeniesienie z wersji próbnej do produkcji

Gdy jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych, możesz przejść do produkcji. Po przeniesieniu do produkcji wszyscy użytkownicy w organizacji będą korzystać z lokalnej domeny hybrydowego zabezpieczenia danych w celu szyfrowania kluczy i innych usług w dziedzinie zabezpieczeń. Nie można wrócić do trybu próbnego z produkcji, chyba że dezaktywujesz usługę w ramach odzyskiwania awaryjnego. Reaktywacja usługi wymaga skonfigurowania nowej wersji próbnej.

1	Zaloguj się do Control Hub, a następnie wybierz Usługi.
2	W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.
3	W sekcji Stan usługi kliknij opcję Przenieś do produkcji.
4	Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji.

Zakończ wersję próbną bez przejścia do produkcji

Jeśli podczas okresu próbnego zdecydujesz się nie kontynuować wdrażania hybrydowego zabezpieczenia danych, możesz dezaktywować hybrydowe zabezpieczenia danych, które kończą okres próbny i przenoszą użytkowników wersji próbnej z powrotem do usług zabezpieczeń danych w chmurze. Użytkownicy próbni stracą dostęp do danych zaszyfrowanych podczas badania.

1	Zaloguj się do Control Hub, a następnie wybierz Usługi.
2	W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.
3	W sekcji Dezaktywuj kliknij przycisk Dezaktywuj.
4	Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny.

Zarządzanie wdrożeniem HDS

Użyj opisanych tutaj zadań do zarządzania wdrożeniem hybrydowego zabezpieczenia danych.

Ustaw harmonogram uaktualniania klastra

Aktualizacje oprogramowania Hybrid Data Security są wykonywane automatycznie na poziomie klastra, co zapewnia, że wszystkie węzły zawsze korzystają z tej samej wersji oprogramowania. Uaktualnienia są wykonywane zgodnie z harmonogramem uaktualniania klastra. Po udostępnieniu uaktualnienia oprogramowania można ręcznie uaktualnić klaster przed zaplanowaną godziną uaktualnienia. Można ustawić określony harmonogram uaktualniania lub użyć domyślnego harmonogramu 3:00 rano Daily Stany Zjednoczone: Ameryka/Los Angeles. W razie potrzeby można również odłożyć nadchodzące uaktualnienie.

Aby ustawić harmonogram uaktualniania:

1	Zaloguj się do Centrum sterowania .
2	Na stronie Przegląd w obszarze Usługi hybrydowe wybierz opcję Hybrid Data Security.
3	Na stronie Zasoby zabezpieczeń danych hybrydowych wybierz klaster.
4	W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra.
5	Na stronie Ustawienia w obszarze Uaktualnianie wybierz godzinę i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest następna dostępna data i godzina aktualizacji. W razie potrzeby można odroczyć uaktualnienie do następnego dnia, klikając opcję Odłóż.

Zmień konfigurację węzła

Czasami może zajść potrzeba zmiany konfiguracji węzła hybrydowego zabezpieczenia danych z następujących powodów:

Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.

Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do zarejestrowania klastra.

Aktualizowanie ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.

Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.

Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.

Ponadto, ze względów bezpieczeństwa, Hybrid Data Security używa haseł do kont usługi o dziewięciomiesięcznym okresie ważności. Gdy narzędzie konfiguracji HDS wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO . Gdy hasła organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex , aby zresetować hasło do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj API konta komputera, aby zaktualizować hasło”). Jeśli hasła jeszcze nie wygasły, narzędzie udostępnia dwie opcje:

Miękki reset — Stare i nowe hasło działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
Twardy reset — Stare hasła natychmiast przestają działać.

Jeśli hasła wygasną bez zresetowania, będzie to miało wpływ na usługę HDS i wymaga natychmiastowego twardego resetu i zastąpienia pliku ISO we wszystkich węzłach.

Ta procedura służy do generowania nowego konfiguracyjnego pliku ISO i zastosowania go do klastra.

Przed rozpoczęciem

Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas przywoływania kontenera Docker w 1.e. W tej tabeli podano kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO . ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.

1

Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie konfiguracji HDS.

W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

W zwykłych środowiskach:

docker rmi ciscocitg/hds-setup:stable

W środowiskach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:
```
docker login -u hdscustomersro
```
Po wyświetleniu monitu o hasło wprowadź ten skrót:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Pobierz najnowszy stabilny obraz dla swojego środowiska:

W zwykłych środowiskach:

docker pull ciscocitg/hds-setup:stable

W środowiskach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Upewnij się, że pobierasz najnowsze narzędzie instalacyjne dla tej procedury. Wersje narzędzia utworzone przed 22 lutego 2018 r. nie mają ekranów resetowania hasła.

Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:

W zwykłych środowiskach bez serwera proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

W zwykłych środowiskach z serwerem proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

W normalnych środowiskach z serwerem HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

W środowiskach FedRAMP bez serwera proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z serwerem proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z serwerem proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

Użyj przeglądarki, aby połączyć się z hostem lokalnym, http://127.0.0.1:8080.

Narzędzie Konfiguracja nie obsługuje łączenia się z localhost za pośrednictwem http://localhost:8080. Użyj http://127.0.0.1:8080, aby połączyć się z hostem lokalizacji.

Po wyświetleniu monitu wprowadź poświadczenia logowania klienta Control Hub, a następnie kliknij Zaakceptuj aby kontynuować.
Zaimportuj bieżący plik konfiguracyjny ISO .
Postępuj zgodnie z instrukcjami, aby ukończyć działanie narzędzia i pobrać zaktualizowany plik.

Aby zamknąć narzędzie Setup, wpisz: CTRL+C.
Utwórz kopię zapasową zaktualizowanego pliku w innym centrum danych.

2

Jeśli uruchomiony jest tylko jeden węzeł HDS , utwórz nową maszynę VM węzła Hybrid Data Security i zarejestruj ją przy użyciu nowego konfiguracyjnego pliku ISO . Aby uzyskać bardziej szczegółowe instrukcje, zobacz temat Tworzenie i rejestrowanie większej liczby węzłów.

Zainstaluj narzędzie OVA hosta HDS.
Skonfiguruj maszynę VM HDS .
Podłącz zaktualizowany plik konfiguracyjny.
Zarejestruj nowy węzeł w Control Hub.

3

W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO . Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła:

Wyłącz maszynę wirtualną.
W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy VM i kliknij Edytuj ustawienia .
Kliknij CD/DVD Drive 1, wybierz opcję podłączenia z pliku ISO i przejdź do lokalizacji, do której pobrano nowy konfiguracyjny plik ISO .
Sprawdź Połącz po włączeniu .
Zapisz zmiany i włącz maszynę wirtualną.

4

Powtórz krok 3, aby zastąpić konfigurację w każdym pozostałym węźle, na którym działa stara konfiguracja.

Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS

Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznawać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb Zablokowanej zewnętrznej rozdzielczości DNS.

Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, uruchamiając ponownie test połączenia serwera proxy w każdym węźle.

Przed rozpoczęciem

Upewnij się, że wewnętrzne serwery DNS mogą rozpoznawać publiczne nazwy DNS oraz że węzły mogą się z nimi komunikować.

1	W przeglądarce internetowej otwórz interfejs węzła hybrydowego zabezpieczenia danych (adres IP/konfiguracja, na przykład https://192.0.2.0/setup), wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się.
2	Przejdź do Przegląd (strona domyślna). Po włączeniu Rozpoznawanie zablokowanego zewnętrznego DNS jest ustawiony na Tak .
3	Przejdź do strony Trust Store & Proxy.
4	Kliknij przycisk Sprawdź połączenie z serwerem proxy. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS i pozostanie w tym trybie. W przeciwnym razie po ponownym uruchomieniu węzła i powrocie na stronę Przegląd zablokowana zewnętrzna rozdzielczość DNS powinna być ustawiona na nr.

Co zrobić dalej

Powtórz test połączenia z serwerem proxy dla każdego węzła w klastrze hybrydowego zabezpieczenia danych.

Usuń węzeł

Użyj tej procedury, aby usunąć węzeł hybrydowego zabezpieczenia danych z chmury Webex. Po usunięciu węzła z klastra usuń maszynę wirtualną, aby zapobiec dalszemu dostępowi do danych zabezpieczeń.

1

Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi i wyłączyć maszynę wirtualną.

2

Usuń węzeł:

Zaloguj się do Control Hub, a następnie wybierz Usługi.
Na karcie hybrydowe zabezpieczenia danych kliknij przycisk Wyświetl wszystkie , aby wyświetlić stronę zasobów hybrydowych zabezpieczeń danych.
Wybierz klaster, aby wyświetlić jego panel Przegląd.
Kliknij listę Otwórz węzły.
Na karcie Węzły wybierz węzeł, który chcesz usunąć.
Kliknij przycisk Akcje > węzeł Deregister.

3

W kliencie vSphere usuń maszynę wirtualną (w lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij polecenie Usuń).

Jeśli nie usuniesz VM, pamiętaj o usunięciu pliku ISO konfiguracji. Bez pliku ISO nie można użyć maszyny wirtualnej, aby uzyskać dostęp do danych bezpieczeństwa.

Odzyskiwanie po awarii za pomocą Standby Data Center

Najbardziej krytyczną usługą oferowaną przez klaster Hybrid Data Security jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji przypisanego do hybrydowego zabezpieczenia danych nowe żądania tworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za przywrócenie kluczy, które został utworzony do wszystkich użytkowników upoważnionych do ich odzyskania, na przykład członków obszaru konwersacji.

Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby utrzymywały się odpowiednie kopie zapasowe. Utrata bazy danych hybrydowych zabezpieczeń danych lub układu ISO konfiguracji stosowanego dla schematu spowoduje NIEZBĘDNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, konieczne są następujące praktyki:

Jeśli awaria spowoduje, że wdrożenie HDS w głównym centrum danych stanie się niedostępne, postępuj zgodnie z tą procedurą, aby ręcznie przełączyć się na standby centrum danych.

1

Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.

2

Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane

3

Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń passiveMode konfiguracja, aby węzeł był aktywny. Węzeł może obsługiwać ruch po skonfigurowaniu.


passiveMode: 'false'

4

Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia.

5

Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

6

W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia..

7

Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.

Upewnij się, że Connected and Connect at power on (Podłączono) są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły wejść w życie po uruchomieniu węzłów.

8

Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.

9

Powtórz proces dla każdego węzła w centrum danych standby.

Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy węzły centrum danych standby nie są w trybie pasywnym. „KMS skonfigurowany w trybie pasywnym” nie powinien być wyświetlany w dziennikach syslog.

Co zrobić dalej

Po przełączeniu awaryjnym, jeśli główne centrum danych stanie się ponownie aktywne, ponownie umieść centrum danych standby w trybie pasywnym, wykonując czynności opisane w Ustawieniu Standby Data Center dla odzyskiwania awarii.

(Opcjonalnie) Odmontować ISO Po Konfiguracji HDS

Standardowa konfiguracja HDS działa z zamontowanym ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale zamontowanych. Plik ISO można odmontować po odebraniu nowej konfiguracji przez wszystkie węzły HDS.

Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego ISO lub aktualizacji ISO za pomocą narzędzia konfiguracyjnego należy zamontować zaktualizowany ISO na wszystkich węzłach HDS. Po odebraniu zmian konfiguracji przez wszystkie węzły można ponownie rozmontować ISO za pomocą tej procedury.

Przed rozpoczęciem

Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.

1	Zamknij jeden z węzłów HDS.
2	W urządzeniu VCenter Server Appliance wybierz węzeł HDS.
3	Wybierz Edytuj ustawienia > Napęd CD/DVD i usuń zaznaczenie pliku Datastore ISO.
4	Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut.
5	Powtórz kolejno dla każdego węzła HDS.

Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych

Wyświetlanie alertów i rozwiązywania problemów

Wdrożenie hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że wymaga przekroczenia czasu. Jeśli użytkownicy nie mogą skontaktować się z klastrem hybrydowego zabezpieczenia danych, mogą wystąpić następujące objawy:

Nie można utworzyć nowych obszarów (nie można utworzyć nowych kluczy)
Wiadomości i tytuły przestrzeni nie można odszyfrować dla:
- Dodano nowych użytkowników do obszaru (nie można pobrać kluczy)
- Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze będą z powodzeniem działać tak długo, jak ich klienci będą mieli pamięć podręczną kluczy szyfrowania

Ważne jest, aby odpowiednio monitorować klaster hybrydowego zabezpieczenia danych i szybko zwracać się do wszystkich alertów, aby uniknąć zakłóceń w obsłudze.

Alerty

Jeśli występuje problem z konfiguracją hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.

Tabela 1. Wspólne problemy i kroki mające na celu ich rozwiązanie
Alert	Czynność
Niepowodzenie dostępu do lokalnej bazy danych.	Sprawdź, czy występują błędy w bazie danych lub problemy z siecią lokalną.
Niepowodzenie połączenia z lokalną bazą danych.	Sprawdź, czy serwer bazy danych jest dostępny, a w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi.
Niepowodzenie dostępu do usługi w chmurze.	Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z wymaganiami Zewnętrznej łączności.
Odnowienie rejestracji usług w chmurze.	Zrezygnowano z rejestracji na usługi w chmurze. Trwa przedłużenie rejestracji.
Rejestracja usług w chmurze została odrzucona.	Rejestracja na usługi w chmurze została zakończona. Usługa jest wyłączona.
Usługa jeszcze nie została aktywowana.	Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do produkcji.
Skonfigurowana domena nie odpowiada certyfikatowi serwera.	Upewnij się, że certyfikat serwera jest zgodny z skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że certyfikat CN został ostatnio zmieniony i jest teraz inny niż CN, który był używany podczas początkowej konfiguracji.
Nie można uwierzytelnić usług w chmurze.	Kontrola poprawności i ewentualnego wygaśnięcia poświadczeń konta usługi.
Nie można otworzyć lokalnego pliku keystore.	Sprawdź integralność i dokładność hasła w lokalnym pliku keystore.
Certyfikat lokalnego serwera jest nieprawidłowy.	Sprawdź datę ważności certyfikatu serwera i potwierdź, że został on wydany przez zaufany urząd certyfikacji.
Nie można publikować metryk.	Sprawdź dostęp sieci lokalnej do zewnętrznych usług w chmurze.
/media/configdrive/hds katalog nie istnieje.	Sprawdź konfigurację montażu ISO na wirtualnym hostze. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu na ponownym uruchomieniu i czy został pomyślnie zainstalowany.

Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych

Podczas rozwiązywania problemów z hybrydowymi zabezpieczeniami danych należy stosować następujące ogólne wytyczne.

1	Przejrzyj Control Hub dla wszystkich alertów i naprawić wszystkie znalezione tam elementy.
2	Przejrzyj wyjście serwera dziennika systemowego pod kątem aktywności z wdrożenia hybrydowego zabezpieczenia danych.
3	Skontaktuj się z pomocą techniczną Cisco.

Inne uwagi

Znane problemy dotyczące hybrydowych zabezpieczeń danych

Jeśli zamkniesz klaster hybrydowego zabezpieczenia danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych keystore, użytkownicy aplikacji Webex nie będą mogli już korzystać ze spacji na liście Osoby utworzonej za pomocą kluczy z KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia ani rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłudze aktywnych kont użytkowników.
Klient z istniejącym połączeniem ECDH z KMS utrzymuje to połączenie przez pewien czas (prawdopodobnie godzinę). Gdy użytkownik staje się członkiem próby hybrydowego zabezpieczenia danych, klient użytkownika nadal korzysta z istniejącego połączenia ECDH do czasu jego wyłączenia. Alternatywnie, użytkownik może wylogować się i wrócić do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w przypadku kluczy szyfrowania.

To samo zachowanie występuje podczas przenoszenia próby do produkcji dla organizacji. Wszyscy użytkownicy spoza wersji próbnej posiadający istniejące połączenia ECDH z poprzednimi służbami bezpieczeństwa danych będą nadal korzystać z tych usług do czasu renegocjacji połączenia ECDH (poprzez limit czasu lub poprzez wylogowanie i powrót).

Użyj protokołu OpenSSL, aby wygenerować plik PKCS12

Przed rozpoczęciem

OpenSSL jest jednym z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do ładowania w narzędziu konfiguracji HDS. Istnieją inne sposoby, aby to zrobić, i nie popieramy ani nie promujemy jednej drogi nad drugą.
Jeśli zdecydujesz się korzystać z OpenSSL, zapewniamy tę procedurę jako wytyczną, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatów X.509. Zrozum te wymagania, zanim przejdziesz dalej.
Zainstaluj OpenSSL w obsługiwanym środowisku. Patrz https://www.openssl.org oprogramowanie i dokumentacja.
Utwórz klucz prywatny.
Procedurę tę należy rozpocząć po otrzymaniu certyfikatu serwera od urzędu certyfikacji.

1	Po otrzymaniu certyfikatu serwera z urzędu certyfikacji zapisz go jako `hdsnode.pem`.
2	Wyświetl certyfikat jako tekst i zweryfikuj szczegóły. `openssl x509 -text -noout -in hdsnode.pem`
3	Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie `hdsnode-bundle.pem`. Plik pakietu musi zawierać certyfikat serwera, wszystkie pośrednie certyfikaty urzędu certyfikacji oraz podstawowe certyfikaty urzędu certyfikacji w formacie poniżej: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Utwórz plik .p12 o przyjaznej nazwie `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Sprawdź szczegóły certyfikatu serwera. `openssl pkcs12 -in hdsnode.p12` Wprowadź hasło po wyświetleniu monitu, aby zaszyfrować klucz prywatny w taki sposób, aby był wyświetlany na wyjściu. Następnie sprawdź, czy klucz prywatny i pierwszy certyfikat zawierają linie `friendlyName: kms-private-key`. Przykład: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Co zrobić dalej

Powróć, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych. Korzystasz z hdsnode.p12 plik i ustawione dla niego hasło w Utwórz ISO konfiguracji dla prowadzących HDS.

Możesz ponownie użyć tych plików, aby poprosić o nowy certyfikat po wygaśnięciu oryginalnego certyfikatu.

Ruch między węzłami HDS a chmurą

Ruch zbierania metryk wychodzących

Węzły hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dla maks. stosu, stosowanego stosu, obciążenia procesora i liczenia wątków; metryki na wątkach synchronicznych i asynchronicznych; metryki na alertach obejmujące próg połączeń szyfrowania, opóźnienie lub długość kolejki żądań; metryki na zbiorniku danych; oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał poza pasmem (oddzielony od żądania).

Ruch przychodzący

Węzły hybrydowego zabezpieczenia danych otrzymują następujące typy ruchu przychodzącego z chmury Webex:

Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania
Aktualizacja do oprogramowania węzła

Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych

Websocket Nie Można Połączyć Za Pomocą Proxy Squid

Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS, mogą ingerować w tworzenie websocket ( wss:) połączenia, których wymaga Hybrid Data Security. Sekcje te zawierają wskazówki dotyczące konfigurowania różnych wersji Squid do ignorowania wss: ruch w celu prawidłowego funkcjonowania usług.

Squid 4 i 5

Dodaj on_unsupported_protocol dyrektywa do squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

Z powodzeniem przetestowaliśmy hybrydowe zabezpieczenia danych, dodając następujące zasady squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizacji chmury Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Przedmowa

Nowe i zmienione informacje

Data

Zmiany

20 października 2023 r.

Zaktualizowane informacje w wymaganiach serwera bazy danych.
Dodano konfigurację Centrum danych w trybie gotowości do odzyskiwania awarii.
Zaktualizowane informacje w Standby Data Center for Disaster Recovery and Disaster Recovery using Standby Data Center.

07 sierpnia 2023 r.

Dodano notatkę w sekcji Pobierz pliki instalacyjne.
Dodano notatkę w Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła.

23 maja 2023 r.

Usunięto informacje z wymagań serwera bazy danych , żądając włączenia funkcji przez skontaktowanie się z zespołem kont.
Zaktualizowano informacje dotyczące zewnętrznych wymagań dotyczących łączności i dodano Kanadę do tabeli hostów CI.
Dodano uwagę w oczekiwaniach dotyczących wdrażania hybrydowego zabezpieczenia danych w odniesieniu do niedostępności mechanizmów przenoszenia kluczy z powrotem do chmury.

06 grudnia 2022 r.

Obrazy narzędzia konfiguracji HDS są teraz hostowane w ciscocitg repozytorium dockerhub.
Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień tematy konfiguracji węzła , aby przywrócić zmiany w poleceniach.

23 listopada 2022 r.

Węzły HDS mogą teraz używać uwierzytelniania systemu Windows w usłudze Microsoft SQL Server.

Zaktualizowano temat wymagań serwera bazy danych z dodatkowymi wymaganiami dla tego trybu uwierzytelniania.

Zaktualizowano Utwórz ISO konfiguracji hostów HDS z procedurą konfigurowania uwierzytelniania systemu Windows w węzłach.
Zaktualizowano temat wymagań serwera bazy danych o nowe minimalne wymagane wersje (PostgreSQL 10).

13 października 2021 r.

Docker Desktop musi uruchomić program konfiguracji przed zainstalowaniem węzłów HDS. Zobacz Wymagania Dotyczące Pulpitu Docker.

24 czerwca 2021 r.

Pamiętaj, że możesz ponownie użyć pliku klucza prywatnego i CSR, aby poprosić o inny certyfikat. Aby uzyskać szczegółowe informacje, zobacz Użyj OpenSSL, aby wygenerować plik PKCS12.

30 kwietnia 2021 r.

Zmieniono wymaganie VM dla lokalnego miejsca na dysku twardym na 30 GB. Szczegółowe informacje można znaleźć w sekcji Wymagania wirtualnego prowadzącego.

24 lutego 2021 r.

Narzędzie konfiguracji usługi HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie ISO konfiguracji hostów HDS.

2 lutego 2021 r.

HDS może teraz działać bez zamontowanego pliku ISO. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.

11 stycznia 2021 r.

Dodano informacje o narzędziu do konfiguracji HDS i pełnomocnikach, aby utworzyć ISO konfiguracji dla prowadzących HDS.

13 października 2020 r.

Zaktualizowano Pobierz pliki instalacyjne.

8 października 2020 r.

Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP.

14 sierpnia 2020 r.

Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła ze zmianami w procesie logowania.

5 sierpnia 2020 r.

Zaktualizowano testowanie wdrażania hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika.

Zaktualizowano wymagania hosta wirtualnego , aby usunąć maksymalną liczbę hostów.

16 czerwca 2020 r.

Zaktualizowano Usuwanie węzła pod kątem zmian w interfejsie interfejsu Control Hub.

4 czerwca 2020 r.

Zaktualizowano Tworzenie ISO konfiguracji dla hostów HDS w celu wprowadzenia zmian w ustawieniach zaawansowanych, które można ustawić.

29 maja 2020 r.

Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami interfejsu użytkownika i innymi wyjaśnieniami.

5 maja 2020 r.

Zaktualizowano wymagania hosta wirtualnego , aby pokazać nowe wymagania ESXi 6.5.

21 kwietnia 2020 r.

Zaktualizowane wymagania dotyczące łączności zewnętrznej z nowymi hostami CI Americas.

1 kwietnia 2020 r.

Zaktualizowane wymagania dotyczące łączności zewnętrznej z informacjami na temat regionalnych prowadzących CI.

20 lutego 2020 r. Zaktualizowano Utwórz ISO konfiguracji hostów HDS z informacjami na nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu do konfiguracji HDS.

4 lutego 2020 r. Zaktualizowano wymagania serwera proxy.

16 grudnia 2019 r. Wyjaśnione wymagania dotyczące zablokowanego zewnętrznego trybu rozdzielczości DNS do pracy w wymaganiach serwera proxy.

19 listopada 2019 r.

Dodano informacje o zablokowanym zewnętrznym trybie rozpoznawania DNS w następujących sekcjach:

Wsparcie proxy
Konfigurowanie węzła HDS dla integracji serwera proxy
Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS

8 listopada 2019 r.

Teraz można skonfigurować ustawienia sieciowe węzła podczas wdrażania OVA, a nie później.

Zaktualizowano odpowiednio następujące sekcje:

Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych
Instalowanie OVA hosta HDS
Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych

Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

6 września 2019 r.

Dodano SQL Server Standard do wymagań serwera bazy danych.

29 sierpnia 2019 r. Dodano Configure Squid Proxies for Hybrid Data Security appendix z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu zignorowania ruchu websocket w celu prawidłowej obsługi.

20 sierpnia 2019 r.

Dodano i zaktualizowano sekcje, aby objąć obsługę proxy komunikacji węzła hybrydowego bezpieczeństwa danych z chmurą Webex.

Wsparcie proxy
Wymagania serwera proxy
Konfigurowanie węzła HDS dla integracji serwera proxy

Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł pomocy Proxy Support for Hybrid Data Security i Webex Video Mesh .

13 czerwca 2019 r. Zaktualizowano próbny do przepływu zadań produkcyjnych z przypomnieniem o synchronizacji HdsTrialGroup obiekt grupowy przed rozpoczęciem próby, jeśli Twoja organizacja korzysta z synchronizacji katalogu.

6 marca 2019 r.

Przeniesione wymagania i wymagania wstępne do oddzielnego rozdziału, Przygotuj Swoje Środowisko.
Dodano przegląd przepływu zadań wdrażania zabezpieczeń danych hybrydowych w rozdziale Skonfiguruj klaster zabezpieczeń danych hybrydowych.

Zauważono, że do momentu rozpoczęcia próby (przy użyciu instrukcji w następnym rozdziale) węzły generują alarm wskazujący, że usługa nie jest jeszcze aktywowana.
Dodano Test do przepływu zadań produkcyjnych w rozdziale Uruchom wersję próbną i przejdź do produkcji.

28 lutego 2019 r.

Skorygowano ilość lokalnego miejsca na dysku twardym na serwer, którą należy odłożyć podczas przygotowywania wirtualnych hostów, które stają się węzłami hybrydowego zabezpieczenia danych, z 50 GB do 20 GB, aby odzwierciedlić rozmiar dysku, który tworzy OVA.

26 lutego 2019 r.

Węzły hybrydowego zabezpieczenia danych obsługują teraz szyfrowane połączenia z serwerami bazy danych PostgreSQL i szyfrowane połączenia rejestrowania z serwerem dziennika systemowego obsługującym protokół TLS. Zaktualizowano Tworzenie ISO konfiguracji dla prowadzących HDS z instrukcjami.
Usunięto adresy URL docelowe z tabeli „Wymagania dotyczące łączności internetowej dla hybrydowych węzłów bezpieczeństwa danych”. Tabela odnosi się teraz do listy utrzymywanej w tabeli „Dodatkowe adresy URL usług hybrydowych Webex Teams” dotyczącej wymagań sieciowych dla usług Webex Teams.

24 stycznia 2019 r.

Hybrid Data Security obsługuje teraz Microsoft SQL Server jako bazę danych. Serwer SQL Always On (Klastry Always On Failover i grupy Always On Availability) jest obsługiwany przez sterowniki JDBC używane w hybrydowych zabezpieczeniach danych. Dodano zawartość związaną z wdrożeniem z programem SQL Server.

Obsługa rozwiązania Microsoft SQL Server jest przeznaczona tylko dla nowych wdrożeń hybrydowych zabezpieczeń danych. Obecnie nie obsługujemy migracji danych z serwera PostgreSQL na serwer Microsoft SQL Server w istniejącym wdrożeniu.

5 listopada 2018 r.

Dodano wstępny krok w celu wyczyszczenia wszystkich istniejących wystąpień dokera w Utwórz ISO konfiguracji dla prowadzących HDS i Zmień konfigurację węzła.
Zaktualizowano kluczowy krok poziomu dostępu w Utwórz ISO konfiguracji hostów HDS w celu dopasowania do interfejsu.

19 października 2018 r.

Podziel informacje o połączeniu zapory na wymagania węzłów i wymagania maszyny konfiguracyjnej ISO w Zakończ wymagania wstępne dotyczące hybrydowego zabezpieczenia danych.

31 lipca 2018 r.

Dodano port 22 (dostęp SSH) oraz informacje o połączeniach NAT i zapory, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych.

21 maja 2018 r.

Zmieniona terminologia odzwierciedlająca zmianę marki Cisco Spark:

Cisco Spark Hybrid Data Security jest teraz Hybrid Data Security.
Aplikacja Cisco Spark jest teraz aplikacją Webex.
Cisco Collaboraton Cloud jest teraz chmurą Webex.

11 kwietnia 2018 r.

Dodano Standby Data Center for Disaster Recovery (Centrum danych w trybie gotowości do przywracania po awarii).
Zaktualizowano Uzupełnij wymagania wstępne dla hybrydowego zabezpieczenia danych , aby określić, że środowisko tworzenia kopii zapasowych powinno znajdować się w innym centrum danych.
Zaktualizowano przywracanie po awarii za pomocą Standby Data Center.

22 lutego 2018 r.

Dodano informacje o 9-miesięcznej długości życia konta usługi i użyciu narzędzia do konfiguracji HDS do zresetowania haseł konta usługi, w Utwórz ISO konfiguracji dla prowadzących HDS i Zmień konfigurację węzła.

Luty 15, 2018

W tabeli Wymagania dotyczące certyfikatów X.509 określono, że certyfikat nie może być certyfikatem z wieloznacznymi kartami i że KMS używa domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3.

Styczeń 18, 2018

Dodano załącznik, Ruch między węzłami HDS a chmurą.
Usunięto rozwiązany problem ze znanymi problemami dotyczącymi hybrydowego bezpieczeństwa danych.
Zmieniono index.docker.io na *.docker.io i dodano *.cloudfront.net do listy wymagań łączności TCP dla węzłów HDS w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych.
Zaktualizowano Utwórz ISO konfiguracji hostów HDS w celu wskazania, że jeśli host bazy danych i serwer Syslogd nie są rozwiązywalne dla DNS z węzłów HDS, należy je skonfigurować za pomocą adresów IP.

2 listopada 2017 r.

Skrócona synchronizacja katalogu grupy HdsTrialGroup.
Stałe instrukcje dotyczące przesyłania pliku konfiguracyjnego ISO w celu montażu w węzłach VM.

18 sierpnia 2017 r.

Pierwsza publikacja

Rozpocznij pracę z Hybrid Data Security

Przegląd zabezpieczeń danych hybrydowych

Od pierwszego dnia bezpieczeństwo danych było głównym celem projektowania aplikacji Webex. Podstawą tych zabezpieczeń jest kompleksowe szyfrowanie zawartości, włączane przez klientów aplikacji Webex , którzy wchodzą w interakcję z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.

Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS w obszarze bezpieczeństwa firmy Cisco. Hybrid Data Security przenosi usługę KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie ma kluczy do zaszyfrowanej zawartości.

Architektura domeny zabezpieczeń

Architektura chmury Webex oddziela różne rodzaje usług od osobnych domen lub domen zaufania, jak przedstawiono poniżej.

Aby lepiej zrozumieć hybrydowe zabezpieczenia danych, spójrzmy najpierw na ten przypadek czystej chmury, w którym firma Cisco zapewnia wszystkie funkcje w swoich domenach w chmurze. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od domeny bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od domeny, w której ostatecznie przechowywana jest zaszyfrowana zawartość, w centrum danych C.

Na tym schemacie klient to aplikacja Webex działająca na laptopie użytkownika i uwierzytelniona za pomocą usługi tożsamości. Gdy użytkownik komponuje wiadomość do wysłania do obszaru, wykonywane są następujące czynności:

Klient ustanawia bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie prosi o klucz do szyfrowania wiadomości. Bezpieczne połączenie korzysta z ECDH, a KMS szyfruje klucz przy użyciu klucza głównego AES-256.
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła go do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniach zawartości.
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w domenie przechowywania.

Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze, które składają się na usługę Webex (w tym pamięć masowa tożsamości i zawartości), pozostają w domenach Cisco.

Współpraca z innymi organizacjami

Użytkownicy w organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników prosi o klucz do obszaru należącego do organizacji (ponieważ został on utworzony przez jednego z użytkowników), KMS wysyła klucz do klienta za pośrednictwem kanału zabezpieczonego ECDH. Jednak gdy inna organizacja jest właścicielem klucza dla obszaru, system KMS kieruje żądanie do chmury Webex przez osobny kanał ECDH, aby uzyskać klucz z odpowiedniego systemu KMS, a następnie zwraca go do użytkownika na oryginalnym kanale.

Usługa KMS działająca na Org A weryfikuje połączenia z KMSs w innych organizacjach za pomocą certyfikatów PKI x.509. Aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użytku z wdrożeniem hybrydowego zabezpieczenia danych, zobacz Prepare Your Environment (Przygotowanie środowiska).

Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych

Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klienta i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.

Aby wdrożyć hybrydowe zabezpieczenia danych, należy zapewnić:

Bezpieczne centrum danych w kraju, który jest obsługiwaną lokalizacją dla planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w punkcie Przygotowanie środowiska.

Kompletna utrata konfiguracji ISO utworzonej dla hybrydowego zabezpieczenia danych lub dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:

Zarządzanie kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.
Przygotuj się do szybkiego odzyskiwania awaryjnego w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub awaria centrum danych.

Nie ma mechanizmu przenoszenia kluczy z powrotem do chmury po wdrożeniu HDS.

Proces konfiguracji na wysokim poziomie

Niniejszy dokument obejmuje konfigurację i zarządzanie wdrożeniem hybrydowego zabezpieczenia danych:

Skonfiguruj hybrydowe zabezpieczenia danych— obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, testowanie wdrożenia z podzbiorem użytkowników w trybie próbnym oraz, po zakończeniu testów, przejście do produkcji. Spowoduje to konwertowanie całej organizacji do używania klastra Hybrid Data Security dla funkcji zabezpieczeń.
Etapy konfiguracji, prób i produkcji zostały szczegółowo omówione w kolejnych trzech rozdziałach.
Utrzymuj wdrożenie hybrydowego zabezpieczenia danych— chmura Webex automatycznie zapewnia trwające uaktualnienia. Dział IT może zapewnić wsparcie poziomu pierwszego dla tego wdrożenia i zaangażować wsparcie Cisco w razie potrzeby. Możesz korzystać z powiadomień na ekranie i konfigurować alerty oparte na wiadomościach e-mail w Control Hub.
Zrozumienie wspólnych alertów, kroków rozwiązywania problemów i znanych problemów— w przypadku wystąpienia problemów z wdrożeniem lub użyciem hybrydowego zabezpieczenia danych ostatni rozdział niniejszego przewodnika i dodatku do Znanych problemów może pomóc w określeniu i rozwiązaniu problemu.

Hybrydowy model wdrażania zabezpieczeń danych

W centrum danych przedsiębiorstwa wdrażasz hybrydowe zabezpieczenia danych jako jeden klaster węzłów na osobnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych websocketów i bezpiecznego protokołu HTTP.

Podczas procesu instalacji dostarczamy Ci plik OVA do skonfigurowania urządzenia wirtualnego na dostarczonych maszynach wirtualnych. Narzędzie konfiguracyjne HDS służy do tworzenia niestandardowego pliku ISO konfiguracji klastra, który jest montowany w każdym węźle. Klaster Hybrid Data Security korzysta z dostarczonego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu konfiguracji HDS).

Hybrydowy model wdrażania zabezpieczeń danych

Minimalna liczba węzłów w klastrze to dwa. Zalecamy co najmniej trzy, a możesz mieć do pięciu. Posiadanie wielu węzłów zapewnia, że usługa nie zostanie przerwana podczas uaktualniania oprogramowania lub innej czynności konserwacyjnej w węźle. (Chmura Webex aktualizuje tylko jeden węzeł naraz).

Wszystkie węzły w klastrze mają dostęp do tego samego rekordu danych klucza i aktywności dziennika na tym samym serwerze dziennika systemowego. Same węzły są bezpaństwowe i obsługują żądania kluczy w sposób okrągły, zgodnie z zaleceniami chmury.

Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby usunąć pojedynczy węzeł z usługi, można go wyrejestrować, a następnie ponownie wyrejestrować w razie potrzeby.

Obsługujemy tylko jeden klaster na organizację.

Tryb próbny zabezpieczeń danych hybrydowych

Po skonfigurowaniu wdrożenia hybrydowego zabezpieczenia danych spróbuj go najpierw z zestawem użytkowników pilotażowych. W okresie próbnym użytkownicy ci wykorzystują lokalną domenę hybrydowego zabezpieczenia danych do szyfrowania kluczy i innych usług domeny zabezpieczeń. Inni użytkownicy nadal korzystają ze sfery zabezpieczeń w chmurze.

Jeśli zdecydujesz się nie kontynuować wdrażania podczas wersji próbnej i dezaktywować usługi, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi współpracowali, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zostanie wyświetlony komunikat „Nie można odszyfrować tej wiadomości” w aplikacji Webex.

Jeśli jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych i jesteś gotowy do rozszerzenia hybrydowego zabezpieczenia danych na wszystkich użytkowników, przenosisz wdrożenie do produkcji. Użytkownicy pilotażowi nadal mają dostęp do kluczy, które były używane podczas próby. Nie można jednak poruszać się w tę i z powrotem między trybem produkcji a oryginalnym testem. Jeśli musisz dezaktywować usługę, na przykład w celu przeprowadzenia odzyskiwania po awarii, po ponownej aktywacji musisz rozpocząć nową wersję próbną i skonfigurować zestaw użytkowników pilotażowych dla nowej wersji próbnej przed powrotem do trybu produkcji. To, czy użytkownicy zachowują w tym momencie dostęp do danych, zależy od tego, czy udało się zachować kopie zapasowe kluczowego magazynu danych i pliku konfiguracyjnego ISO dla węzłów hybrydowych zabezpieczeń danych w klastrze.

Standby Data Center for Disaster Recovery

Podczas wdrażania skonfigurowano bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie anulować wdrożenie do centrum danych w trybie gotowości.

Bazy danych aktywnych i standby centrów danych są ze sobą zsynchronizowane, co zminimalizuje czas potrzebny na wykonanie przełącznika awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają rejestrację węzłów w organizacji, ale nie obsługują ruchu. Stąd węzły standby data center zawsze pozostają aktualne z najnowszą wersją oprogramowania HDS.

Aktywne węzły hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych.

Konfiguracja Standby Data Center do odzyskiwania awarii

Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:

Przed rozpoczęciem

Centrum danych w stanie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych oraz zapasową bazę danych PostgreSQL lub Microsoft SQL Server. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne (zobacz Standby Data Center for Disaster Recovery , aby zapoznać się z tym modelem failover).
Upewnij się, że synchronizacja bazy danych jest włączona między bazą danych aktywnych i pasywnych węzłów klastra.

1

Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.

Plik ISO musi być kopią oryginalnego pliku ISO głównego centrum danych, na którym mają być dokonywane następujące aktualizacje konfiguracji.

2

Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane

3

Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwał żadnego ruchu.


passiveMode: 'true'

4

Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia.

5

Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

6

W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia..

7

Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.

Upewnij się, że Connected and Connect at power on (Podłączono) są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły wejść w życie po uruchomieniu węzłów.

8

Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.

9

Powtórz proces dla każdego węzła w centrum danych standby.

Sprawdź dzienniki syslog, aby sprawdzić, czy węzły są w trybie pasywnym. W dziennikach syslog należy mieć możliwość wyświetlania komunikatu „KMS skonfigurowany w trybie pasywnym”.

Co zrobić dalej

Po skonfigurowaniu passiveMode w pliku ISO i zapisanie go można utworzyć inną kopię pliku ISO bez passiveMode konfigurację i zapisanie w bezpiecznym miejscu. Ta kopia pliku ISO bez passiveMode skonfigurowany może pomóc w szybkim procesie awaryjnym podczas odzyskiwania po awarii. Aby zapoznać się ze szczegółową procedurą przywracania awaryjnego za pomocą Standby Data Center (Centrum danych gotowości).

Wsparcie proxy

Hybrydowe zabezpieczenia danych obsługują jednoznaczne, przejrzyste inspekcje i nieinspekcje serwerów proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby można było zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy można używać w węzłach do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.

Węzły hybrydowego zabezpieczenia danych obsługują następujące opcje serwera proxy:

Brak serwera proxy — ustawienie domyślne, jeśli w celu zintegrowania serwera proxy nie jest używane do konfiguracji węzła HDS Trust Store & Proxy. Nie jest wymagana aktualizacja certyfikatu.
Przejrzysty serwer proxy niekontrolowany — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z serwerem proxy niekontrolowanym. Nie jest wymagana aktualizacja certyfikatu.
Przejrzyste tunelowanie lub sprawdzanie serwera proxy — węzły nie są skonfigurowane do korzystania z określonego adresu serwera proxy. W węzłach nie są konieczne zmiany konfiguracji protokołu HTTP ani protokołu HTTPS. Węzły potrzebują jednak certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).
Wyraźny serwer proxy — w przypadku wyraźnego serwera proxy należy wskazać węzły HDS, których serwer proxy i schemat uwierzytelniania należy używać. Aby skonfigurować wyraźny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
1. Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.
2. Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.
3. Protokół proxy— w zależności od tego, co obsługuje serwer proxy, wybierz między następującymi protokołami:
  - HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
  - HTTPS — udostępnia kanał do serwera. Klient odbiera i weryfikuje certyfikat serwera.
4. Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:
  - Brak — dalsze uwierzytelnianie nie jest wymagane.
    
    Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
  - Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.
    
    Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
  - Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.
    
    Dostępne tylko po wybraniu protokołu HTTPS jako protokołu proxy.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

Przykład węzłów hybrydowych zabezpieczeń danych i serwera proxy

Na tym wykresie przedstawiono przykładowe połączenie między hybrydowym zabezpieczeniem danych, siecią i serwerem proxy. W przypadku opcji przejrzystej inspekcji i jawnej inspekcji serwera proxy HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach hybrydowych zabezpieczeń danych.

Zablokowany zewnętrzny tryb rozpoznawania DNS (wyraźne konfiguracje serwera proxy)

Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. W przypadku wdrożeń z wyraźnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzną rozdzielczość DNS dla klientów wewnętrznych, jeśli węzeł nie może wyszukiwać serwerów DNS, automatycznie przechodzi on w tryb Zablokowanej zewnętrznej rozdzielczości DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.

Przygotuj swoje środowisko

Wymagania dotyczące hybrydowego bezpieczeństwa danych

Wymagania licencyjne Cisco Webex

Aby wdrożyć hybrydowe zabezpieczenia danych:

Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub (patrz https://www.cisco.com/go/pro-pack).

Docker Wymagania pulpitowe

Przed zainstalowaniem węzłów HDS potrzebny jest Docker Desktop do uruchomienia programu konfiguracji. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis w blogu platformy Docker, „ Docker aktualizuje i rozszerza subskrypcje naszych produktów ”.

Wymagania dotyczące certyfikatu X.509

Łańcuch certyfikatów musi spełniać następujące wymagania:

Tabela 1. X.509 Wymagania dotyczące certyfikatów dla wdrażania hybrydowego zabezpieczenia danych
Wymaganie	Szczegóły
Podpisany przez zaufany urząd certyfikacji (CA)	Domyślnie ufamy urzędnikom na liście Mozilla (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs.
Nazwa domeny wspólnej nazwy (CN) identyfikująca wdrożenie hybrydowego zabezpieczenia danych Nie jest certyfikatem wieloznacznych kart	CN nie musi być osiągalne ani hostem na żywo. Zalecamy używanie nazwy odzwierciedlającej np. organizację, `hds.company.com`. CN nie może zawierać * (wildcard). CN służy do weryfikacji węzłów hybrydowych zabezpieczeń danych dla klientów aplikacji Webex. Wszystkie węzły hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. System KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie obsługujemy zmiany nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych.
Podpis inny niż SHA1	Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu weryfikacji połączeń z KMSs innych organizacji.
Formatowany jako plik PKCS #12 chroniony hasłem Użyj przyjaznej nazwy `kms-private-key` aby oznaczyć certyfikat, klucz prywatny i wszelkie certyfikaty pośrednie do przesłania.	Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Po uruchomieniu narzędzia konfiguracji usługi HDS należy wprowadzić hasło.

Oprogramowanie KMS nie wymusza użycia klucza ani nie nakłada dodatkowych ograniczeń w jego używaniu. Niektóre organy certyfikatów wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia użycia kluczy, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.

Wymagania dotyczące wirtualnego prowadzącego

Wirtualne hosty skonfigurowane jako węzły hybrydowego zabezpieczenia danych w klastrze mają następujące wymagania:

Co najmniej dwa osobne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych
Oprogramowanie VMware ESXi 6.5 (lub nowsze) zostało zainstalowane i uruchomione.

Jeśli masz wcześniejszą wersję ESXi, musisz ją uaktualnić.
Minimum 4 procesory vCPUs, 8-GB pamięci głównej, 30-GB lokalnego miejsca na dysk twardy na serwer

Wymagania serwera bazy danych

Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych.

Istnieją dwie opcje dla serwera bazy danych. Wymagania dla każdego z nich są następujące:

Tabela 2. Wymagania serwera bazy danych według typu bazy danych

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 lub 16, zainstalowany i uruchomiony.

Zainstalowano program SQL Server 2016, 2017 lub 2019 (Enterprise lub Standard).

SQL Server 2016 wymaga pakietu usług 2 i zbiorczej aktualizacji 2 lub nowszej.

Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci)

Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:

PostgreSQL

Microsoft SQL Server

Postgres JDBC kierowca 42.2.5

SQL Server JDBC sterownik 4.6

Ta wersja sterownika obsługuje program SQL Server Always On (Always On Failover Cluster Instances oraz Always On availability groups).

Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w usłudze Microsoft SQL Server

Jeśli chcesz, aby węzły HDS używały uwierzytelniania w systemie Windows, aby uzyskać dostęp do bazy danych keystore na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w swoim środowisku:

Węzły HDS, infrastruktura Active Directory i MS SQL Server muszą być synchronizowane z NTP.
Konto systemu Windows dla węzłów HDS musi mieć dostęp do bazy danych do odczytu/zapisu.
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozwiązać klucz centrum dystrybucji (KDC).
Wystąpienie bazy danych HDS można zarejestrować na serwerze Microsoft SQL Server jako główną nazwę usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.

Narzędzie do konfigurowania HDS, uruchamianie HDS i lokalne KMS muszą używać uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych keystore. Używają szczegółów z konfiguracji ISO do budowy SPN podczas żądania dostępu za pomocą uwierzytelniania Kerberos.

Wymagania dotyczące połączeń zewnętrznych

Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:

Aplikacja	Protokół	Port	Polecenie z aplikacji	Miejsce docelowe
Węzły hybrydowego zabezpieczenia danych	TCP	443	Zewnętrzne HTTPS i WSS	Serwery Webex: .wbx2.com .ciscospark.com Wszystkie hosty Common Identity Inne adresy URL wymienione dla hybrydowych zabezpieczeń danych w tabeli Dodatkowe adresy URL dla usług hybrydowych Webex zawierającej wymagania sieciowe dla usług Webex
Narzędzie do konfigurowania HDS	TCP	443	Zewnętrzny protokół HTTPS	*.wbx2.com Wszystkie hosty Common Identity hub.docker.com

Węzły hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub za zaporą, o ile NAT lub zapora zezwala na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują dostępu do węzłów hybrydowych zabezpieczeń danych w portach TCP 443 i 22 do celów administracyjnych.

Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Są to bieżące hosty CI:

Region	Wspólne adresy URL prowadzącego tożsamości
Ameryka	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Unia Europejska	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Wymagania serwera proxy

Oficjalnie obsługujemy następujące rozwiązania proxy, które mogą integrować się z węzłami hybrydowego zabezpieczenia danych.

Przejrzysty serwer proxy — Cisco Web Security Appliance (WSA).

Wyraźny serwer proxy — Squid.

Proxies Squid, które sprawdzają ruch HTTPS może kolidować z ustanowieniem websocket (wss:) połączeń. Aby rozwiązać ten problem, zobacz Configure Squid Proxies for Hybrid Data Security.

Obsługujemy następujące kombinacje typów uwierzytelniania dla serwerów proxy:
- Brak uwierzytelniania przy użyciu protokołu HTTP lub HTTPS
- Uwierzytelnianie podstawowe przy użyciu protokołu HTTP lub HTTPS
- Uwierzytelnianie przy użyciu protokołu HTTPS
W przypadku przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS należy posiadać kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania zawarte w tym przewodniku informują o sposobie przesłania kopii do sklepów zaufania węzłów hybrydowych zabezpieczeń danych.
Sieć hostująca węzły HDS musi być skonfigurowana tak, aby wymuszać wychodzący ruch TCP na porcie 443 na trasę przez serwer proxy.
Serwery proxy, które kontrolują ruch sieciowy, mogą zakłócać połączenia z gniazdem internetowym. Jeśli wystąpi ten problem, omijając (nie kontrolując) ruch do wbx2.com i ciscospark.com rozwiąże problem.

Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych

Użyj tej listy kontrolnej, aby upewnić się, że jesteś gotowy do zainstalowania i skonfigurowania klastra hybrydowego bezpieczeństwa danych.

1

Upewnij się, że Twoja organizacja Webex jest włączona dla pakietu Pro Pack dla Cisco Webex Control Hub i uzyskaj poświadczenia konta z pełnymi prawami administratora organizacji. Aby uzyskać pomoc w tym procesie, skontaktuj się z partnerem firmy Cisco lub menedżerem konta.

2

Wybierz nazwę domeny dla wdrożenia HDS (na przykład hds.company.com) i uzyskać łańcuch certyfikatów zawierający certyfikat X.509, klucz prywatny i wszelkie certyfikaty pośrednie. Łańcuch certyfikatów musi spełniać wymagania określone w X.509 Certificate Requirements.

3

Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły hybrydowego zabezpieczenia danych w klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych, które spełniają wymagania w Wymagania wirtualnego hosta.

4

Przygotuj serwer bazy danych, który będzie działał jako kluczowy magazyn danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być zestawiony w bezpiecznym centrum danych z wirtualnymi hostami.

Utwórz bazę danych do przechowywania kluczy. (Musisz utworzyć tę bazę danych — nie używaj domyślnej bazy danych. Aplikacje HDS, po zainstalowaniu, tworzą schemat bazy danych.)
Zbierz szczegóły używane przez węzły do komunikacji z serwerem bazy danych:
- nazwę prowadzącego lub adres IP (prowadzącego) i port
- nazwa bazy danych (dbname) do przechowywania kluczy
- nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych magazynu kluczy

5

W celu szybkiego odzyskiwania danych po awarii należy skonfigurować środowisko tworzenia kopii zapasowych w innym centrum danych. Środowisko tworzenia kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i zapasowego serwera bazy danych. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne.

6

Skonfiguruj hosta dziennika systemowego, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemowego (domyślnie jest to UDP 514).

7

Utwórz bezpieczne zasady tworzenia kopii zapasowych węzłów hybrydowych zabezpieczeń danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec niemożliwej do odzyskania utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów hybrydowych zabezpieczeń danych.

Ponieważ węzły hybrydowego zabezpieczenia danych przechowują klucze używane do szyfrowania i odszyfrowywania treści, brak utrzymania operacyjnego wdrożenia spowoduje NIEZBĘDNĄ STRATĘ tej zawartości.

Klienci aplikacji Webex przechowują klucze w pamięci podręcznej, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się widoczna. Chociaż tymczasowe przerwy są niemożliwe do zapobieżenia, są one do odzyskania. Jednak całkowita utrata (brak kopii zapasowych) bazy danych lub pliku konfiguracyjnego ISO spowoduje niemożliwy do odzyskania dane klienta. Oczekuje się, że operatorzy węzłów hybrydowego bezpieczeństwa danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowy centrum danych hybrydowego bezpieczeństwa danych w przypadku wystąpienia katastrofalnej awarii.

8

Upewnij się, że konfiguracja zapory umożliwia dostęp do łączności w węzłach hybrydowych zabezpieczeń danych, jak opisano w Zewnętrznych wymogach dotyczących łączności.

9

Zainstaluj Docker ( https://www.docker.com) na każdej maszynie lokalnej z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080.

Za pomocą wystąpienia Docker można pobrać i uruchomić narzędzie konfiguracji HDS, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów hybrydowych zabezpieczeń danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania Dotyczące Pulpitu Dockera.

Aby zainstalować i uruchomić narzędzie do konfiguracji HDS, lokalna maszyna musi mieć łączność opisaną w Zewnętrznych wymaganiach dotyczących łączności.

10

Jeśli integrujesz serwer proxy z hybrydowymi zabezpieczeniami danych, upewnij się, że spełnia on wymagania serwera proxy.

11

Jeśli Twoja organizacja używa synchronizacji katalogu, utwórz grupę w usłudze Active Directory o nazwie HdsTrialGroup, i dodać użytkowników pilotażowych. Grupa próbna może mieć do 250 użytkowników. Plik HdsTrialGroup obiekt musi być zsynchronizowany z chmurą przed rozpoczęciem próby dla organizacji. Aby zsynchronizować obiekt grupowy, wybierz go w łączniku usług katalogowych Konfiguracja > Menu Wybór obiektu. (Szczegółowe instrukcje można znaleźć w Podręczniku wdrażania Cisco Directory Connector.)

Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Wybierając użytkowników pilotażowych, należy pamiętać, że jeśli zdecydujesz się na trwałą dezaktywację wdrożenia hybrydowego zabezpieczenia danych, wszyscy użytkownicy utracą dostęp do treści w obszarach utworzonych przez użytkowników pilotażowych. Strata staje się widoczna, gdy aplikacje użytkowników odświeżą swoje kopie w pamięci podręcznej treści.

Konfigurowanie hybrydowego klastra bezpieczeństwa danych

Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych

Przed rozpoczęciem

1

Pobierz plik OVA do lokalnego komputera, aby później go użyć.

2

Za pomocą narzędzia konfiguracyjnego HDS można utworzyć plik konfiguracyjny ISO dla węzłów hybrydowych zabezpieczeń danych.

3

Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych

Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe.

Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

4

Zaloguj się na konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.

5

Konfigurowanie węzła HDS dla integracji serwera proxy

Skonfiguruj VM z pliku konfiguracyjnego ISO utworzonego za pomocą narzędzia do konfiguracji HDS.

6

Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, którego użyjesz dla węzła, i w razie potrzeby dodaj certyfikat serwera proxy do sklepu zaufania.

7

Zarejestruj maszynę wirtualną za pomocą chmury Cisco Webex jako węzeł hybrydowego zabezpieczenia danych.

8

Konfigurowanie hybrydowego klastra bezpieczeństwa danych

Zakończ konfigurację klastra.

9

Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział)

Do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana.

Pobierz pliki instalacyjne

W tym zadaniu pobierz plik OVA do swojego komputera (nie do serwerów skonfigurowanych jako węzły hybrydowego zabezpieczenia danych). Ten plik jest używany później w procesie instalacji.

1

Zaloguj się do https://admin.webex.com, a następnie kliknij opcję Usługi.

2

W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych, a następnie kliknij przycisk Skonfiguruj.

Jeśli karta jest wyłączona lub jej nie widzisz, skontaktuj się z zespołem ds. kont lub organizacją partnerską. Podaj im numer konta i poproś o włączenie organizacji Hybrid Data Security. Aby znaleźć numer konta, kliknij bieg w prawym górnym rogu obok nazwy organizacji.

OVA można również pobrać w dowolnym momencie z sekcji Pomoc na stronie Ustawienia . Na karcie Hybrid Data Security kliknij opcję Edytuj ustawienia, aby otworzyć stronę. Następnie kliknij opcję Pobierz oprogramowanie hybrydowego zabezpieczenia danych w sekcji Pomoc .

Starsze wersje pakietu oprogramowania (OVA) nie będą kompatybilne z najnowszymi aktualizacjami Hybrid Data Security. Może to spowodować problemy podczas uaktualniania aplikacji. Upewnij się, że pobierz najnowszą wersję pliku OVA.

3

Wybierz Nie , aby wskazać, że węzeł nie został jeszcze skonfigurowany, a następnie kliknij przycisk Dalej.

Plik OVA automatycznie zaczyna się pobierać. Zapisz plik w lokalizacji na komputerze.

4

Opcjonalnie kliknij Open Deployment Guide (Otwórz przewodnik wdrażania), aby sprawdzić, czy dostępna jest późniejsza wersja tego przewodnika.

Tworzenie ISO konfiguracji dla prowadzących HDS

Proces konfiguracji hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie należy użyć ISO do skonfigurowania hosta hybrydowego bezpieczeństwa danych.

Przed rozpoczęciem

Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas podnoszenia kontenera Docker w kroku 5. W tej tabeli podano kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Wygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Potrzebna jest najnowsza kopia tego pliku, gdy wprowadzasz zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatów
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrowanie połączeń z bazą danych, skonfiguruj wdrożenie programu PostgreSQL lub SQL Server dla TLS.

1

W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

W zwykłych środowiskach:

docker rmi ciscocitg/hds-setup:stable

W środowiskach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

2

Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:

docker login -u hdscustomersro

3

Po wyświetleniu monitu o hasło wprowadź ten skrót:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Pobierz najnowszy stabilny obraz dla swojego środowiska:

W zwykłych środowiskach:

docker pull ciscocitg/hds-setup:stable

W środowiskach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

5

Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:

W zwykłych środowiskach bez serwera proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

W zwykłych środowiskach z serwerem proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

W zwykłych środowiskach z serwerem proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

W środowiskach FedRAMP bez serwera proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z serwerem proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z serwerem proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

6

Narzędzie Konfiguracja nie obsługuje łączenia się z localhost za pośrednictwem http://localhost:8080. Użyj http://127.0.0.1:8080, aby połączyć się z hostem lokalizacji.

Użyj przeglądarki internetowej, aby przejść do hosta lokalizacji, http://127.0.0.1:8080, i wprowadź nazwę użytkownika administratora klienta dla Control Hub po wyświetleniu monitu.

Narzędzie używa tego pierwszego wpisu nazwy użytkownika, aby ustawić odpowiednie środowisko dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.

7

Po wyświetleniu monitu wprowadź poświadczenia logowania administratora klienta Control Hub, a następnie kliknij przycisk Zaloguj się , aby zezwolić na dostęp do wymaganych usług Hybrid Data Security.

8

Na stronie Przegląd narzędzia konfiguracyjnego kliknij Rozpocznij.

9

Na stronie ISO Import dostępne są następujące opcje:

Nie— jeśli tworzysz swój pierwszy węzeł HDS, nie masz pliku ISO do przesłania.
Tak— jeśli utworzono już węzły HDS, należy wybrać plik ISO podczas przeglądania i przesyłania go.

10

Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatów X.509.

Jeśli nigdy wcześniej nie przesłałeś certyfikatu, prześlij certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.
Jeśli certyfikat jest prawidłowy, kliknij przycisk Kontynuuj.
Jeśli certyfikat wygasł lub chcesz go zastąpić, wybierz opcję Nie , aby Kontynuować korzystanie z łańcucha certyfikatów HDS i klucza prywatnego z poprzedniego ISO?. Prześlij nowy certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.

11

Wprowadź adres bazy danych i konto HDS, aby uzyskać dostęp do klucza danych:

Wybierz typ bazy danych (PostgreSQL lub Microsoft SQL Server).

Jeśli wybierzesz program Microsoft SQL Server, otrzymasz pole Typ uwierzytelniania.
(tylko Microsoft SQL Server) Wybierz Typ uwierzytelniania:
- Uwierzytelnianie podstawowe: W polu Nazwa użytkownika potrzebna jest lokalna nazwa konta SQL Server.
- Uwierzytelnianie systemu Windows: Potrzebujesz konta Windows w formacie username@DOMAIN w polu Nazwa użytkownika.
Wprowadź adres serwera bazy danych w formularzu <hostname>:<port> lub <IP-address>:<port>.

Przykład:
dbhost.example.org:1433 lub 198.51.100.17:1433

Do podstawowego uwierzytelniania można użyć adresu IP, jeśli węzły nie mogą używać DNS do rozpoznawania nazwy hosta.

Jeśli używasz uwierzytelniania systemu Windows, musisz wprowadzić w pełni kwalifikowaną nazwę domeny w formacie dbhost.example.org:1433
Wprowadź nazwę bazy danych.
Wprowadź nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych magazynu kluczy.

12

Wybierz tryb połączenia z bazą danych TLS:

Tryb

Opis

Preferuj TLS (opcja domyślna)

Węzły HDS nie wymagają TLS do łączenia się z serwerem bazy danych. Jeśli włączysz protokół TLS na serwerze bazy danych, węzły spróbują zaszyfrowanego połączenia.

Wymagaj TLS

Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować TLS.

Wymagaj TLS i zweryfikuj osobę podpisującą certyfikat

Ten tryb nie ma zastosowania do baz danych SQL Server.

Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować TLS.
Po nawiązaniu połączenia TLS węzeł porównuje sygnera certyfikatu z serwera bazy danych z organem certyfikatu w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie.

Użyj przycisku Certyfikat główny bazy danych poniżej listy rozwijanej, aby przesłać certyfikat główny dla tej opcji.

Wymagaj TLS oraz zweryfikuj osobę podpisującą certyfikat i nazwę hosta

Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować TLS.
Po nawiązaniu połączenia TLS węzeł porównuje sygnera certyfikatu z serwera bazy danych z organem certyfikatu w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie.
Węzły sprawdzają również, czy nazwa hosta w certyfikacie serwera jest zgodna z nazwą hosta w polu Baza danych i port . Nazwy muszą być dokładnie takie same, w przeciwnym razie węzeł zerwie połączenie.

Użyj przycisku Certyfikat główny bazy danych poniżej listy rozwijanej, aby przesłać certyfikat główny dla tej opcji.

Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracji HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie sprawdza również osobę podpisującą certyfikat i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w połączeniach węzły HDS mogą być w stanie nawiązać połączenie TLS, nawet jeśli maszyna narzędziowa HDS Setup Tool nie jest w stanie go przetestować).

13

Na stronie Dzienniki systemu skonfiguruj serwer Syslogd:

Wprowadź adres URL serwera dziennika systemowego.

Jeśli serwer nie jest w stanie rozwiązać DNS z węzłów klastra HDS, użyj adresu IP w adresie URL.

Przykład:
udp://10.92.43.23:514 wskazuje logowanie do hosta Syslogd 10.92.43.23 w porcie UDP 514.
Jeśli skonfigurujesz serwer, aby używał szyfrowania TLS, sprawdź, czy serwer dziennika systemowego jest skonfigurowany do szyfrowania SSL?.

Jeśli zaznaczysz to pole wyboru, upewnij się, że wprowadzasz adres URL TCP, taki jak: tcp://10.92.43.23:514.
Z listy rozwijanej Wybierz zakończenie rekordu dziennika systemowego wybierz odpowiednie ustawienie dla pliku ISO: Wybierz lub Newline są używane do Graylog i Rsyslog TCP
- Byte czajnika -- \x00
- Newline -- \n — Wybierz ten wybór dla aplikacji Graylog i Rsyslog TCP.
Kliknij przycisk Kontynuuj.

14

(Opcjonalnie) W ustawieniach zaawansowanych można zmienić wartość domyślną niektórych parametrów połączenia z bazą danych. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić:

app_datasource_connection_pool_maxSize: 10

15

Kliknij przycisk Kontynuuj na ekranie Resetuj hasło konta usługi .

Hasła konta serwisowego mają okres dziewięciu miesięcy. Użyj tego ekranu, gdy hasła zbliżają się do wygaśnięcia lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO.

16

Kliknij opcję Pobierz plik ISO. Zapisz plik w lokalizacji, którą łatwo znaleźć.

17

Wykonaj kopię zapasową pliku ISO w lokalnym systemie.

Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

18

Aby zamknąć narzędzie Setup, wpisz: CTRL+C.

Co zrobić dalej

Kopia zapasowa pliku ISO konfiguracji. Musisz utworzyć więcej węzłów do odzyskiwania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Odzyskiwanie kluczy z bazy danych PostgreSQL lub Microsoft SQL Server nie jest możliwe.

Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz.

Instalowanie OVA hosta HDS

Użyj tej procedury, aby utworzyć maszynę wirtualną z pliku OVA.

1

Aby zalogować się do wirtualnego hosta ESXi, użyj klienta VMware vSphere na komputerze.

2

Wybierz Plik > Wdrożenie szablonu OVF.

3

W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij Następny.

4

Na ekranie Wybierz nazwę i folder strona, wprowadź Nazwa maszyny wirtualnej dla węzła (na przykład „HDS_Node_1”) wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Następny.

5

Na ekranie Wybierz zasób obliczeniowy strona, wybierz docelowy zasób obliczeniowy, a następnie kliknij Następny.

Trwa kontrola walidacji. Po jego zakończeniu pojawiają się szczegóły szablonu.

6

Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej.

7

Jeśli zostaniesz poproszony o wybranie konfiguracji zasobów na stronie Konfiguracja strona, kliknij 4 CPU a następnie kliknij Następny.

8

Na ekranie Wybierz miejsce strona, kliknij Następny aby zaakceptować domyślny format dysku i zasady przechowywania VM.

9

Na ekranie Wybierz sieci na stronie wybierz opcję sieci z listy pozycji, aby zapewnić żądaną łączność z maszyną wirtualną.

10

Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieci:

Nazwa hosta — wprowadź nazwę hosta FQDN (nazwa hosta i domena) lub nazwę hosta pojedynczego słowa dla węzła.

Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509.
Aby zapewnić pomyślną rejestrację w chmurze, użyj tylko znaków z małymi literami w nazwie FQDN lub nazwie hosta ustawionej dla węzła. W tym momencie kapitalizacja nie jest obsługiwana.
Całkowita długość FQDN nie może przekraczać 64 znaków.

Adres IP— wprowadź adres IP interfejsu wewnętrznego węzła.

Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany.
Maska— wprowadź adres maski podsieci w notacji dot-dziesiętnej. Na przykład: 255.255.255.0.
Brama — wprowadź adres IP bramy. Brama to węzeł sieciowy, który służy jako punkt dostępu do innej sieci.
Serwery DNS— wprowadź oddzieloną przecinkami listę serwerów DNS, które obsługują tłumaczenie nazw domen na numeryczne adresy IP. (Dozwolone są do 4 wpisy DNS).
Serwery NTP — wprowadź serwer NTP swojej organizacji lub inny zewnętrzny serwer NTP, który może być używany w Twojej organizacji. Domyślne serwery NTP mogą nie działać dla wszystkich przedsiębiorstw. Można również użyć listy rozdzielonej przecinkami, aby wprowadzić wiele serwerów NTP.

Wdrożenie wszystkich węzłów w tej samej podsieci lub sieci VLAN, tak aby wszystkie węzły w klastrze były dostępne dla klientów w sieci do celów administracyjnych.

Jeśli jest to preferowane, można pominąć konfigurację ustawień sieci i wykonać czynności opisane w punkcie Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych w celu skonfigurowania ustawień z konsoli węzła.

Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

11

Kliknij prawym przyciskiem myszy węzeł VM, a następnie wybierz Zasilanie > Włączanie zasilania.

Oprogramowanie Hybrid Data Security jest instalowane jako gość w hostu VM. Teraz możesz zalogować się na konsoli i skonfigurować węzeł.

Wskazówki dotyczące rozwiązywania problemów

Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzła. Podczas pierwszego uruchamiania na konsoli pojawi się komunikat zapory mostowej, podczas którego nie można się zalogować.

Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych

Użyj tej procedury, aby po raz pierwszy zalogować się na konsoli VM węzła hybrydowego zabezpieczenia danych i ustawić poświadczenia logowania. Konsola może również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.

1	W kliencie VMware vSphere wybierz węzeł VM Hybrid Data Security i kartę Console . Maszyna zostanie uruchomiona i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie nie jest wyświetlany, naciśnij przycisk Enter.
2	Aby się zalogować i zmienić poświadczenia, należy użyć następującego domyślnego loginu i hasła: Logowanie: `admin` Hasło: `cisco` Ponieważ logujesz się do VM po raz pierwszy, musisz zmienić hasło administratora.
3	Jeśli ustawienia sieci zostały już skonfigurowane w Instalowaniu OVA hosta usługi HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację.
4	Skonfiguruj statyczną konfigurację z adresem IP, maską, bramą i informacjami DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany.
5	(Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne do dopasowania do zasad sieci. Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509.
6	Zapisz konfigurację sieci i uruchom ponownie VM, aby zmiany weszły w życie.

Prześlij i zamontuj ISO konfiguracji HDS

Ta procedura służy do konfigurowania maszyny wirtualnej z pliku ISO utworzonego za pomocą narzędzia konfiguracji HDS.

Przed rozpoczęciem

Ponieważ plik ISO zawiera klucz główny, powinien on być narażony tylko na „potrzebę wiedzy”, aby uzyskać dostęp do hybrydowych maszyn wirtualnych ds. bezpieczeństwa danych i wszystkich administratorów, którzy mogą wymagać wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mogą uzyskać dostęp do bazy danych.

1

Prześlij plik ISO z komputera:

W lewym okienku nawigacyjnym klienta VMware vSphere kliknij na serwer ESXi.
Na liście Sprzętu na karcie Konfiguracja kliknij przycisk Przechowywanie.
Na liście Datastores kliknij prawym przyciskiem myszy katalog danych dla swoich maszyn wirtualnych i kliknij opcję Przeglądaj Datastore.
Kliknij ikonę Prześlij pliki, a następnie kliknij Prześlij plik.
Przejdź do lokalizacji, w której pobrałeś plik ISO na komputerze i kliknij przycisk Otwórz.
Kliknij przycisk Tak, aby zaakceptować ostrzeżenie o operacji przesyłania/pobierania i zamknąć okno dialogowe z listą danych.

2

Montaż pliku ISO:

W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy VM i kliknij Edytuj ustawienia .
Kliknij przycisk OK, aby zaakceptować ostrzeżenie o opcjach edycji ograniczonej.
Kliknij CD/DVD Drive 1, wybierz opcję montażu z pliku ISO w zbiorniku danych i przejdź do lokalizacji, w której przesłano plik ISO konfiguracji.
Sprawdzić Podłączono i Podłączono przy włączonym zasilaniu.
Zapisz zmiany i uruchom ponownie maszynę wirtualną.

Co zrobić dalej

Jeśli polityka IT wymaga, możesz opcjonalnie odmontować plik ISO po tym, jak wszystkie węzły podniosą zmiany w konfiguracji. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.

Konfigurowanie węzła HDS dla integracji serwera proxy

Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z Hybrid Data Security. Po wybraniu przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS można użyć interfejsu węzła do przesłania i zainstalowania certyfikatu głównego. Możesz również sprawdzić połączenie serwera proxy z poziomu interfejsu i rozwiązać ewentualne problemy.

Przed rozpoczęciem

Aby zapoznać się z opcjami obsługiwanego serwera proxy, zobacz Obsługa serwera proxy.
Wymagania serwera proxy

1	Wprowadź adres URL konfiguracji węzła HDS `https://[HDS Node IP or FQDN]/setup` w przeglądarce internetowej wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się.
2	Przejdź do sklepu Trust Store & Proxy, a następnie wybierz opcję: Brak serwera proxy — opcja domyślna przed integracją serwera proxy. Nie jest wymagana aktualizacja certyfikatu. Transparent Non-Inspecting Proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z niekontrolowanym serwerem proxy. Nie jest wymagana aktualizacja certyfikatu. Transparent Inspecting Proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy. W przypadku wdrożenia hybrydowego zabezpieczenia danych nie są konieczne zmiany konfiguracji protokołu HTTPS, jednak węzły HDS potrzebują certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS). Explicit Proxy— w przypadku wyraźnego serwera proxy użytkownik informuje klienta (węzły HDS), którego serwera proxy ma używać, a ta opcja obsługuje kilka typów uwierzytelniania. Po wybraniu tej opcji należy wprowadzić następujące informacje: Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy. Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy. Protokół proxy — wybierz http (wyświetla i kontroluje wszystkie żądania otrzymane od klienta) lub https (dostarcza kanał do serwera, a klient odbiera i weryfikuje certyfikat serwera). Wybierz opcję na podstawie tego, co obsługuje serwer proxy. Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania: Brak — dalsze uwierzytelnianie nie jest wymagane. Dostępne dla serwerów proxy HTTP lub HTTPS. Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64. Dostępne dla serwerów proxy HTTP lub HTTPS. Jeśli wybierzesz tę opcję, musisz również wprowadzić nazwę użytkownika i hasło. Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem. Dostępne tylko dla serwerów proxy HTTPS. Jeśli wybierzesz tę opcję, musisz również wprowadzić nazwę użytkownika i hasło. Postępuj zgodnie z kolejnymi krokami w celu przejrzystego kontrolowania serwera proxy, bezpośredniego serwera proxy HTTP z uwierzytelnianiem podstawowym lub bezpośredniego serwera proxy HTTPS.
3	Kliknij opcję Prześlij certyfikat główny lub certyfikat jednostki końcowej, a następnie przejdź do opcji Wybierz certyfikat główny serwera proxy. Certyfikat jest przesyłany, ale jeszcze nie został zainstalowany, ponieważ aby zainstalować certyfikat, należy ponownie uruchomić węzeł. Aby uzyskać więcej szczegółów, kliknij strzałkę chevron po nazwie emitenta certyfikatu lub kliknij opcję Usuń, jeśli popełniłeś błąd i chcesz ponownie przesłać plik.
4	Kliknij Check Proxy Connection (Sprawdź połączenie proxy), aby sprawdzić połączenie sieciowe między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, pojawi się komunikat o błędzie przedstawiający przyczynę i sposób naprawienia problemu. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS. Warunek ten jest oczekiwany w wielu wyraźnych konfiguracjach serwera proxy. Możesz kontynuować konfigurację, a węzeł będzie działał w trybie Zablokowanej Zewnętrznej Rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj poniższe czynności, a następnie zobacz Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS.
5	Po przejściu testu połączenia, w przypadku wyraźnego serwera proxy ustawionego tylko na https, włącz przełącznik do Trasowania wszystkich żądań portu 443/444 https z tego węzła za pomocą wyraźnego serwera proxy. To ustawienie wymaga 15 sekund działania.
6	Kliknij Instaluj Wszystkie Certyfikaty W Sklepie Zaufania (pojawi się dla wyraźnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawi się dla wyraźnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij opcję Instaluj , jeśli jesteś gotowy. Węzeł zostanie uruchomiony ponownie w ciągu kilku minut.
7	Po ponownym uruchomieniu węzła zaloguj się ponownie w razie potrzeby, a następnie otwórz stronę Przegląd , aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie mają zielony status. Kontrola połączenia z serwerem proxy sprawdza tylko poddomenę webex.com. Jeśli występują problemy z łącznością, powszechnym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy.

Zarejestruj pierwszy węzeł w klastrze

To zadanie przejmuje ogólny węzeł utworzony w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych, rejestruje węzeł w chmurze Webex i zamienia go w węzeł hybrydowego bezpieczeństwa danych.

Po zarejestrowaniu pierwszego węzła utwórz klaster, do którego jest przypisany węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia zwolnień.

Przed rozpoczęciem

Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.

1	Zaloguj się w https://admin.webex.com.
2	W menu po lewej stronie ekranu wybierz opcję Usługi.
3	W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij przycisk Skonfiguruj. Zostanie wyświetlona strona węzła Zarejestruj hybrydowe zabezpieczenia danych.
4	Wybierz Tak, aby wskazać, że węzeł został skonfigurowany i chcesz go zarejestrować, a następnie kliknij przycisk Dalej.
5	W pierwszym polu wprowadź nazwę klastra, do którego chcesz przypisać węzeł hybrydowego zabezpieczenia danych. Zalecamy nazwanie klastra na podstawie lokalizacji węzłów klastra. Przykłady: "San Francisco", "Nowy Jork" czy "Dallas"
6	W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej. Ten adres IP lub nazwa FQDN powinny być zgodne z adresem IP lub nazwą hosta i domeną używaną podczas konfigurowania hybrydowej maszyny wirtualnej ds. bezpieczeństwa danych. Pojawi się komunikat informujący, że można zarejestrować węzeł w usłudze Webex.
7	Kliknij przycisk Przejdź do węzła.
8	Kliknij przycisk Kontynuuj w komunikacie ostrzegawczym. Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji Webex, aby uzyskać dostęp do węzła.
9	Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
10	Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub. Na stronie Hybrid Data Security jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.

Tworzenie i rejestrowanie większej liczby węzłów

Aby dodać dodatkowe węzły do klastra, wystarczy utworzyć dodatkowe numery VMs i zamontować ten sam plik ISO konfiguracji, a następnie zarejestrować węzeł. Zalecamy posiadanie co najmniej 3 węzłów.

W tym czasie zapasowe maszyny wirtualne utworzone w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych są hostami gotowymi, które są używane tylko w przypadku odzyskiwania po awarii; do tego czasu nie są rejestrowane w systemie. Aby uzyskać szczegółowe informacje, patrz Przywracanie systemu po awarii za pomocą Standby Data Center.

Przed rozpoczęciem

Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.

1	Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Instalacji OVA hosta HDS.
2	Skonfiguruj konfigurację początkową na nowej maszynie wirtualnej, powtarzając kroki w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych.
3	W nowej maszynie wirtualnej wykonaj ponownie czynności opisane w polu Prześlij i zamontuj ISO konfiguracji HDS.
4	Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w Konfigurowaniu węzła HDS dla integracji serwera proxy zgodnie z potrzebami nowego węzła.
5	Zarejestruj węzeł. W https://admin.webex.com wybierz Usługi z menu po lewej stronie ekranu. W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych i kliknij opcję Zasoby. Pojawi się strona Hybrid Data Security Resources (Zasoby zabezpieczeń danych hybrydowych). Kliknij przycisk Dodaj zasób. W pierwszym polu wybierz nazwę istniejącego klastra. W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej. Pojawi się komunikat informujący, że można zarejestrować węzeł w chmurze Webex. Kliknij przycisk Przejdź do węzła. Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji, aby uzyskać dostęp do węzła. Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex. Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub. Twój węzeł jest zarejestrowany. Należy pamiętać, że do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie jest jeszcze aktywowana.

Co zrobić dalej

Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział)

Uruchom wersję próbną i przejdź do produkcji

Przepływ próby do zadania produkcyjnego

Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.

Przed rozpoczęciem

1	Jeśli dotyczy, zsynchronizuj `HdsTrialGroup` obiekt grupowy. Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać `HdsTrialGroup` obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.
2	Aktywuj wersję próbną Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana.
3	Przetestuj wdrożenie hybrydowego zabezpieczenia danych Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.
4	Monitorowanie stanu hybrydowego bezpieczeństwa danych Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów.
5	Dodawanie lub usuwanie użytkowników z wersji próbnej
6	Zakończ fazę próbną, wykonując jedną z następujących czynności: Przeniesienie z wersji próbnej do produkcji Zakończ wersję próbną bez przejścia do produkcji

Aktywuj wersję próbną

Przed rozpoczęciem

Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby dla organizacji. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.

1	Zaloguj się do https://admin.webex.com, a następnie wybierz opcję Usługi.
2	W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.
3	W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną. Stan usługi zmienia się w tryb próbny.
4	Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług. (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, `HdsTrialGroup`.)

Przetestuj wdrożenie hybrydowego zabezpieczenia danych

Użyj tej procedury, aby przetestować scenariusze szyfrowania hybrydowych zabezpieczeń danych.

Przed rozpoczęciem

Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.
Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.

1

Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.

Jeśli dezaktywujesz wdrożenie hybrydowego zabezpieczenia danych, zawartość w obszarach tworzonych przez użytkowników pilotażowych nie jest już dostępna po wymianie kopii kluczy szyfrowania w pamięci podręcznej klienta.

2

Wysyłaj wiadomości do nowego obszaru.

3

Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych.

Aby sprawdzić, czy użytkownik najpierw ustanawia bezpieczny kanał w systemie KMS, filtruj go kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

Należy znaleźć wpis taki jak następujący (identyfikatory skrócone dla czytelności):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Aby sprawdzić, czy użytkownik żądający istniejącego klucza z KMS, filtruj na kms.data.method=retrieve i kms.data.type=KEY:

Należy znaleźć wpis taki jak:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Aby sprawdzić, czy użytkownik wnioskuje o utworzenie nowego klucza KMS, filtruj kms.data.method=create i kms.data.type=KEY_COLLECTION:

Należy znaleźć wpis taki jak:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Aby sprawdzić, czy użytkownik prosi o utworzenie nowego obiektu zasobów KMS (KRO) podczas tworzenia obszaru lub innego chronionego zasobu, filtruj kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

Należy znaleźć wpis taki jak:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorowanie stanu hybrydowego bezpieczeństwa danych

Wskaźnik stanu w Control Hub pokazuje, czy wszystko jest dobrze we wdrożeniu hybrydowego zabezpieczenia danych. Aby uzyskać bardziej proaktywne alerty, zapisz się do powiadomień e-mail. Otrzymasz powiadomienie o alarmach lub aktualizacjach oprogramowania mających wpływ na usługę.

1	W Control Hub wybierz Usługi z menu po lewej stronie ekranu.
2	W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij Ustawienia. Zostanie wyświetlona strona Ustawienia zabezpieczeń danych hybrydowych.
3	W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij przycisk Enter.

Dodawanie lub usuwanie użytkowników z wersji próbnej

Po aktywacji wersji próbnej i dodaniu początkowego zestawu użytkowników wersji próbnej można dodać lub usunąć członków wersji próbnej w dowolnym momencie, gdy wersja próbna jest aktywna.

Jeśli usuniesz użytkownika z wersji próbnej, klient poprosi go o utworzenie kluczy i klawiszy z chmury KMS zamiast Twojego KMS. Jeśli klient potrzebuje klucza przechowywanego w KMS, Cloud KMS pobierze go w imieniu użytkownika.

Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory (zamiast tej procedury) do zarządzania grupą próbną, HdsTrialGroup; można wyświetlać członków grupy w Control Hub, ale nie można ich dodawać ani usuwać.

1	Zaloguj się do Control Hub, a następnie wybierz Usługi.
2	W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.
3	W sekcji Tryby wersji próbnej w obszarze Stan usługi kliknij przycisk Dodaj użytkowników lub kliknij widok i edytuj , aby usunąć użytkowników z wersji próbnej.
4	Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania lub kliknij przycisk X identyfikatorem użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij Zapisz .

Przeniesienie z wersji próbnej do produkcji

Gdy jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych, możesz przejść do produkcji. Po przeniesieniu do produkcji wszyscy użytkownicy w organizacji będą korzystać z lokalnej domeny hybrydowego zabezpieczenia danych w celu szyfrowania kluczy i innych usług w dziedzinie zabezpieczeń. Nie można wrócić do trybu próbnego z produkcji, chyba że dezaktywujesz usługę w ramach odzyskiwania awaryjnego. Reaktywacja usługi wymaga skonfigurowania nowej wersji próbnej.

1	Zaloguj się do Control Hub, a następnie wybierz Usługi.
2	W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.
3	W sekcji Stan usługi kliknij opcję Przenieś do produkcji.
4	Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji.

Zakończ wersję próbną bez przejścia do produkcji

Jeśli podczas okresu próbnego zdecydujesz się nie kontynuować wdrażania hybrydowego zabezpieczenia danych, możesz dezaktywować hybrydowe zabezpieczenia danych, które kończą okres próbny i przenoszą użytkowników wersji próbnej z powrotem do usług zabezpieczeń danych w chmurze. Użytkownicy próbni stracą dostęp do danych zaszyfrowanych podczas badania.

1	Zaloguj się do Control Hub, a następnie wybierz Usługi.
2	W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.
3	W sekcji Dezaktywuj kliknij przycisk Dezaktywuj.
4	Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny.

Zarządzanie wdrożeniem HDS

Użyj opisanych tutaj zadań do zarządzania wdrożeniem hybrydowego zabezpieczenia danych.

Ustaw harmonogram uaktualniania klastra

Aktualizacje oprogramowania Hybrid Data Security są wykonywane automatycznie na poziomie klastra, co zapewnia, że wszystkie węzły zawsze korzystają z tej samej wersji oprogramowania. Uaktualnienia są wykonywane zgodnie z harmonogramem uaktualniania klastra. Po udostępnieniu uaktualnienia oprogramowania można ręcznie uaktualnić klaster przed zaplanowaną godziną uaktualnienia. Można ustawić określony harmonogram uaktualniania lub użyć domyślnego harmonogramu 3:00 rano Daily Stany Zjednoczone: Ameryka/Los Angeles. W razie potrzeby można również odłożyć nadchodzące uaktualnienie.

Aby ustawić harmonogram uaktualniania:

1	Zaloguj się do Centrum sterowania .
2	Na stronie Przegląd w obszarze Usługi hybrydowe wybierz opcję Hybrid Data Security.
3	Na stronie Zasoby zabezpieczeń danych hybrydowych wybierz klaster.
4	W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra.
5	Na stronie Ustawienia w obszarze Uaktualnianie wybierz godzinę i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest następna dostępna data i godzina aktualizacji. W razie potrzeby można odroczyć uaktualnienie do następnego dnia, klikając opcję Odłóż.

Zmień konfigurację węzła

Czasami może zajść potrzeba zmiany konfiguracji węzła hybrydowego zabezpieczenia danych z następujących powodów:

Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.

Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do zarejestrowania klastra.

Aktualizowanie ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.

Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.

Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.

Ponadto, ze względów bezpieczeństwa, Hybrid Data Security używa haseł do kont usługi o dziewięciomiesięcznym okresie ważności. Gdy narzędzie konfiguracji HDS wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO . Gdy hasła organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex , aby zresetować hasło do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj API konta komputera, aby zaktualizować hasło”). Jeśli hasła jeszcze nie wygasły, narzędzie udostępnia dwie opcje:

Miękki reset — Stare i nowe hasło działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
Twardy reset — Stare hasła natychmiast przestają działać.

Jeśli hasła wygasną bez zresetowania, będzie to miało wpływ na usługę HDS i wymaga natychmiastowego twardego resetu i zastąpienia pliku ISO we wszystkich węzłach.

Ta procedura służy do generowania nowego konfiguracyjnego pliku ISO i zastosowania go do klastra.

Przed rozpoczęciem

Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas przywoływania kontenera Docker w 1.e. W tej tabeli podano kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO . ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.

1

Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie konfiguracji HDS.

W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

W zwykłych środowiskach:

docker rmi ciscocitg/hds-setup:stable

W środowiskach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:
```
docker login -u hdscustomersro
```
Po wyświetleniu monitu o hasło wprowadź ten skrót:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Pobierz najnowszy stabilny obraz dla swojego środowiska:

W zwykłych środowiskach:

docker pull ciscocitg/hds-setup:stable

W środowiskach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Upewnij się, że pobierasz najnowsze narzędzie instalacyjne dla tej procedury. Wersje narzędzia utworzone przed 22 lutego 2018 r. nie mają ekranów resetowania hasła.

Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:

W zwykłych środowiskach bez serwera proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

W zwykłych środowiskach z serwerem proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

W normalnych środowiskach z serwerem HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

W środowiskach FedRAMP bez serwera proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z serwerem proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z serwerem proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

Użyj przeglądarki, aby połączyć się z hostem lokalnym, http://127.0.0.1:8080.

Narzędzie Konfiguracja nie obsługuje łączenia się z localhost za pośrednictwem http://localhost:8080. Użyj http://127.0.0.1:8080, aby połączyć się z hostem lokalizacji.

Po wyświetleniu monitu wprowadź poświadczenia logowania klienta Control Hub, a następnie kliknij Zaakceptuj aby kontynuować.
Zaimportuj bieżący plik konfiguracyjny ISO .
Postępuj zgodnie z instrukcjami, aby ukończyć działanie narzędzia i pobrać zaktualizowany plik.

Aby zamknąć narzędzie Setup, wpisz: CTRL+C.
Utwórz kopię zapasową zaktualizowanego pliku w innym centrum danych.

2

Jeśli uruchomiony jest tylko jeden węzeł HDS , utwórz nową maszynę VM węzła Hybrid Data Security i zarejestruj ją przy użyciu nowego konfiguracyjnego pliku ISO . Aby uzyskać bardziej szczegółowe instrukcje, zobacz temat Tworzenie i rejestrowanie większej liczby węzłów.

Zainstaluj narzędzie OVA hosta HDS.
Skonfiguruj maszynę VM HDS .
Podłącz zaktualizowany plik konfiguracyjny.
Zarejestruj nowy węzeł w Control Hub.

3

W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO . Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła:

Wyłącz maszynę wirtualną.
W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy VM i kliknij Edytuj ustawienia .
Kliknij CD/DVD Drive 1, wybierz opcję podłączenia z pliku ISO i przejdź do lokalizacji, do której pobrano nowy konfiguracyjny plik ISO .
Sprawdź Połącz po włączeniu .
Zapisz zmiany i włącz maszynę wirtualną.

4

Powtórz krok 3, aby zastąpić konfigurację w każdym pozostałym węźle, na którym działa stara konfiguracja.

Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS

Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznawać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb Zablokowanej zewnętrznej rozdzielczości DNS.

Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, uruchamiając ponownie test połączenia serwera proxy w każdym węźle.

Przed rozpoczęciem

Upewnij się, że wewnętrzne serwery DNS mogą rozpoznawać publiczne nazwy DNS oraz że węzły mogą się z nimi komunikować.

1	W przeglądarce internetowej otwórz interfejs węzła hybrydowego zabezpieczenia danych (adres IP/konfiguracja, na przykład https://192.0.2.0/setup), wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się.
2	Przejdź do Przegląd (strona domyślna). Po włączeniu Rozpoznawanie zablokowanego zewnętrznego DNS jest ustawiony na Tak .
3	Przejdź do strony Trust Store & Proxy.
4	Kliknij przycisk Sprawdź połączenie z serwerem proxy. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS i pozostanie w tym trybie. W przeciwnym razie po ponownym uruchomieniu węzła i powrocie na stronę Przegląd zablokowana zewnętrzna rozdzielczość DNS powinna być ustawiona na nr.

Co zrobić dalej

Powtórz test połączenia z serwerem proxy dla każdego węzła w klastrze hybrydowego zabezpieczenia danych.

Usuń węzeł

Użyj tej procedury, aby usunąć węzeł hybrydowego zabezpieczenia danych z chmury Webex. Po usunięciu węzła z klastra usuń maszynę wirtualną, aby zapobiec dalszemu dostępowi do danych zabezpieczeń.

1

Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi i wyłączyć maszynę wirtualną.

2

Usuń węzeł:

Zaloguj się do Control Hub, a następnie wybierz Usługi.
Na karcie hybrydowe zabezpieczenia danych kliknij przycisk Wyświetl wszystkie , aby wyświetlić stronę zasobów hybrydowych zabezpieczeń danych.
Wybierz klaster, aby wyświetlić jego panel Przegląd.
Kliknij listę Otwórz węzły.
Na karcie Węzły wybierz węzeł, który chcesz usunąć.
Kliknij przycisk Akcje > węzeł Deregister.

3

W kliencie vSphere usuń maszynę wirtualną (w lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij polecenie Usuń).

Jeśli nie usuniesz VM, pamiętaj o usunięciu pliku ISO konfiguracji. Bez pliku ISO nie można użyć maszyny wirtualnej, aby uzyskać dostęp do danych bezpieczeństwa.

Odzyskiwanie po awarii za pomocą Standby Data Center

Najbardziej krytyczną usługą oferowaną przez klaster Hybrid Data Security jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji przypisanego do hybrydowego zabezpieczenia danych nowe żądania tworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za przywrócenie kluczy, które został utworzony do wszystkich użytkowników upoważnionych do ich odzyskania, na przykład członków obszaru konwersacji.

Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby utrzymywały się odpowiednie kopie zapasowe. Utrata bazy danych hybrydowych zabezpieczeń danych lub układu ISO konfiguracji stosowanego dla schematu spowoduje NIEZBĘDNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, konieczne są następujące praktyki:

Jeśli awaria spowoduje, że wdrożenie HDS w głównym centrum danych stanie się niedostępne, postępuj zgodnie z tą procedurą, aby ręcznie przełączyć się na standby centrum danych.

1

Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.

2

Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane

3

Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń passiveMode konfiguracja, aby węzeł był aktywny. Węzeł może obsługiwać ruch po skonfigurowaniu.


passiveMode: 'false'

4

Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia.

5

Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

6

W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia..

7

Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.

Upewnij się, że Connected and Connect at power on (Podłączono) są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły wejść w życie po uruchomieniu węzłów.

8

Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.

9

Powtórz proces dla każdego węzła w centrum danych standby.

Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy węzły centrum danych standby nie są w trybie pasywnym. „KMS skonfigurowany w trybie pasywnym” nie powinien być wyświetlany w dziennikach syslog.

Co zrobić dalej

Po przełączeniu awaryjnym, jeśli główne centrum danych stanie się ponownie aktywne, ponownie umieść centrum danych standby w trybie pasywnym, wykonując czynności opisane w Ustawieniu Standby Data Center dla odzyskiwania awarii.

(Opcjonalnie) Odmontować ISO Po Konfiguracji HDS

Standardowa konfiguracja HDS działa z zamontowanym ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale zamontowanych. Plik ISO można odmontować po odebraniu nowej konfiguracji przez wszystkie węzły HDS.

Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego ISO lub aktualizacji ISO za pomocą narzędzia konfiguracyjnego należy zamontować zaktualizowany ISO na wszystkich węzłach HDS. Po odebraniu zmian konfiguracji przez wszystkie węzły można ponownie rozmontować ISO za pomocą tej procedury.

Przed rozpoczęciem

Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.

1	Zamknij jeden z węzłów HDS.
2	W urządzeniu VCenter Server Appliance wybierz węzeł HDS.
3	Wybierz Edytuj ustawienia > Napęd CD/DVD i usuń zaznaczenie pliku Datastore ISO.
4	Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut.
5	Powtórz kolejno dla każdego węzła HDS.

Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych

Wyświetlanie alertów i rozwiązywania problemów

Wdrożenie hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że wymaga przekroczenia czasu. Jeśli użytkownicy nie mogą skontaktować się z klastrem hybrydowego zabezpieczenia danych, mogą wystąpić następujące objawy:

Nie można utworzyć nowych obszarów (nie można utworzyć nowych kluczy)
Wiadomości i tytuły przestrzeni nie można odszyfrować dla:
- Dodano nowych użytkowników do obszaru (nie można pobrać kluczy)
- Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze będą z powodzeniem działać tak długo, jak ich klienci będą mieli pamięć podręczną kluczy szyfrowania

Ważne jest, aby odpowiednio monitorować klaster hybrydowego zabezpieczenia danych i szybko zwracać się do wszystkich alertów, aby uniknąć zakłóceń w obsłudze.

Alerty

Jeśli występuje problem z konfiguracją hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.

Tabela 1. Wspólne problemy i kroki mające na celu ich rozwiązanie
Alert	Czynność
Niepowodzenie dostępu do lokalnej bazy danych.	Sprawdź, czy występują błędy w bazie danych lub problemy z siecią lokalną.
Niepowodzenie połączenia z lokalną bazą danych.	Sprawdź, czy serwer bazy danych jest dostępny, a w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi.
Niepowodzenie dostępu do usługi w chmurze.	Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z wymaganiami Zewnętrznej łączności.
Odnowienie rejestracji usług w chmurze.	Zrezygnowano z rejestracji na usługi w chmurze. Trwa przedłużenie rejestracji.
Rejestracja usług w chmurze została odrzucona.	Rejestracja na usługi w chmurze została zakończona. Usługa jest wyłączona.
Usługa jeszcze nie została aktywowana.	Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do produkcji.
Skonfigurowana domena nie odpowiada certyfikatowi serwera.	Upewnij się, że certyfikat serwera jest zgodny z skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że certyfikat CN został ostatnio zmieniony i jest teraz inny niż CN, który był używany podczas początkowej konfiguracji.
Nie można uwierzytelnić usług w chmurze.	Kontrola poprawności i ewentualnego wygaśnięcia poświadczeń konta usługi.
Nie można otworzyć lokalnego pliku keystore.	Sprawdź integralność i dokładność hasła w lokalnym pliku keystore.
Certyfikat lokalnego serwera jest nieprawidłowy.	Sprawdź datę ważności certyfikatu serwera i potwierdź, że został on wydany przez zaufany urząd certyfikacji.
Nie można publikować metryk.	Sprawdź dostęp sieci lokalnej do zewnętrznych usług w chmurze.
/media/configdrive/hds katalog nie istnieje.	Sprawdź konfigurację montażu ISO na wirtualnym hostze. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu na ponownym uruchomieniu i czy został pomyślnie zainstalowany.

Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych

Podczas rozwiązywania problemów z hybrydowymi zabezpieczeniami danych należy stosować następujące ogólne wytyczne.

1	Przejrzyj Control Hub dla wszystkich alertów i naprawić wszystkie znalezione tam elementy.
2	Przejrzyj wyjście serwera dziennika systemowego pod kątem aktywności z wdrożenia hybrydowego zabezpieczenia danych.
3	Skontaktuj się z pomocą techniczną Cisco.

Inne uwagi

Znane problemy dotyczące hybrydowych zabezpieczeń danych

Jeśli zamkniesz klaster hybrydowego zabezpieczenia danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych keystore, użytkownicy aplikacji Webex nie będą mogli już korzystać ze spacji na liście Osoby utworzonej za pomocą kluczy z KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia ani rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłudze aktywnych kont użytkowników.
Klient z istniejącym połączeniem ECDH z KMS utrzymuje to połączenie przez pewien czas (prawdopodobnie godzinę). Gdy użytkownik staje się członkiem próby hybrydowego zabezpieczenia danych, klient użytkownika nadal korzysta z istniejącego połączenia ECDH do czasu jego wyłączenia. Alternatywnie, użytkownik może wylogować się i wrócić do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w przypadku kluczy szyfrowania.

To samo zachowanie występuje podczas przenoszenia próby do produkcji dla organizacji. Wszyscy użytkownicy spoza wersji próbnej posiadający istniejące połączenia ECDH z poprzednimi służbami bezpieczeństwa danych będą nadal korzystać z tych usług do czasu renegocjacji połączenia ECDH (poprzez limit czasu lub poprzez wylogowanie i powrót).

Użyj protokołu OpenSSL, aby wygenerować plik PKCS12

Przed rozpoczęciem

OpenSSL jest jednym z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do ładowania w narzędziu konfiguracji HDS. Istnieją inne sposoby, aby to zrobić, i nie popieramy ani nie promujemy jednej drogi nad drugą.
Jeśli zdecydujesz się korzystać z OpenSSL, zapewniamy tę procedurę jako wytyczną, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatów X.509. Zrozum te wymagania, zanim przejdziesz dalej.
Zainstaluj OpenSSL w obsługiwanym środowisku. Patrz https://www.openssl.org oprogramowanie i dokumentacja.
Utwórz klucz prywatny.
Procedurę tę należy rozpocząć po otrzymaniu certyfikatu serwera od urzędu certyfikacji.

1	Po otrzymaniu certyfikatu serwera z urzędu certyfikacji zapisz go jako `hdsnode.pem`.
2	Wyświetl certyfikat jako tekst i zweryfikuj szczegóły. `openssl x509 -text -noout -in hdsnode.pem`
3	Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie `hdsnode-bundle.pem`. Plik pakietu musi zawierać certyfikat serwera, wszystkie pośrednie certyfikaty urzędu certyfikacji oraz podstawowe certyfikaty urzędu certyfikacji w formacie poniżej: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Utwórz plik .p12 o przyjaznej nazwie `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Sprawdź szczegóły certyfikatu serwera. `openssl pkcs12 -in hdsnode.p12` Wprowadź hasło po wyświetleniu monitu, aby zaszyfrować klucz prywatny w taki sposób, aby był wyświetlany na wyjściu. Następnie sprawdź, czy klucz prywatny i pierwszy certyfikat zawierają linie `friendlyName: kms-private-key`. Przykład: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Co zrobić dalej

Powróć, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych. Korzystasz z hdsnode.p12 plik i ustawione dla niego hasło w Utwórz ISO konfiguracji dla prowadzących HDS.

Możesz ponownie użyć tych plików, aby poprosić o nowy certyfikat po wygaśnięciu oryginalnego certyfikatu.

Ruch między węzłami HDS a chmurą

Ruch zbierania metryk wychodzących

Węzły hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dla maks. stosu, stosowanego stosu, obciążenia procesora i liczenia wątków; metryki na wątkach synchronicznych i asynchronicznych; metryki na alertach obejmujące próg połączeń szyfrowania, opóźnienie lub długość kolejki żądań; metryki na zbiorniku danych; oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał poza pasmem (oddzielony od żądania).

Ruch przychodzący

Węzły hybrydowego zabezpieczenia danych otrzymują następujące typy ruchu przychodzącego z chmury Webex:

Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania
Aktualizacja do oprogramowania węzła

Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych

Websocket Nie Można Połączyć Za Pomocą Proxy Squid

Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS, mogą ingerować w tworzenie websocket ( wss:) połączenia, których wymaga Hybrid Data Security. Sekcje te zawierają wskazówki dotyczące konfigurowania różnych wersji Squid do ignorowania wss: ruch w celu prawidłowego funkcjonowania usług.

Squid 4 i 5

Dodaj on_unsupported_protocol dyrektywa do squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

Z powodzeniem przetestowaliśmy hybrydowe zabezpieczenia danych, dodając następujące zasady squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizacji chmury Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Przedmowa

Nowe i zmienione informacje

Data

Zmiany

20 października 2023 r.

Zaktualizowane informacje w wymaganiach serwera bazy danych.
Dodano konfigurację Centrum danych w trybie gotowości do odzyskiwania awarii.
Zaktualizowane informacje w Standby Data Center for Disaster Recovery and Disaster Recovery using Standby Data Center.

07 sierpnia 2023 r.

Dodano notatkę w sekcji Pobierz pliki instalacyjne.
Dodano notatkę w Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła.

23 maja 2023 r.

Usunięto informacje z wymagań serwera bazy danych , żądając włączenia funkcji przez skontaktowanie się z zespołem kont.
Zaktualizowano informacje dotyczące zewnętrznych wymagań dotyczących łączności i dodano Kanadę do tabeli hostów CI.
Dodano uwagę w oczekiwaniach dotyczących wdrażania hybrydowego zabezpieczenia danych w odniesieniu do niedostępności mechanizmów przenoszenia kluczy z powrotem do chmury.

06 grudnia 2022 r.

Obrazy narzędzia konfiguracji HDS są teraz hostowane w ciscocitg repozytorium dockerhub.
Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień tematy konfiguracji węzła , aby przywrócić zmiany w poleceniach.

23 listopada 2022 r.

Węzły HDS mogą teraz używać uwierzytelniania systemu Windows w usłudze Microsoft SQL Server.

Zaktualizowano temat wymagań serwera bazy danych z dodatkowymi wymaganiami dla tego trybu uwierzytelniania.

Zaktualizowano Utwórz ISO konfiguracji hostów HDS z procedurą konfigurowania uwierzytelniania systemu Windows w węzłach.
Zaktualizowano temat wymagań serwera bazy danych o nowe minimalne wymagane wersje (PostgreSQL 10).

13 października 2021 r.

Docker Desktop musi uruchomić program konfiguracji przed zainstalowaniem węzłów HDS. Zobacz Wymagania Dotyczące Pulpitu Docker.

24 czerwca 2021 r.

Pamiętaj, że możesz ponownie użyć pliku klucza prywatnego i CSR, aby poprosić o inny certyfikat. Aby uzyskać szczegółowe informacje, zobacz Użyj OpenSSL, aby wygenerować plik PKCS12.

30 kwietnia 2021 r.

Zmieniono wymaganie VM dla lokalnego miejsca na dysku twardym na 30 GB. Szczegółowe informacje można znaleźć w sekcji Wymagania wirtualnego prowadzącego.

24 lutego 2021 r.

Narzędzie konfiguracji usługi HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie ISO konfiguracji hostów HDS.

2 lutego 2021 r.

HDS może teraz działać bez zamontowanego pliku ISO. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.

11 stycznia 2021 r.

Dodano informacje o narzędziu do konfiguracji HDS i pełnomocnikach, aby utworzyć ISO konfiguracji dla prowadzących HDS.

13 października 2020 r.

Zaktualizowano Pobierz pliki instalacyjne.

8 października 2020 r.

Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP.

14 sierpnia 2020 r.

Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła ze zmianami w procesie logowania.

5 sierpnia 2020 r.

Zaktualizowano testowanie wdrażania hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika.

Zaktualizowano wymagania hosta wirtualnego , aby usunąć maksymalną liczbę hostów.

16 czerwca 2020 r.

Zaktualizowano Usuwanie węzła pod kątem zmian w interfejsie interfejsu Control Hub.

4 czerwca 2020 r.

Zaktualizowano Tworzenie ISO konfiguracji dla hostów HDS w celu wprowadzenia zmian w ustawieniach zaawansowanych, które można ustawić.

29 maja 2020 r.

Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami interfejsu użytkownika i innymi wyjaśnieniami.

5 maja 2020 r.

Zaktualizowano wymagania hosta wirtualnego , aby pokazać nowe wymagania ESXi 6.5.

21 kwietnia 2020 r.

Zaktualizowane wymagania dotyczące łączności zewnętrznej z nowymi hostami CI Americas.

1 kwietnia 2020 r.

Zaktualizowane wymagania dotyczące łączności zewnętrznej z informacjami na temat regionalnych prowadzących CI.

20 lutego 2020 r. Zaktualizowano Utwórz ISO konfiguracji hostów HDS z informacjami na nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu do konfiguracji HDS.

4 lutego 2020 r. Zaktualizowano wymagania serwera proxy.

16 grudnia 2019 r. Wyjaśnione wymagania dotyczące zablokowanego zewnętrznego trybu rozdzielczości DNS do pracy w wymaganiach serwera proxy.

19 listopada 2019 r.

Dodano informacje o zablokowanym zewnętrznym trybie rozpoznawania DNS w następujących sekcjach:

Wsparcie proxy
Konfigurowanie węzła HDS dla integracji serwera proxy
Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS

8 listopada 2019 r.

Teraz można skonfigurować ustawienia sieciowe węzła podczas wdrażania OVA, a nie później.

Zaktualizowano odpowiednio następujące sekcje:

Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych
Instalowanie OVA hosta HDS
Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych

Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

6 września 2019 r.

Dodano SQL Server Standard do wymagań serwera bazy danych.

29 sierpnia 2019 r. Dodano Configure Squid Proxies for Hybrid Data Security appendix z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu zignorowania ruchu websocket w celu prawidłowej obsługi.

20 sierpnia 2019 r.

Dodano i zaktualizowano sekcje, aby objąć obsługę proxy komunikacji węzła hybrydowego bezpieczeństwa danych z chmurą Webex.

Wsparcie proxy
Wymagania serwera proxy
Konfigurowanie węzła HDS dla integracji serwera proxy

Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł pomocy Proxy Support for Hybrid Data Security i Webex Video Mesh .

13 czerwca 2019 r. Zaktualizowano próbny do przepływu zadań produkcyjnych z przypomnieniem o synchronizacji HdsTrialGroup obiekt grupowy przed rozpoczęciem próby, jeśli Twoja organizacja korzysta z synchronizacji katalogu.

6 marca 2019 r.

Przeniesione wymagania i wymagania wstępne do oddzielnego rozdziału, Przygotuj Swoje Środowisko.
Dodano przegląd przepływu zadań wdrażania zabezpieczeń danych hybrydowych w rozdziale Skonfiguruj klaster zabezpieczeń danych hybrydowych.

Zauważono, że do momentu rozpoczęcia próby (przy użyciu instrukcji w następnym rozdziale) węzły generują alarm wskazujący, że usługa nie jest jeszcze aktywowana.
Dodano Test do przepływu zadań produkcyjnych w rozdziale Uruchom wersję próbną i przejdź do produkcji.

28 lutego 2019 r.

Skorygowano ilość lokalnego miejsca na dysku twardym na serwer, którą należy odłożyć podczas przygotowywania wirtualnych hostów, które stają się węzłami hybrydowego zabezpieczenia danych, z 50 GB do 20 GB, aby odzwierciedlić rozmiar dysku, który tworzy OVA.

26 lutego 2019 r.

Węzły hybrydowego zabezpieczenia danych obsługują teraz szyfrowane połączenia z serwerami bazy danych PostgreSQL i szyfrowane połączenia rejestrowania z serwerem dziennika systemowego obsługującym protokół TLS. Zaktualizowano Tworzenie ISO konfiguracji dla prowadzących HDS z instrukcjami.
Usunięto adresy URL docelowe z tabeli „Wymagania dotyczące łączności internetowej dla hybrydowych węzłów bezpieczeństwa danych”. Tabela odnosi się teraz do listy utrzymywanej w tabeli „Dodatkowe adresy URL usług hybrydowych Webex Teams” dotyczącej wymagań sieciowych dla usług Webex Teams.

24 stycznia 2019 r.

Hybrid Data Security obsługuje teraz Microsoft SQL Server jako bazę danych. Serwer SQL Always On (Klastry Always On Failover i grupy Always On Availability) jest obsługiwany przez sterowniki JDBC używane w hybrydowych zabezpieczeniach danych. Dodano zawartość związaną z wdrożeniem z programem SQL Server.

Obsługa rozwiązania Microsoft SQL Server jest przeznaczona tylko dla nowych wdrożeń hybrydowych zabezpieczeń danych. Obecnie nie obsługujemy migracji danych z serwera PostgreSQL na serwer Microsoft SQL Server w istniejącym wdrożeniu.

5 listopada 2018 r.

Dodano wstępny krok w celu wyczyszczenia wszystkich istniejących wystąpień dokera w Utwórz ISO konfiguracji dla prowadzących HDS i Zmień konfigurację węzła.
Zaktualizowano kluczowy krok poziomu dostępu w Utwórz ISO konfiguracji hostów HDS w celu dopasowania do interfejsu.

19 października 2018 r.

Podziel informacje o połączeniu zapory na wymagania węzłów i wymagania maszyny konfiguracyjnej ISO w Zakończ wymagania wstępne dotyczące hybrydowego zabezpieczenia danych.

31 lipca 2018 r.

Dodano port 22 (dostęp SSH) oraz informacje o połączeniach NAT i zapory, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych.

21 maja 2018 r.

Zmieniona terminologia odzwierciedlająca zmianę marki Cisco Spark:

Cisco Spark Hybrid Data Security jest teraz Hybrid Data Security.
Aplikacja Cisco Spark jest teraz aplikacją Webex.
Cisco Collaboraton Cloud jest teraz chmurą Webex.

11 kwietnia 2018 r.

Dodano Standby Data Center for Disaster Recovery (Centrum danych w trybie gotowości do przywracania po awarii).
Zaktualizowano Uzupełnij wymagania wstępne dla hybrydowego zabezpieczenia danych , aby określić, że środowisko tworzenia kopii zapasowych powinno znajdować się w innym centrum danych.
Zaktualizowano przywracanie po awarii za pomocą Standby Data Center.

22 lutego 2018 r.

Dodano informacje o 9-miesięcznej długości życia konta usługi i użyciu narzędzia do konfiguracji HDS do zresetowania haseł konta usługi, w Utwórz ISO konfiguracji dla prowadzących HDS i Zmień konfigurację węzła.

Luty 15, 2018

W tabeli Wymagania dotyczące certyfikatów X.509 określono, że certyfikat nie może być certyfikatem z wieloznacznymi kartami i że KMS używa domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3.

Styczeń 18, 2018

Dodano załącznik, Ruch między węzłami HDS a chmurą.
Usunięto rozwiązany problem ze znanymi problemami dotyczącymi hybrydowego bezpieczeństwa danych.
Zmieniono index.docker.io na *.docker.io i dodano *.cloudfront.net do listy wymagań łączności TCP dla węzłów HDS w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych.
Zaktualizowano Utwórz ISO konfiguracji hostów HDS w celu wskazania, że jeśli host bazy danych i serwer Syslogd nie są rozwiązywalne dla DNS z węzłów HDS, należy je skonfigurować za pomocą adresów IP.

2 listopada 2017 r.

Skrócona synchronizacja katalogu grupy HdsTrialGroup.
Stałe instrukcje dotyczące przesyłania pliku konfiguracyjnego ISO w celu montażu w węzłach VM.

18 sierpnia 2017 r.

Pierwsza publikacja

Rozpocznij pracę z Hybrid Data Security

Przegląd zabezpieczeń danych hybrydowych

Od pierwszego dnia bezpieczeństwo danych było głównym celem projektowania aplikacji Webex. Podstawą tych zabezpieczeń jest kompleksowe szyfrowanie zawartości, włączane przez klientów aplikacji Webex , którzy wchodzą w interakcję z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.

Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS w obszarze bezpieczeństwa firmy Cisco. Hybrid Data Security przenosi usługę KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie ma kluczy do zaszyfrowanej zawartości.

Architektura domeny zabezpieczeń

Architektura chmury Webex oddziela różne rodzaje usług od osobnych domen lub domen zaufania, jak przedstawiono poniżej.

Aby lepiej zrozumieć hybrydowe zabezpieczenia danych, spójrzmy najpierw na ten przypadek czystej chmury, w którym firma Cisco zapewnia wszystkie funkcje w swoich domenach w chmurze. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od domeny bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od domeny, w której ostatecznie przechowywana jest zaszyfrowana zawartość, w centrum danych C.

Na tym schemacie klient to aplikacja Webex działająca na laptopie użytkownika i uwierzytelniona za pomocą usługi tożsamości. Gdy użytkownik komponuje wiadomość do wysłania do obszaru, wykonywane są następujące czynności:

Klient ustanawia bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie prosi o klucz do szyfrowania wiadomości. Bezpieczne połączenie korzysta z ECDH, a KMS szyfruje klucz przy użyciu klucza głównego AES-256.
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła go do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniach zawartości.
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w domenie przechowywania.

Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze, które składają się na usługę Webex (w tym pamięć masowa tożsamości i zawartości), pozostają w domenach Cisco.

Współpraca z innymi organizacjami

Użytkownicy w organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników prosi o klucz do obszaru należącego do organizacji (ponieważ został on utworzony przez jednego z użytkowników), KMS wysyła klucz do klienta za pośrednictwem kanału zabezpieczonego ECDH. Jednak gdy inna organizacja jest właścicielem klucza dla obszaru, system KMS kieruje żądanie do chmury Webex przez osobny kanał ECDH, aby uzyskać klucz z odpowiedniego systemu KMS, a następnie zwraca go do użytkownika na oryginalnym kanale.

Usługa KMS działająca na Org A weryfikuje połączenia z KMSs w innych organizacjach za pomocą certyfikatów PKI x.509. Aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użytku z wdrożeniem hybrydowego zabezpieczenia danych, zobacz Prepare Your Environment (Przygotowanie środowiska).

Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych

Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klienta i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.

Aby wdrożyć hybrydowe zabezpieczenia danych, należy zapewnić:

Bezpieczne centrum danych w kraju, który jest obsługiwaną lokalizacją dla planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w punkcie Przygotowanie środowiska.

Kompletna utrata konfiguracji ISO utworzonej dla hybrydowego zabezpieczenia danych lub dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:

Zarządzanie kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.
Przygotuj się do szybkiego odzyskiwania awaryjnego w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub awaria centrum danych.

Nie ma mechanizmu przenoszenia kluczy z powrotem do chmury po wdrożeniu HDS.

Proces konfiguracji na wysokim poziomie

Niniejszy dokument obejmuje konfigurację i zarządzanie wdrożeniem hybrydowego zabezpieczenia danych:

Skonfiguruj hybrydowe zabezpieczenia danych— obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, testowanie wdrożenia z podzbiorem użytkowników w trybie próbnym oraz, po zakończeniu testów, przejście do produkcji. Spowoduje to konwertowanie całej organizacji do używania klastra Hybrid Data Security dla funkcji zabezpieczeń.
Etapy konfiguracji, prób i produkcji zostały szczegółowo omówione w kolejnych trzech rozdziałach.
Utrzymuj wdrożenie hybrydowego zabezpieczenia danych— chmura Webex automatycznie zapewnia trwające uaktualnienia. Dział IT może zapewnić wsparcie poziomu pierwszego dla tego wdrożenia i zaangażować wsparcie Cisco w razie potrzeby. Możesz korzystać z powiadomień na ekranie i konfigurować alerty oparte na wiadomościach e-mail w Control Hub.
Zrozumienie wspólnych alertów, kroków rozwiązywania problemów i znanych problemów— w przypadku wystąpienia problemów z wdrożeniem lub użyciem hybrydowego zabezpieczenia danych ostatni rozdział niniejszego przewodnika i dodatku do Znanych problemów może pomóc w określeniu i rozwiązaniu problemu.

Hybrydowy model wdrażania zabezpieczeń danych

W centrum danych przedsiębiorstwa wdrażasz hybrydowe zabezpieczenia danych jako jeden klaster węzłów na osobnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych websocketów i bezpiecznego protokołu HTTP.

Podczas procesu instalacji dostarczamy Ci plik OVA do skonfigurowania urządzenia wirtualnego na dostarczonych maszynach wirtualnych. Narzędzie konfiguracyjne HDS służy do tworzenia niestandardowego pliku ISO konfiguracji klastra, który jest montowany w każdym węźle. Klaster Hybrid Data Security korzysta z dostarczonego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu konfiguracji HDS).

Hybrydowy model wdrażania zabezpieczeń danych

Minimalna liczba węzłów w klastrze to dwa. Zalecamy co najmniej trzy, a możesz mieć do pięciu. Posiadanie wielu węzłów zapewnia, że usługa nie zostanie przerwana podczas uaktualniania oprogramowania lub innej czynności konserwacyjnej w węźle. (Chmura Webex aktualizuje tylko jeden węzeł naraz).

Wszystkie węzły w klastrze mają dostęp do tego samego rekordu danych klucza i aktywności dziennika na tym samym serwerze dziennika systemowego. Same węzły są bezpaństwowe i obsługują żądania kluczy w sposób okrągły, zgodnie z zaleceniami chmury.

Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby usunąć pojedynczy węzeł z usługi, można go wyrejestrować, a następnie ponownie wyrejestrować w razie potrzeby.

Obsługujemy tylko jeden klaster na organizację.

Tryb próbny zabezpieczeń danych hybrydowych

Po skonfigurowaniu wdrożenia hybrydowego zabezpieczenia danych spróbuj go najpierw z zestawem użytkowników pilotażowych. W okresie próbnym użytkownicy ci wykorzystują lokalną domenę hybrydowego zabezpieczenia danych do szyfrowania kluczy i innych usług domeny zabezpieczeń. Inni użytkownicy nadal korzystają ze sfery zabezpieczeń w chmurze.

Jeśli zdecydujesz się nie kontynuować wdrażania podczas wersji próbnej i dezaktywować usługi, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi współpracowali, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zostanie wyświetlony komunikat „Nie można odszyfrować tej wiadomości” w aplikacji Webex.

Jeśli jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych i jesteś gotowy do rozszerzenia hybrydowego zabezpieczenia danych na wszystkich użytkowników, przenosisz wdrożenie do produkcji. Użytkownicy pilotażowi nadal mają dostęp do kluczy, które były używane podczas próby. Nie można jednak poruszać się w tę i z powrotem między trybem produkcji a oryginalnym testem. Jeśli musisz dezaktywować usługę, na przykład w celu przeprowadzenia odzyskiwania po awarii, po ponownej aktywacji musisz rozpocząć nową wersję próbną i skonfigurować zestaw użytkowników pilotażowych dla nowej wersji próbnej przed powrotem do trybu produkcji. To, czy użytkownicy zachowują w tym momencie dostęp do danych, zależy od tego, czy udało się zachować kopie zapasowe kluczowego magazynu danych i pliku konfiguracyjnego ISO dla węzłów hybrydowych zabezpieczeń danych w klastrze.

Standby Data Center for Disaster Recovery

Podczas wdrażania skonfigurowano bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie anulować wdrożenie do centrum danych w trybie gotowości.

Bazy danych aktywnych i standby centrów danych są ze sobą zsynchronizowane, co zminimalizuje czas potrzebny na wykonanie przełącznika awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają rejestrację węzłów w organizacji, ale nie obsługują ruchu. Stąd węzły standby data center zawsze pozostają aktualne z najnowszą wersją oprogramowania HDS.

Aktywne węzły hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych.

Konfiguracja Standby Data Center do odzyskiwania awarii

Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:

Przed rozpoczęciem

Centrum danych w stanie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych oraz zapasową bazę danych PostgreSQL lub Microsoft SQL Server. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne (zobacz Standby Data Center for Disaster Recovery , aby zapoznać się z tym modelem failover).
Upewnij się, że synchronizacja bazy danych jest włączona między bazą danych aktywnych i pasywnych węzłów klastra.

1

Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.

Plik ISO musi być kopią oryginalnego pliku ISO głównego centrum danych, na którym mają być dokonywane następujące aktualizacje konfiguracji.

2

Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane

3

Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwał żadnego ruchu.


passiveMode: 'true'

4

Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia.

5

Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

6

W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia..

7

Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.

Upewnij się, że Connected and Connect at power on (Podłączono) są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły wejść w życie po uruchomieniu węzłów.

8

Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.

9

Powtórz proces dla każdego węzła w centrum danych standby.

Sprawdź dzienniki syslog, aby sprawdzić, czy węzły są w trybie pasywnym. W dziennikach syslog należy mieć możliwość wyświetlania komunikatu „KMS skonfigurowany w trybie pasywnym”.

Co zrobić dalej

Po skonfigurowaniu passiveMode w pliku ISO i zapisanie go można utworzyć inną kopię pliku ISO bez passiveMode konfigurację i zapisanie w bezpiecznym miejscu. Ta kopia pliku ISO bez passiveMode skonfigurowany może pomóc w szybkim procesie awaryjnym podczas odzyskiwania po awarii. Aby zapoznać się ze szczegółową procedurą przywracania awaryjnego za pomocą Standby Data Center (Centrum danych gotowości).

Wsparcie proxy

Hybrydowe zabezpieczenia danych obsługują jednoznaczne, przejrzyste inspekcje i nieinspekcje serwerów proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby można było zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy można używać w węzłach do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.

Węzły hybrydowego zabezpieczenia danych obsługują następujące opcje serwera proxy:

Brak serwera proxy — ustawienie domyślne, jeśli w celu zintegrowania serwera proxy nie jest używane do konfiguracji węzła HDS Trust Store & Proxy. Nie jest wymagana aktualizacja certyfikatu.
Przejrzysty serwer proxy niekontrolowany — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z serwerem proxy niekontrolowanym. Nie jest wymagana aktualizacja certyfikatu.
Przejrzyste tunelowanie lub sprawdzanie serwera proxy — węzły nie są skonfigurowane do korzystania z określonego adresu serwera proxy. W węzłach nie są konieczne zmiany konfiguracji protokołu HTTP ani protokołu HTTPS. Węzły potrzebują jednak certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).
Wyraźny serwer proxy — w przypadku wyraźnego serwera proxy należy wskazać węzły HDS, których serwer proxy i schemat uwierzytelniania należy używać. Aby skonfigurować wyraźny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
1. Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.
2. Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.
3. Protokół proxy— w zależności od tego, co obsługuje serwer proxy, wybierz między następującymi protokołami:
  - HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
  - HTTPS — udostępnia kanał do serwera. Klient odbiera i weryfikuje certyfikat serwera.
4. Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:
  - Brak — dalsze uwierzytelnianie nie jest wymagane.
    
    Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
  - Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.
    
    Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
  - Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.
    
    Dostępne tylko po wybraniu protokołu HTTPS jako protokołu proxy.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

Przykład węzłów hybrydowych zabezpieczeń danych i serwera proxy

Na tym wykresie przedstawiono przykładowe połączenie między hybrydowym zabezpieczeniem danych, siecią i serwerem proxy. W przypadku opcji przejrzystej inspekcji i jawnej inspekcji serwera proxy HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach hybrydowych zabezpieczeń danych.

Zablokowany zewnętrzny tryb rozpoznawania DNS (wyraźne konfiguracje serwera proxy)

Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. W przypadku wdrożeń z wyraźnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzną rozdzielczość DNS dla klientów wewnętrznych, jeśli węzeł nie może wyszukiwać serwerów DNS, automatycznie przechodzi on w tryb Zablokowanej zewnętrznej rozdzielczości DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.

Przygotuj swoje środowisko

Wymagania dotyczące hybrydowego bezpieczeństwa danych

Wymagania licencyjne Cisco Webex

Aby wdrożyć hybrydowe zabezpieczenia danych:

Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub (patrz https://www.cisco.com/go/pro-pack).

Docker Wymagania pulpitowe

Przed zainstalowaniem węzłów HDS potrzebny jest Docker Desktop do uruchomienia programu konfiguracji. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis w blogu platformy Docker, „ Docker aktualizuje i rozszerza subskrypcje naszych produktów ”.

Wymagania dotyczące certyfikatu X.509

Łańcuch certyfikatów musi spełniać następujące wymagania:

Tabela 1. X.509 Wymagania dotyczące certyfikatów dla wdrażania hybrydowego zabezpieczenia danych
Wymaganie	Szczegóły
Podpisany przez zaufany urząd certyfikacji (CA)	Domyślnie ufamy urzędnikom na liście Mozilla (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs.
Nazwa domeny wspólnej nazwy (CN) identyfikująca wdrożenie hybrydowego zabezpieczenia danych Nie jest certyfikatem wieloznacznych kart	CN nie musi być osiągalne ani hostem na żywo. Zalecamy używanie nazwy odzwierciedlającej np. organizację, `hds.company.com`. CN nie może zawierać * (wildcard). CN służy do weryfikacji węzłów hybrydowych zabezpieczeń danych dla klientów aplikacji Webex. Wszystkie węzły hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. System KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie obsługujemy zmiany nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych.
Podpis inny niż SHA1	Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu weryfikacji połączeń z KMSs innych organizacji.
Formatowany jako plik PKCS #12 chroniony hasłem Użyj przyjaznej nazwy `kms-private-key` aby oznaczyć certyfikat, klucz prywatny i wszelkie certyfikaty pośrednie do przesłania.	Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Po uruchomieniu narzędzia konfiguracji usługi HDS należy wprowadzić hasło.

Oprogramowanie KMS nie wymusza użycia klucza ani nie nakłada dodatkowych ograniczeń w jego używaniu. Niektóre organy certyfikatów wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia użycia kluczy, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.

Wymagania dotyczące wirtualnego prowadzącego

Wirtualne hosty skonfigurowane jako węzły hybrydowego zabezpieczenia danych w klastrze mają następujące wymagania:

Co najmniej dwa osobne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych
Oprogramowanie VMware ESXi 6.5 (lub nowsze) zostało zainstalowane i uruchomione.

Jeśli masz wcześniejszą wersję ESXi, musisz ją uaktualnić.
Minimum 4 procesory vCPUs, 8-GB pamięci głównej, 30-GB lokalnego miejsca na dysk twardy na serwer

Wymagania serwera bazy danych

Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych.

Istnieją dwie opcje dla serwera bazy danych. Wymagania dla każdego z nich są następujące:

Tabela 2. Wymagania serwera bazy danych według typu bazy danych

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 lub 16, zainstalowany i uruchomiony.

Zainstalowano program SQL Server 2016, 2017 lub 2019 (Enterprise lub Standard).

SQL Server 2016 wymaga pakietu usług 2 i zbiorczej aktualizacji 2 lub nowszej.

Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci)

Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:

PostgreSQL

Microsoft SQL Server

Postgres JDBC kierowca 42.2.5

SQL Server JDBC sterownik 4.6

Ta wersja sterownika obsługuje program SQL Server Always On (Always On Failover Cluster Instances oraz Always On availability groups).

Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w usłudze Microsoft SQL Server

Jeśli chcesz, aby węzły HDS używały uwierzytelniania w systemie Windows, aby uzyskać dostęp do bazy danych keystore na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w swoim środowisku:

Węzły HDS, infrastruktura Active Directory i MS SQL Server muszą być synchronizowane z NTP.
Konto systemu Windows dla węzłów HDS musi mieć dostęp do bazy danych do odczytu/zapisu.
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozwiązać klucz centrum dystrybucji (KDC).
Wystąpienie bazy danych HDS można zarejestrować na serwerze Microsoft SQL Server jako główną nazwę usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.

Narzędzie do konfigurowania HDS, uruchamianie HDS i lokalne KMS muszą używać uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych keystore. Używają szczegółów z konfiguracji ISO do budowy SPN podczas żądania dostępu za pomocą uwierzytelniania Kerberos.

Wymagania dotyczące połączeń zewnętrznych

Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:

Aplikacja	Protokół	Port	Polecenie z aplikacji	Miejsce docelowe
Węzły hybrydowego zabezpieczenia danych	TCP	443	Zewnętrzne HTTPS i WSS	Serwery Webex: .wbx2.com .ciscospark.com Wszystkie hosty Common Identity Inne adresy URL wymienione dla hybrydowych zabezpieczeń danych w tabeli Dodatkowe adresy URL dla usług hybrydowych Webex zawierającej wymagania sieciowe dla usług Webex
Narzędzie do konfigurowania HDS	TCP	443	Zewnętrzny protokół HTTPS	*.wbx2.com Wszystkie hosty Common Identity hub.docker.com

Węzły hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub za zaporą, o ile NAT lub zapora zezwala na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują dostępu do węzłów hybrydowych zabezpieczeń danych w portach TCP 443 i 22 do celów administracyjnych.

Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Są to bieżące hosty CI:

Region	Wspólne adresy URL prowadzącego tożsamości
Ameryka	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Unia Europejska	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Wymagania serwera proxy

Oficjalnie obsługujemy następujące rozwiązania proxy, które mogą integrować się z węzłami hybrydowego zabezpieczenia danych.

Przejrzysty serwer proxy — Cisco Web Security Appliance (WSA).

Wyraźny serwer proxy — Squid.

Proxies Squid, które sprawdzają ruch HTTPS może kolidować z ustanowieniem websocket (wss:) połączeń. Aby rozwiązać ten problem, zobacz Configure Squid Proxies for Hybrid Data Security.

Obsługujemy następujące kombinacje typów uwierzytelniania dla serwerów proxy:
- Brak uwierzytelniania przy użyciu protokołu HTTP lub HTTPS
- Uwierzytelnianie podstawowe przy użyciu protokołu HTTP lub HTTPS
- Uwierzytelnianie przy użyciu protokołu HTTPS
W przypadku przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS należy posiadać kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania zawarte w tym przewodniku informują o sposobie przesłania kopii do sklepów zaufania węzłów hybrydowych zabezpieczeń danych.
Sieć hostująca węzły HDS musi być skonfigurowana tak, aby wymuszać wychodzący ruch TCP na porcie 443 na trasę przez serwer proxy.
Serwery proxy, które kontrolują ruch sieciowy, mogą zakłócać połączenia z gniazdem internetowym. Jeśli wystąpi ten problem, omijając (nie kontrolując) ruch do wbx2.com i ciscospark.com rozwiąże problem.

Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych

Użyj tej listy kontrolnej, aby upewnić się, że jesteś gotowy do zainstalowania i skonfigurowania klastra hybrydowego bezpieczeństwa danych.

1

Upewnij się, że Twoja organizacja Webex jest włączona dla pakietu Pro Pack dla Cisco Webex Control Hub i uzyskaj poświadczenia konta z pełnymi prawami administratora organizacji. Aby uzyskać pomoc w tym procesie, skontaktuj się z partnerem firmy Cisco lub menedżerem konta.

2

Wybierz nazwę domeny dla wdrożenia HDS (na przykład hds.company.com) i uzyskać łańcuch certyfikatów zawierający certyfikat X.509, klucz prywatny i wszelkie certyfikaty pośrednie. Łańcuch certyfikatów musi spełniać wymagania określone w X.509 Certificate Requirements.

3

Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły hybrydowego zabezpieczenia danych w klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych, które spełniają wymagania w Wymagania wirtualnego hosta.

4

Przygotuj serwer bazy danych, który będzie działał jako kluczowy magazyn danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być zestawiony w bezpiecznym centrum danych z wirtualnymi hostami.

Utwórz bazę danych do przechowywania kluczy. (Musisz utworzyć tę bazę danych — nie używaj domyślnej bazy danych. Aplikacje HDS, po zainstalowaniu, tworzą schemat bazy danych.)
Zbierz szczegóły używane przez węzły do komunikacji z serwerem bazy danych:
- nazwę prowadzącego lub adres IP (prowadzącego) i port
- nazwa bazy danych (dbname) do przechowywania kluczy
- nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych magazynu kluczy

5

W celu szybkiego odzyskiwania danych po awarii należy skonfigurować środowisko tworzenia kopii zapasowych w innym centrum danych. Środowisko tworzenia kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i zapasowego serwera bazy danych. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne.

6

Skonfiguruj hosta dziennika systemowego, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemowego (domyślnie jest to UDP 514).

7

Utwórz bezpieczne zasady tworzenia kopii zapasowych węzłów hybrydowych zabezpieczeń danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec niemożliwej do odzyskania utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów hybrydowych zabezpieczeń danych.

Ponieważ węzły hybrydowego zabezpieczenia danych przechowują klucze używane do szyfrowania i odszyfrowywania treści, brak utrzymania operacyjnego wdrożenia spowoduje NIEZBĘDNĄ STRATĘ tej zawartości.

Klienci aplikacji Webex przechowują klucze w pamięci podręcznej, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się widoczna. Chociaż tymczasowe przerwy są niemożliwe do zapobieżenia, są one do odzyskania. Jednak całkowita utrata (brak kopii zapasowych) bazy danych lub pliku konfiguracyjnego ISO spowoduje niemożliwy do odzyskania dane klienta. Oczekuje się, że operatorzy węzłów hybrydowego bezpieczeństwa danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowy centrum danych hybrydowego bezpieczeństwa danych w przypadku wystąpienia katastrofalnej awarii.

8

Upewnij się, że konfiguracja zapory umożliwia dostęp do łączności w węzłach hybrydowych zabezpieczeń danych, jak opisano w Zewnętrznych wymogach dotyczących łączności.

9

Zainstaluj Docker ( https://www.docker.com) na każdej maszynie lokalnej z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080.

Za pomocą wystąpienia Docker można pobrać i uruchomić narzędzie konfiguracji HDS, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów hybrydowych zabezpieczeń danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania Dotyczące Pulpitu Dockera.

Aby zainstalować i uruchomić narzędzie do konfiguracji HDS, lokalna maszyna musi mieć łączność opisaną w Zewnętrznych wymaganiach dotyczących łączności.

10

Jeśli integrujesz serwer proxy z hybrydowymi zabezpieczeniami danych, upewnij się, że spełnia on wymagania serwera proxy.

11

Jeśli Twoja organizacja używa synchronizacji katalogu, utwórz grupę w usłudze Active Directory o nazwie HdsTrialGroup, i dodać użytkowników pilotażowych. Grupa próbna może mieć do 250 użytkowników. Plik HdsTrialGroup obiekt musi być zsynchronizowany z chmurą przed rozpoczęciem próby dla organizacji. Aby zsynchronizować obiekt grupowy, wybierz go w łączniku usług katalogowych Konfiguracja > Menu Wybór obiektu. (Szczegółowe instrukcje można znaleźć w Podręczniku wdrażania Cisco Directory Connector.)

Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Wybierając użytkowników pilotażowych, należy pamiętać, że jeśli zdecydujesz się na trwałą dezaktywację wdrożenia hybrydowego zabezpieczenia danych, wszyscy użytkownicy utracą dostęp do treści w obszarach utworzonych przez użytkowników pilotażowych. Strata staje się widoczna, gdy aplikacje użytkowników odświeżą swoje kopie w pamięci podręcznej treści.

Konfigurowanie hybrydowego klastra bezpieczeństwa danych

Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych

Przed rozpoczęciem

1

Pobierz plik OVA do lokalnego komputera, aby później go użyć.

2

Za pomocą narzędzia konfiguracyjnego HDS można utworzyć plik konfiguracyjny ISO dla węzłów hybrydowych zabezpieczeń danych.

3

Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych

Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe.

Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

4

Zaloguj się na konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.

5

Konfigurowanie węzła HDS dla integracji serwera proxy

Skonfiguruj VM z pliku konfiguracyjnego ISO utworzonego za pomocą narzędzia do konfiguracji HDS.

6

Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, którego użyjesz dla węzła, i w razie potrzeby dodaj certyfikat serwera proxy do sklepu zaufania.

7

Zarejestruj maszynę wirtualną za pomocą chmury Cisco Webex jako węzeł hybrydowego zabezpieczenia danych.

8

Konfigurowanie hybrydowego klastra bezpieczeństwa danych

Zakończ konfigurację klastra.

9

Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział)

Do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana.

Pobierz pliki instalacyjne

W tym zadaniu pobierz plik OVA do swojego komputera (nie do serwerów skonfigurowanych jako węzły hybrydowego zabezpieczenia danych). Ten plik jest używany później w procesie instalacji.

1

Zaloguj się do https://admin.webex.com, a następnie kliknij opcję Usługi.

2

W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych, a następnie kliknij przycisk Skonfiguruj.

Jeśli karta jest wyłączona lub jej nie widzisz, skontaktuj się z zespołem ds. kont lub organizacją partnerską. Podaj im numer konta i poproś o włączenie organizacji Hybrid Data Security. Aby znaleźć numer konta, kliknij bieg w prawym górnym rogu obok nazwy organizacji.

OVA można również pobrać w dowolnym momencie z sekcji Pomoc na stronie Ustawienia . Na karcie Hybrid Data Security kliknij opcję Edytuj ustawienia, aby otworzyć stronę. Następnie kliknij opcję Pobierz oprogramowanie hybrydowego zabezpieczenia danych w sekcji Pomoc .

Starsze wersje pakietu oprogramowania (OVA) nie będą kompatybilne z najnowszymi aktualizacjami Hybrid Data Security. Może to spowodować problemy podczas uaktualniania aplikacji. Upewnij się, że pobierz najnowszą wersję pliku OVA.

3

Wybierz Nie , aby wskazać, że węzeł nie został jeszcze skonfigurowany, a następnie kliknij przycisk Dalej.

Plik OVA automatycznie zaczyna się pobierać. Zapisz plik w lokalizacji na komputerze.

4

Opcjonalnie kliknij Open Deployment Guide (Otwórz przewodnik wdrażania), aby sprawdzić, czy dostępna jest późniejsza wersja tego przewodnika.

Tworzenie ISO konfiguracji dla prowadzących HDS

Proces konfiguracji hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie należy użyć ISO do skonfigurowania hosta hybrydowego bezpieczeństwa danych.

Przed rozpoczęciem

Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas podnoszenia kontenera Docker w kroku 5. W tej tabeli podano kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Wygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Potrzebna jest najnowsza kopia tego pliku, gdy wprowadzasz zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatów
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrowanie połączeń z bazą danych, skonfiguruj wdrożenie programu PostgreSQL lub SQL Server dla TLS.

1

W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

W zwykłych środowiskach:

docker rmi ciscocitg/hds-setup:stable

W środowiskach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

2

Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:

docker login -u hdscustomersro

3

Po wyświetleniu monitu o hasło wprowadź ten skrót:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Pobierz najnowszy stabilny obraz dla swojego środowiska:

W zwykłych środowiskach:

docker pull ciscocitg/hds-setup:stable

W środowiskach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

5

Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:

W zwykłych środowiskach bez serwera proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

W zwykłych środowiskach z serwerem proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

W zwykłych środowiskach z serwerem proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

W środowiskach FedRAMP bez serwera proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z serwerem proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z serwerem proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

6

Narzędzie Konfiguracja nie obsługuje łączenia się z localhost za pośrednictwem http://localhost:8080. Użyj http://127.0.0.1:8080, aby połączyć się z hostem lokalizacji.

Użyj przeglądarki internetowej, aby przejść do hosta lokalizacji, http://127.0.0.1:8080, i wprowadź nazwę użytkownika administratora klienta dla Control Hub po wyświetleniu monitu.

Narzędzie używa tego pierwszego wpisu nazwy użytkownika, aby ustawić odpowiednie środowisko dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.

7

Po wyświetleniu monitu wprowadź poświadczenia logowania administratora klienta Control Hub, a następnie kliknij przycisk Zaloguj się , aby zezwolić na dostęp do wymaganych usług Hybrid Data Security.

8

Na stronie Przegląd narzędzia konfiguracyjnego kliknij Rozpocznij.

9

Na stronie ISO Import dostępne są następujące opcje:

Nie— jeśli tworzysz swój pierwszy węzeł HDS, nie masz pliku ISO do przesłania.
Tak— jeśli utworzono już węzły HDS, należy wybrać plik ISO podczas przeglądania i przesyłania go.

10

Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatów X.509.

Jeśli nigdy wcześniej nie przesłałeś certyfikatu, prześlij certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.
Jeśli certyfikat jest prawidłowy, kliknij przycisk Kontynuuj.
Jeśli certyfikat wygasł lub chcesz go zastąpić, wybierz opcję Nie , aby Kontynuować korzystanie z łańcucha certyfikatów HDS i klucza prywatnego z poprzedniego ISO?. Prześlij nowy certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.

11

Wprowadź adres bazy danych i konto HDS, aby uzyskać dostęp do klucza danych:

Wybierz typ bazy danych (PostgreSQL lub Microsoft SQL Server).

Jeśli wybierzesz program Microsoft SQL Server, otrzymasz pole Typ uwierzytelniania.
(tylko Microsoft SQL Server) Wybierz Typ uwierzytelniania:
- Uwierzytelnianie podstawowe: W polu Nazwa użytkownika potrzebna jest lokalna nazwa konta SQL Server.
- Uwierzytelnianie systemu Windows: Potrzebujesz konta Windows w formacie username@DOMAIN w polu Nazwa użytkownika.
Wprowadź adres serwera bazy danych w formularzu <hostname>:<port> lub <IP-address>:<port>.

Przykład:
dbhost.example.org:1433 lub 198.51.100.17:1433

Do podstawowego uwierzytelniania można użyć adresu IP, jeśli węzły nie mogą używać DNS do rozpoznawania nazwy hosta.

Jeśli używasz uwierzytelniania systemu Windows, musisz wprowadzić w pełni kwalifikowaną nazwę domeny w formacie dbhost.example.org:1433
Wprowadź nazwę bazy danych.
Wprowadź nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych magazynu kluczy.

12

Wybierz tryb połączenia z bazą danych TLS:

Tryb

Opis

Preferuj TLS (opcja domyślna)

Węzły HDS nie wymagają TLS do łączenia się z serwerem bazy danych. Jeśli włączysz protokół TLS na serwerze bazy danych, węzły spróbują zaszyfrowanego połączenia.

Wymagaj TLS

Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować TLS.

Wymagaj TLS i zweryfikuj osobę podpisującą certyfikat

Ten tryb nie ma zastosowania do baz danych SQL Server.

Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować TLS.
Po nawiązaniu połączenia TLS węzeł porównuje sygnera certyfikatu z serwera bazy danych z organem certyfikatu w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie.

Użyj przycisku Certyfikat główny bazy danych poniżej listy rozwijanej, aby przesłać certyfikat główny dla tej opcji.

Wymagaj TLS oraz zweryfikuj osobę podpisującą certyfikat i nazwę hosta

Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować TLS.
Po nawiązaniu połączenia TLS węzeł porównuje sygnera certyfikatu z serwera bazy danych z organem certyfikatu w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie.
Węzły sprawdzają również, czy nazwa hosta w certyfikacie serwera jest zgodna z nazwą hosta w polu Baza danych i port . Nazwy muszą być dokładnie takie same, w przeciwnym razie węzeł zerwie połączenie.

Użyj przycisku Certyfikat główny bazy danych poniżej listy rozwijanej, aby przesłać certyfikat główny dla tej opcji.

Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracji HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie sprawdza również osobę podpisującą certyfikat i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w połączeniach węzły HDS mogą być w stanie nawiązać połączenie TLS, nawet jeśli maszyna narzędziowa HDS Setup Tool nie jest w stanie go przetestować).

13

Na stronie Dzienniki systemu skonfiguruj serwer Syslogd:

Wprowadź adres URL serwera dziennika systemowego.

Jeśli serwer nie jest w stanie rozwiązać DNS z węzłów klastra HDS, użyj adresu IP w adresie URL.

Przykład:
udp://10.92.43.23:514 wskazuje logowanie do hosta Syslogd 10.92.43.23 w porcie UDP 514.
Jeśli skonfigurujesz serwer, aby używał szyfrowania TLS, sprawdź, czy serwer dziennika systemowego jest skonfigurowany do szyfrowania SSL?.

Jeśli zaznaczysz to pole wyboru, upewnij się, że wprowadzasz adres URL TCP, taki jak: tcp://10.92.43.23:514.
Z listy rozwijanej Wybierz zakończenie rekordu dziennika systemowego wybierz odpowiednie ustawienie dla pliku ISO: Wybierz lub Newline są używane do Graylog i Rsyslog TCP
- Byte czajnika -- \x00
- Newline -- \n — Wybierz ten wybór dla aplikacji Graylog i Rsyslog TCP.
Kliknij przycisk Kontynuuj.

14

(Opcjonalnie) W ustawieniach zaawansowanych można zmienić wartość domyślną niektórych parametrów połączenia z bazą danych. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić:

app_datasource_connection_pool_maxSize: 10

15

Kliknij przycisk Kontynuuj na ekranie Resetuj hasło konta usługi .

Hasła konta serwisowego mają okres dziewięciu miesięcy. Użyj tego ekranu, gdy hasła zbliżają się do wygaśnięcia lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO.

16

Kliknij opcję Pobierz plik ISO. Zapisz plik w lokalizacji, którą łatwo znaleźć.

17

Wykonaj kopię zapasową pliku ISO w lokalnym systemie.

Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

18

Aby zamknąć narzędzie Setup, wpisz: CTRL+C.

Co zrobić dalej

Kopia zapasowa pliku ISO konfiguracji. Musisz utworzyć więcej węzłów do odzyskiwania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Odzyskiwanie kluczy z bazy danych PostgreSQL lub Microsoft SQL Server nie jest możliwe.

Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz.

Instalowanie OVA hosta HDS

Użyj tej procedury, aby utworzyć maszynę wirtualną z pliku OVA.

1

Aby zalogować się do wirtualnego hosta ESXi, użyj klienta VMware vSphere na komputerze.

2

Wybierz Plik > Wdrożenie szablonu OVF.

3

W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij Następny.

4

Na ekranie Wybierz nazwę i folder strona, wprowadź Nazwa maszyny wirtualnej dla węzła (na przykład „HDS_Node_1”) wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Następny.

5

Na ekranie Wybierz zasób obliczeniowy strona, wybierz docelowy zasób obliczeniowy, a następnie kliknij Następny.

Trwa kontrola walidacji. Po jego zakończeniu pojawiają się szczegóły szablonu.

6

Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej.

7

Jeśli zostaniesz poproszony o wybranie konfiguracji zasobów na stronie Konfiguracja strona, kliknij 4 CPU a następnie kliknij Następny.

8

Na ekranie Wybierz miejsce strona, kliknij Następny aby zaakceptować domyślny format dysku i zasady przechowywania VM.

9

Na ekranie Wybierz sieci na stronie wybierz opcję sieci z listy pozycji, aby zapewnić żądaną łączność z maszyną wirtualną.

10

Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieci:

Nazwa hosta — wprowadź nazwę hosta FQDN (nazwa hosta i domena) lub nazwę hosta pojedynczego słowa dla węzła.

Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509.
Aby zapewnić pomyślną rejestrację w chmurze, użyj tylko znaków z małymi literami w nazwie FQDN lub nazwie hosta ustawionej dla węzła. W tym momencie kapitalizacja nie jest obsługiwana.
Całkowita długość FQDN nie może przekraczać 64 znaków.

Adres IP— wprowadź adres IP interfejsu wewnętrznego węzła.

Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany.
Maska— wprowadź adres maski podsieci w notacji dot-dziesiętnej. Na przykład: 255.255.255.0.
Brama — wprowadź adres IP bramy. Brama to węzeł sieciowy, który służy jako punkt dostępu do innej sieci.
Serwery DNS— wprowadź oddzieloną przecinkami listę serwerów DNS, które obsługują tłumaczenie nazw domen na numeryczne adresy IP. (Dozwolone są do 4 wpisy DNS).
Serwery NTP — wprowadź serwer NTP swojej organizacji lub inny zewnętrzny serwer NTP, który może być używany w Twojej organizacji. Domyślne serwery NTP mogą nie działać dla wszystkich przedsiębiorstw. Można również użyć listy rozdzielonej przecinkami, aby wprowadzić wiele serwerów NTP.

Wdrożenie wszystkich węzłów w tej samej podsieci lub sieci VLAN, tak aby wszystkie węzły w klastrze były dostępne dla klientów w sieci do celów administracyjnych.

Jeśli jest to preferowane, można pominąć konfigurację ustawień sieci i wykonać czynności opisane w punkcie Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych w celu skonfigurowania ustawień z konsoli węzła.

Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

11

Kliknij prawym przyciskiem myszy węzeł VM, a następnie wybierz Zasilanie > Włączanie zasilania.

Oprogramowanie Hybrid Data Security jest instalowane jako gość w hostu VM. Teraz możesz zalogować się na konsoli i skonfigurować węzeł.

Wskazówki dotyczące rozwiązywania problemów

Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzła. Podczas pierwszego uruchamiania na konsoli pojawi się komunikat zapory mostowej, podczas którego nie można się zalogować.

Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych

Użyj tej procedury, aby po raz pierwszy zalogować się na konsoli VM węzła hybrydowego zabezpieczenia danych i ustawić poświadczenia logowania. Konsola może również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.

1	W kliencie VMware vSphere wybierz węzeł VM Hybrid Data Security i kartę Console . Maszyna zostanie uruchomiona i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie nie jest wyświetlany, naciśnij przycisk Enter.
2	Aby się zalogować i zmienić poświadczenia, należy użyć następującego domyślnego loginu i hasła: Logowanie: `admin` Hasło: `cisco` Ponieważ logujesz się do VM po raz pierwszy, musisz zmienić hasło administratora.
3	Jeśli ustawienia sieci zostały już skonfigurowane w Instalowaniu OVA hosta usługi HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację.
4	Skonfiguruj statyczną konfigurację z adresem IP, maską, bramą i informacjami DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany.
5	(Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne do dopasowania do zasad sieci. Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509.
6	Zapisz konfigurację sieci i uruchom ponownie VM, aby zmiany weszły w życie.

Prześlij i zamontuj ISO konfiguracji HDS

Ta procedura służy do konfigurowania maszyny wirtualnej z pliku ISO utworzonego za pomocą narzędzia konfiguracji HDS.

Przed rozpoczęciem

Ponieważ plik ISO zawiera klucz główny, powinien on być narażony tylko na „potrzebę wiedzy”, aby uzyskać dostęp do hybrydowych maszyn wirtualnych ds. bezpieczeństwa danych i wszystkich administratorów, którzy mogą wymagać wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mogą uzyskać dostęp do bazy danych.

1

Prześlij plik ISO z komputera:

W lewym okienku nawigacyjnym klienta VMware vSphere kliknij na serwer ESXi.
Na liście Sprzętu na karcie Konfiguracja kliknij przycisk Przechowywanie.
Na liście Datastores kliknij prawym przyciskiem myszy katalog danych dla swoich maszyn wirtualnych i kliknij opcję Przeglądaj Datastore.
Kliknij ikonę Prześlij pliki, a następnie kliknij Prześlij plik.
Przejdź do lokalizacji, w której pobrałeś plik ISO na komputerze i kliknij przycisk Otwórz.
Kliknij przycisk Tak, aby zaakceptować ostrzeżenie o operacji przesyłania/pobierania i zamknąć okno dialogowe z listą danych.

2

Montaż pliku ISO:

W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy VM i kliknij Edytuj ustawienia .
Kliknij przycisk OK, aby zaakceptować ostrzeżenie o opcjach edycji ograniczonej.
Kliknij CD/DVD Drive 1, wybierz opcję montażu z pliku ISO w zbiorniku danych i przejdź do lokalizacji, w której przesłano plik ISO konfiguracji.
Sprawdzić Podłączono i Podłączono przy włączonym zasilaniu.
Zapisz zmiany i uruchom ponownie maszynę wirtualną.

Co zrobić dalej

Jeśli polityka IT wymaga, możesz opcjonalnie odmontować plik ISO po tym, jak wszystkie węzły podniosą zmiany w konfiguracji. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.

Konfigurowanie węzła HDS dla integracji serwera proxy

Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z Hybrid Data Security. Po wybraniu przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS można użyć interfejsu węzła do przesłania i zainstalowania certyfikatu głównego. Możesz również sprawdzić połączenie serwera proxy z poziomu interfejsu i rozwiązać ewentualne problemy.

Przed rozpoczęciem

Aby zapoznać się z opcjami obsługiwanego serwera proxy, zobacz Obsługa serwera proxy.
Wymagania serwera proxy

1	Wprowadź adres URL konfiguracji węzła HDS `https://[HDS Node IP or FQDN]/setup` w przeglądarce internetowej wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się.
2	Przejdź do sklepu Trust Store & Proxy, a następnie wybierz opcję: Brak serwera proxy — opcja domyślna przed integracją serwera proxy. Nie jest wymagana aktualizacja certyfikatu. Transparent Non-Inspecting Proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z niekontrolowanym serwerem proxy. Nie jest wymagana aktualizacja certyfikatu. Transparent Inspecting Proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy. W przypadku wdrożenia hybrydowego zabezpieczenia danych nie są konieczne zmiany konfiguracji protokołu HTTPS, jednak węzły HDS potrzebują certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS). Explicit Proxy— w przypadku wyraźnego serwera proxy użytkownik informuje klienta (węzły HDS), którego serwera proxy ma używać, a ta opcja obsługuje kilka typów uwierzytelniania. Po wybraniu tej opcji należy wprowadzić następujące informacje: Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy. Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy. Protokół proxy — wybierz http (wyświetla i kontroluje wszystkie żądania otrzymane od klienta) lub https (dostarcza kanał do serwera, a klient odbiera i weryfikuje certyfikat serwera). Wybierz opcję na podstawie tego, co obsługuje serwer proxy. Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania: Brak — dalsze uwierzytelnianie nie jest wymagane. Dostępne dla serwerów proxy HTTP lub HTTPS. Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64. Dostępne dla serwerów proxy HTTP lub HTTPS. Jeśli wybierzesz tę opcję, musisz również wprowadzić nazwę użytkownika i hasło. Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem. Dostępne tylko dla serwerów proxy HTTPS. Jeśli wybierzesz tę opcję, musisz również wprowadzić nazwę użytkownika i hasło. Postępuj zgodnie z kolejnymi krokami w celu przejrzystego kontrolowania serwera proxy, bezpośredniego serwera proxy HTTP z uwierzytelnianiem podstawowym lub bezpośredniego serwera proxy HTTPS.
3	Kliknij opcję Prześlij certyfikat główny lub certyfikat jednostki końcowej, a następnie przejdź do opcji Wybierz certyfikat główny serwera proxy. Certyfikat jest przesyłany, ale jeszcze nie został zainstalowany, ponieważ aby zainstalować certyfikat, należy ponownie uruchomić węzeł. Aby uzyskać więcej szczegółów, kliknij strzałkę chevron po nazwie emitenta certyfikatu lub kliknij opcję Usuń, jeśli popełniłeś błąd i chcesz ponownie przesłać plik.
4	Kliknij Check Proxy Connection (Sprawdź połączenie proxy), aby sprawdzić połączenie sieciowe między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, pojawi się komunikat o błędzie przedstawiający przyczynę i sposób naprawienia problemu. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS. Warunek ten jest oczekiwany w wielu wyraźnych konfiguracjach serwera proxy. Możesz kontynuować konfigurację, a węzeł będzie działał w trybie Zablokowanej Zewnętrznej Rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj poniższe czynności, a następnie zobacz Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS.
5	Po przejściu testu połączenia, w przypadku wyraźnego serwera proxy ustawionego tylko na https, włącz przełącznik do Trasowania wszystkich żądań portu 443/444 https z tego węzła za pomocą wyraźnego serwera proxy. To ustawienie wymaga 15 sekund działania.
6	Kliknij Instaluj Wszystkie Certyfikaty W Sklepie Zaufania (pojawi się dla wyraźnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawi się dla wyraźnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij opcję Instaluj , jeśli jesteś gotowy. Węzeł zostanie uruchomiony ponownie w ciągu kilku minut.
7	Po ponownym uruchomieniu węzła zaloguj się ponownie w razie potrzeby, a następnie otwórz stronę Przegląd , aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie mają zielony status. Kontrola połączenia z serwerem proxy sprawdza tylko poddomenę webex.com. Jeśli występują problemy z łącznością, powszechnym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy.

Zarejestruj pierwszy węzeł w klastrze

To zadanie przejmuje ogólny węzeł utworzony w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych, rejestruje węzeł w chmurze Webex i zamienia go w węzeł hybrydowego bezpieczeństwa danych.

Po zarejestrowaniu pierwszego węzła utwórz klaster, do którego jest przypisany węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia zwolnień.

Przed rozpoczęciem

Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.

1	Zaloguj się w https://admin.webex.com.
2	W menu po lewej stronie ekranu wybierz opcję Usługi.
3	W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij przycisk Skonfiguruj. Zostanie wyświetlona strona węzła Zarejestruj hybrydowe zabezpieczenia danych.
4	Wybierz Tak, aby wskazać, że węzeł został skonfigurowany i chcesz go zarejestrować, a następnie kliknij przycisk Dalej.
5	W pierwszym polu wprowadź nazwę klastra, do którego chcesz przypisać węzeł hybrydowego zabezpieczenia danych. Zalecamy nazwanie klastra na podstawie lokalizacji węzłów klastra. Przykłady: "San Francisco", "Nowy Jork" czy "Dallas"
6	W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej. Ten adres IP lub nazwa FQDN powinny być zgodne z adresem IP lub nazwą hosta i domeną używaną podczas konfigurowania hybrydowej maszyny wirtualnej ds. bezpieczeństwa danych. Pojawi się komunikat informujący, że można zarejestrować węzeł w usłudze Webex.
7	Kliknij przycisk Przejdź do węzła.
8	Kliknij przycisk Kontynuuj w komunikacie ostrzegawczym. Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji Webex, aby uzyskać dostęp do węzła.
9	Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
10	Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub. Na stronie Hybrid Data Security jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.

Tworzenie i rejestrowanie większej liczby węzłów

Aby dodać dodatkowe węzły do klastra, wystarczy utworzyć dodatkowe numery VMs i zamontować ten sam plik ISO konfiguracji, a następnie zarejestrować węzeł. Zalecamy posiadanie co najmniej 3 węzłów.

W tym czasie zapasowe maszyny wirtualne utworzone w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych są hostami gotowymi, które są używane tylko w przypadku odzyskiwania po awarii; do tego czasu nie są rejestrowane w systemie. Aby uzyskać szczegółowe informacje, patrz Przywracanie systemu po awarii za pomocą Standby Data Center.

Przed rozpoczęciem

Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.

1	Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Instalacji OVA hosta HDS.
2	Skonfiguruj konfigurację początkową na nowej maszynie wirtualnej, powtarzając kroki w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych.
3	W nowej maszynie wirtualnej wykonaj ponownie czynności opisane w polu Prześlij i zamontuj ISO konfiguracji HDS.
4	Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w Konfigurowaniu węzła HDS dla integracji serwera proxy zgodnie z potrzebami nowego węzła.
5	Zarejestruj węzeł. W https://admin.webex.com wybierz Usługi z menu po lewej stronie ekranu. W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych i kliknij opcję Zasoby. Pojawi się strona Hybrid Data Security Resources (Zasoby zabezpieczeń danych hybrydowych). Kliknij przycisk Dodaj zasób. W pierwszym polu wybierz nazwę istniejącego klastra. W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej. Pojawi się komunikat informujący, że można zarejestrować węzeł w chmurze Webex. Kliknij przycisk Przejdź do węzła. Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji, aby uzyskać dostęp do węzła. Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex. Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub. Twój węzeł jest zarejestrowany. Należy pamiętać, że do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie jest jeszcze aktywowana.

Co zrobić dalej

Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział)

Uruchom wersję próbną i przejdź do produkcji

Przepływ próby do zadania produkcyjnego

Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.

Przed rozpoczęciem

1	Jeśli dotyczy, zsynchronizuj `HdsTrialGroup` obiekt grupowy. Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać `HdsTrialGroup` obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.
2	Aktywuj wersję próbną Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana.
3	Przetestuj wdrożenie hybrydowego zabezpieczenia danych Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.
4	Monitorowanie stanu hybrydowego bezpieczeństwa danych Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów.
5	Dodawanie lub usuwanie użytkowników z wersji próbnej
6	Zakończ fazę próbną, wykonując jedną z następujących czynności: Przeniesienie z wersji próbnej do produkcji Zakończ wersję próbną bez przejścia do produkcji

Aktywuj wersję próbną

Przed rozpoczęciem

Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby dla organizacji. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.

1	Zaloguj się do https://admin.webex.com, a następnie wybierz opcję Usługi.
2	W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.
3	W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną. Stan usługi zmienia się w tryb próbny.
4	Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług. (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, `HdsTrialGroup`.)

Przetestuj wdrożenie hybrydowego zabezpieczenia danych

Użyj tej procedury, aby przetestować scenariusze szyfrowania hybrydowych zabezpieczeń danych.

Przed rozpoczęciem

Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.
Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.

1

Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.

Jeśli dezaktywujesz wdrożenie hybrydowego zabezpieczenia danych, zawartość w obszarach tworzonych przez użytkowników pilotażowych nie jest już dostępna po wymianie kopii kluczy szyfrowania w pamięci podręcznej klienta.

2

Wysyłaj wiadomości do nowego obszaru.

3

Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych.

Aby sprawdzić, czy użytkownik najpierw ustanawia bezpieczny kanał w systemie KMS, filtruj go kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

Należy znaleźć wpis taki jak następujący (identyfikatory skrócone dla czytelności):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Aby sprawdzić, czy użytkownik żądający istniejącego klucza z KMS, filtruj na kms.data.method=retrieve i kms.data.type=KEY:

Należy znaleźć wpis taki jak:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Aby sprawdzić, czy użytkownik wnioskuje o utworzenie nowego klucza KMS, filtruj kms.data.method=create i kms.data.type=KEY_COLLECTION:

Należy znaleźć wpis taki jak:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Aby sprawdzić, czy użytkownik prosi o utworzenie nowego obiektu zasobów KMS (KRO) podczas tworzenia obszaru lub innego chronionego zasobu, filtruj kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

Należy znaleźć wpis taki jak:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorowanie stanu hybrydowego bezpieczeństwa danych

Wskaźnik stanu w Control Hub pokazuje, czy wszystko jest dobrze we wdrożeniu hybrydowego zabezpieczenia danych. Aby uzyskać bardziej proaktywne alerty, zapisz się do powiadomień e-mail. Otrzymasz powiadomienie o alarmach lub aktualizacjach oprogramowania mających wpływ na usługę.

1	W Control Hub wybierz Usługi z menu po lewej stronie ekranu.
2	W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij Ustawienia. Zostanie wyświetlona strona Ustawienia zabezpieczeń danych hybrydowych.
3	W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij przycisk Enter.

Dodawanie lub usuwanie użytkowników z wersji próbnej

Po aktywacji wersji próbnej i dodaniu początkowego zestawu użytkowników wersji próbnej można dodać lub usunąć członków wersji próbnej w dowolnym momencie, gdy wersja próbna jest aktywna.

Jeśli usuniesz użytkownika z wersji próbnej, klient poprosi go o utworzenie kluczy i klawiszy z chmury KMS zamiast Twojego KMS. Jeśli klient potrzebuje klucza przechowywanego w KMS, Cloud KMS pobierze go w imieniu użytkownika.

Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory (zamiast tej procedury) do zarządzania grupą próbną, HdsTrialGroup; można wyświetlać członków grupy w Control Hub, ale nie można ich dodawać ani usuwać.

1	Zaloguj się do Control Hub, a następnie wybierz Usługi.
2	W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.
3	W sekcji Tryby wersji próbnej w obszarze Stan usługi kliknij przycisk Dodaj użytkowników lub kliknij widok i edytuj , aby usunąć użytkowników z wersji próbnej.
4	Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania lub kliknij przycisk X identyfikatorem użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij Zapisz .

Przeniesienie z wersji próbnej do produkcji

Gdy jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych, możesz przejść do produkcji. Po przeniesieniu do produkcji wszyscy użytkownicy w organizacji będą korzystać z lokalnej domeny hybrydowego zabezpieczenia danych w celu szyfrowania kluczy i innych usług w dziedzinie zabezpieczeń. Nie można wrócić do trybu próbnego z produkcji, chyba że dezaktywujesz usługę w ramach odzyskiwania awaryjnego. Reaktywacja usługi wymaga skonfigurowania nowej wersji próbnej.

1	Zaloguj się do Control Hub, a następnie wybierz Usługi.
2	W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.
3	W sekcji Stan usługi kliknij opcję Przenieś do produkcji.
4	Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji.

Zakończ wersję próbną bez przejścia do produkcji

Jeśli podczas okresu próbnego zdecydujesz się nie kontynuować wdrażania hybrydowego zabezpieczenia danych, możesz dezaktywować hybrydowe zabezpieczenia danych, które kończą okres próbny i przenoszą użytkowników wersji próbnej z powrotem do usług zabezpieczeń danych w chmurze. Użytkownicy próbni stracą dostęp do danych zaszyfrowanych podczas badania.

1	Zaloguj się do Control Hub, a następnie wybierz Usługi.
2	W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.
3	W sekcji Dezaktywuj kliknij przycisk Dezaktywuj.
4	Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny.

Zarządzanie wdrożeniem HDS

Użyj opisanych tutaj zadań do zarządzania wdrożeniem hybrydowego zabezpieczenia danych.

Ustaw harmonogram uaktualniania klastra

Aktualizacje oprogramowania Hybrid Data Security są wykonywane automatycznie na poziomie klastra, co zapewnia, że wszystkie węzły zawsze korzystają z tej samej wersji oprogramowania. Uaktualnienia są wykonywane zgodnie z harmonogramem uaktualniania klastra. Po udostępnieniu uaktualnienia oprogramowania można ręcznie uaktualnić klaster przed zaplanowaną godziną uaktualnienia. Można ustawić określony harmonogram uaktualniania lub użyć domyślnego harmonogramu 3:00 rano Daily Stany Zjednoczone: Ameryka/Los Angeles. W razie potrzeby można również odłożyć nadchodzące uaktualnienie.

Aby ustawić harmonogram uaktualniania:

1	Zaloguj się do Centrum sterowania .
2	Na stronie Przegląd w obszarze Usługi hybrydowe wybierz opcję Hybrid Data Security.
3	Na stronie Zasoby zabezpieczeń danych hybrydowych wybierz klaster.
4	W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra.
5	Na stronie Ustawienia w obszarze Uaktualnianie wybierz godzinę i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest następna dostępna data i godzina aktualizacji. W razie potrzeby można odroczyć uaktualnienie do następnego dnia, klikając opcję Odłóż.

Zmień konfigurację węzła

Czasami może zajść potrzeba zmiany konfiguracji węzła hybrydowego zabezpieczenia danych z następujących powodów:

Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.

Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do zarejestrowania klastra.

Aktualizowanie ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.

Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.

Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.

Ponadto, ze względów bezpieczeństwa, Hybrid Data Security używa haseł do kont usługi o dziewięciomiesięcznym okresie ważności. Gdy narzędzie konfiguracji HDS wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO . Gdy hasła organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex , aby zresetować hasło do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj API konta komputera, aby zaktualizować hasło”). Jeśli hasła jeszcze nie wygasły, narzędzie udostępnia dwie opcje:

Miękki reset — Stare i nowe hasło działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
Twardy reset — Stare hasła natychmiast przestają działać.

Jeśli hasła wygasną bez zresetowania, będzie to miało wpływ na usługę HDS i wymaga natychmiastowego twardego resetu i zastąpienia pliku ISO we wszystkich węzłach.

Ta procedura służy do generowania nowego konfiguracyjnego pliku ISO i zastosowania go do klastra.

Przed rozpoczęciem

Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas przywoływania kontenera Docker w 1.e. W tej tabeli podano kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO . ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.

1

Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie konfiguracji HDS.

W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

W zwykłych środowiskach:

docker rmi ciscocitg/hds-setup:stable

W środowiskach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:
```
docker login -u hdscustomersro
```
Po wyświetleniu monitu o hasło wprowadź ten skrót:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Pobierz najnowszy stabilny obraz dla swojego środowiska:

W zwykłych środowiskach:

docker pull ciscocitg/hds-setup:stable

W środowiskach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Upewnij się, że pobierasz najnowsze narzędzie instalacyjne dla tej procedury. Wersje narzędzia utworzone przed 22 lutego 2018 r. nie mają ekranów resetowania hasła.

Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:

W zwykłych środowiskach bez serwera proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

W zwykłych środowiskach z serwerem proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

W normalnych środowiskach z serwerem HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

W środowiskach FedRAMP bez serwera proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z serwerem proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z serwerem proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

Użyj przeglądarki, aby połączyć się z hostem lokalnym, http://127.0.0.1:8080.

Narzędzie Konfiguracja nie obsługuje łączenia się z localhost za pośrednictwem http://localhost:8080. Użyj http://127.0.0.1:8080, aby połączyć się z hostem lokalizacji.

Po wyświetleniu monitu wprowadź poświadczenia logowania klienta Control Hub, a następnie kliknij Zaakceptuj aby kontynuować.
Zaimportuj bieżący plik konfiguracyjny ISO .
Postępuj zgodnie z instrukcjami, aby ukończyć działanie narzędzia i pobrać zaktualizowany plik.

Aby zamknąć narzędzie Setup, wpisz: CTRL+C.
Utwórz kopię zapasową zaktualizowanego pliku w innym centrum danych.

2

Jeśli uruchomiony jest tylko jeden węzeł HDS , utwórz nową maszynę VM węzła Hybrid Data Security i zarejestruj ją przy użyciu nowego konfiguracyjnego pliku ISO . Aby uzyskać bardziej szczegółowe instrukcje, zobacz temat Tworzenie i rejestrowanie większej liczby węzłów.

Zainstaluj narzędzie OVA hosta HDS.
Skonfiguruj maszynę VM HDS .
Podłącz zaktualizowany plik konfiguracyjny.
Zarejestruj nowy węzeł w Control Hub.

3

W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO . Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła:

Wyłącz maszynę wirtualną.
W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy VM i kliknij Edytuj ustawienia .
Kliknij CD/DVD Drive 1, wybierz opcję podłączenia z pliku ISO i przejdź do lokalizacji, do której pobrano nowy konfiguracyjny plik ISO .
Sprawdź Połącz po włączeniu .
Zapisz zmiany i włącz maszynę wirtualną.

4

Powtórz krok 3, aby zastąpić konfigurację w każdym pozostałym węźle, na którym działa stara konfiguracja.

Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS

Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznawać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb Zablokowanej zewnętrznej rozdzielczości DNS.

Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, uruchamiając ponownie test połączenia serwera proxy w każdym węźle.

Przed rozpoczęciem

Upewnij się, że wewnętrzne serwery DNS mogą rozpoznawać publiczne nazwy DNS oraz że węzły mogą się z nimi komunikować.

1	W przeglądarce internetowej otwórz interfejs węzła hybrydowego zabezpieczenia danych (adres IP/konfiguracja, na przykład https://192.0.2.0/setup), wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się.
2	Przejdź do Przegląd (strona domyślna). Po włączeniu Rozpoznawanie zablokowanego zewnętrznego DNS jest ustawiony na Tak .
3	Przejdź do strony Trust Store & Proxy.
4	Kliknij przycisk Sprawdź połączenie z serwerem proxy. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS i pozostanie w tym trybie. W przeciwnym razie po ponownym uruchomieniu węzła i powrocie na stronę Przegląd zablokowana zewnętrzna rozdzielczość DNS powinna być ustawiona na nr.

Co zrobić dalej

Powtórz test połączenia z serwerem proxy dla każdego węzła w klastrze hybrydowego zabezpieczenia danych.

Usuń węzeł

Użyj tej procedury, aby usunąć węzeł hybrydowego zabezpieczenia danych z chmury Webex. Po usunięciu węzła z klastra usuń maszynę wirtualną, aby zapobiec dalszemu dostępowi do danych zabezpieczeń.

1

Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi i wyłączyć maszynę wirtualną.

2

Usuń węzeł:

Zaloguj się do Control Hub, a następnie wybierz Usługi.
Na karcie hybrydowe zabezpieczenia danych kliknij przycisk Wyświetl wszystkie , aby wyświetlić stronę zasobów hybrydowych zabezpieczeń danych.
Wybierz klaster, aby wyświetlić jego panel Przegląd.
Kliknij listę Otwórz węzły.
Na karcie Węzły wybierz węzeł, który chcesz usunąć.
Kliknij przycisk Akcje > węzeł Deregister.

3

W kliencie vSphere usuń maszynę wirtualną (w lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij polecenie Usuń).

Jeśli nie usuniesz VM, pamiętaj o usunięciu pliku ISO konfiguracji. Bez pliku ISO nie można użyć maszyny wirtualnej, aby uzyskać dostęp do danych bezpieczeństwa.

Odzyskiwanie po awarii za pomocą Standby Data Center

Najbardziej krytyczną usługą oferowaną przez klaster Hybrid Data Security jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji przypisanego do hybrydowego zabezpieczenia danych nowe żądania tworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za przywrócenie kluczy, które został utworzony do wszystkich użytkowników upoważnionych do ich odzyskania, na przykład członków obszaru konwersacji.

Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby utrzymywały się odpowiednie kopie zapasowe. Utrata bazy danych hybrydowych zabezpieczeń danych lub układu ISO konfiguracji stosowanego dla schematu spowoduje NIEZBĘDNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, konieczne są następujące praktyki:

Jeśli awaria spowoduje, że wdrożenie HDS w głównym centrum danych stanie się niedostępne, postępuj zgodnie z tą procedurą, aby ręcznie przełączyć się na standby centrum danych.

1

Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.

2

Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane

3

Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń passiveMode konfiguracja, aby węzeł był aktywny. Węzeł może obsługiwać ruch po skonfigurowaniu.


passiveMode: 'false'

4

Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia.

5

Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

6

W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia..

7

Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.

Upewnij się, że Connected and Connect at power on (Podłączono) są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły wejść w życie po uruchomieniu węzłów.

8

Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.

9

Powtórz proces dla każdego węzła w centrum danych standby.

Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy węzły centrum danych standby nie są w trybie pasywnym. „KMS skonfigurowany w trybie pasywnym” nie powinien być wyświetlany w dziennikach syslog.

Co zrobić dalej

Po przełączeniu awaryjnym, jeśli główne centrum danych stanie się ponownie aktywne, ponownie umieść centrum danych standby w trybie pasywnym, wykonując czynności opisane w Ustawieniu Standby Data Center dla odzyskiwania awarii.

(Opcjonalnie) Odmontować ISO Po Konfiguracji HDS

Standardowa konfiguracja HDS działa z zamontowanym ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale zamontowanych. Plik ISO można odmontować po odebraniu nowej konfiguracji przez wszystkie węzły HDS.

Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego ISO lub aktualizacji ISO za pomocą narzędzia konfiguracyjnego należy zamontować zaktualizowany ISO na wszystkich węzłach HDS. Po odebraniu zmian konfiguracji przez wszystkie węzły można ponownie rozmontować ISO za pomocą tej procedury.

Przed rozpoczęciem

Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.

1	Zamknij jeden z węzłów HDS.
2	W urządzeniu VCenter Server Appliance wybierz węzeł HDS.
3	Wybierz Edytuj ustawienia > Napęd CD/DVD i usuń zaznaczenie pliku Datastore ISO.
4	Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut.
5	Powtórz kolejno dla każdego węzła HDS.

Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych

Wyświetlanie alertów i rozwiązywania problemów

Wdrożenie hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że wymaga przekroczenia czasu. Jeśli użytkownicy nie mogą skontaktować się z klastrem hybrydowego zabezpieczenia danych, mogą wystąpić następujące objawy:

Nie można utworzyć nowych obszarów (nie można utworzyć nowych kluczy)
Wiadomości i tytuły przestrzeni nie można odszyfrować dla:
- Dodano nowych użytkowników do obszaru (nie można pobrać kluczy)
- Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze będą z powodzeniem działać tak długo, jak ich klienci będą mieli pamięć podręczną kluczy szyfrowania

Ważne jest, aby odpowiednio monitorować klaster hybrydowego zabezpieczenia danych i szybko zwracać się do wszystkich alertów, aby uniknąć zakłóceń w obsłudze.

Alerty

Jeśli występuje problem z konfiguracją hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.

Tabela 1. Wspólne problemy i kroki mające na celu ich rozwiązanie
Alert	Czynność
Niepowodzenie dostępu do lokalnej bazy danych.	Sprawdź, czy występują błędy w bazie danych lub problemy z siecią lokalną.
Niepowodzenie połączenia z lokalną bazą danych.	Sprawdź, czy serwer bazy danych jest dostępny, a w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi.
Niepowodzenie dostępu do usługi w chmurze.	Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z wymaganiami Zewnętrznej łączności.
Odnowienie rejestracji usług w chmurze.	Zrezygnowano z rejestracji na usługi w chmurze. Trwa przedłużenie rejestracji.
Rejestracja usług w chmurze została odrzucona.	Rejestracja na usługi w chmurze została zakończona. Usługa jest wyłączona.
Usługa jeszcze nie została aktywowana.	Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do produkcji.
Skonfigurowana domena nie odpowiada certyfikatowi serwera.	Upewnij się, że certyfikat serwera jest zgodny z skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że certyfikat CN został ostatnio zmieniony i jest teraz inny niż CN, który był używany podczas początkowej konfiguracji.
Nie można uwierzytelnić usług w chmurze.	Kontrola poprawności i ewentualnego wygaśnięcia poświadczeń konta usługi.
Nie można otworzyć lokalnego pliku keystore.	Sprawdź integralność i dokładność hasła w lokalnym pliku keystore.
Certyfikat lokalnego serwera jest nieprawidłowy.	Sprawdź datę ważności certyfikatu serwera i potwierdź, że został on wydany przez zaufany urząd certyfikacji.
Nie można publikować metryk.	Sprawdź dostęp sieci lokalnej do zewnętrznych usług w chmurze.
/media/configdrive/hds katalog nie istnieje.	Sprawdź konfigurację montażu ISO na wirtualnym hostze. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu na ponownym uruchomieniu i czy został pomyślnie zainstalowany.

Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych

Podczas rozwiązywania problemów z hybrydowymi zabezpieczeniami danych należy stosować następujące ogólne wytyczne.

1	Przejrzyj Control Hub dla wszystkich alertów i naprawić wszystkie znalezione tam elementy.
2	Przejrzyj wyjście serwera dziennika systemowego pod kątem aktywności z wdrożenia hybrydowego zabezpieczenia danych.
3	Skontaktuj się z pomocą techniczną Cisco.

Inne uwagi

Znane problemy dotyczące hybrydowych zabezpieczeń danych

Jeśli zamkniesz klaster hybrydowego zabezpieczenia danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych keystore, użytkownicy aplikacji Webex nie będą mogli już korzystać ze spacji na liście Osoby utworzonej za pomocą kluczy z KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia ani rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłudze aktywnych kont użytkowników.
Klient z istniejącym połączeniem ECDH z KMS utrzymuje to połączenie przez pewien czas (prawdopodobnie godzinę). Gdy użytkownik staje się członkiem próby hybrydowego zabezpieczenia danych, klient użytkownika nadal korzysta z istniejącego połączenia ECDH do czasu jego wyłączenia. Alternatywnie, użytkownik może wylogować się i wrócić do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w przypadku kluczy szyfrowania.

To samo zachowanie występuje podczas przenoszenia próby do produkcji dla organizacji. Wszyscy użytkownicy spoza wersji próbnej posiadający istniejące połączenia ECDH z poprzednimi służbami bezpieczeństwa danych będą nadal korzystać z tych usług do czasu renegocjacji połączenia ECDH (poprzez limit czasu lub poprzez wylogowanie i powrót).

Użyj protokołu OpenSSL, aby wygenerować plik PKCS12

Przed rozpoczęciem

OpenSSL jest jednym z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do ładowania w narzędziu konfiguracji HDS. Istnieją inne sposoby, aby to zrobić, i nie popieramy ani nie promujemy jednej drogi nad drugą.
Jeśli zdecydujesz się korzystać z OpenSSL, zapewniamy tę procedurę jako wytyczną, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatów X.509. Zrozum te wymagania, zanim przejdziesz dalej.
Zainstaluj OpenSSL w obsługiwanym środowisku. Patrz https://www.openssl.org oprogramowanie i dokumentacja.
Utwórz klucz prywatny.
Procedurę tę należy rozpocząć po otrzymaniu certyfikatu serwera od urzędu certyfikacji.

1	Po otrzymaniu certyfikatu serwera z urzędu certyfikacji zapisz go jako `hdsnode.pem`.
2	Wyświetl certyfikat jako tekst i zweryfikuj szczegóły. `openssl x509 -text -noout -in hdsnode.pem`
3	Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie `hdsnode-bundle.pem`. Plik pakietu musi zawierać certyfikat serwera, wszystkie pośrednie certyfikaty urzędu certyfikacji oraz podstawowe certyfikaty urzędu certyfikacji w formacie poniżej: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Utwórz plik .p12 o przyjaznej nazwie `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Sprawdź szczegóły certyfikatu serwera. `openssl pkcs12 -in hdsnode.p12` Wprowadź hasło po wyświetleniu monitu, aby zaszyfrować klucz prywatny w taki sposób, aby był wyświetlany na wyjściu. Następnie sprawdź, czy klucz prywatny i pierwszy certyfikat zawierają linie `friendlyName: kms-private-key`. Przykład: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Co zrobić dalej

Powróć, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych. Korzystasz z hdsnode.p12 plik i ustawione dla niego hasło w Utwórz ISO konfiguracji dla prowadzących HDS.

Możesz ponownie użyć tych plików, aby poprosić o nowy certyfikat po wygaśnięciu oryginalnego certyfikatu.

Ruch między węzłami HDS a chmurą

Ruch zbierania metryk wychodzących

Węzły hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dla maks. stosu, stosowanego stosu, obciążenia procesora i liczenia wątków; metryki na wątkach synchronicznych i asynchronicznych; metryki na alertach obejmujące próg połączeń szyfrowania, opóźnienie lub długość kolejki żądań; metryki na zbiorniku danych; oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał poza pasmem (oddzielony od żądania).

Ruch przychodzący

Węzły hybrydowego zabezpieczenia danych otrzymują następujące typy ruchu przychodzącego z chmury Webex:

Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania
Aktualizacja do oprogramowania węzła

Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych

Websocket Nie Można Połączyć Za Pomocą Proxy Squid

Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS, mogą ingerować w tworzenie websocket ( wss:) połączenia, których wymaga Hybrid Data Security. Sekcje te zawierają wskazówki dotyczące konfigurowania różnych wersji Squid do ignorowania wss: ruch w celu prawidłowego funkcjonowania usług.

Squid 4 i 5

Dodaj on_unsupported_protocol dyrektywa do squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

Z powodzeniem przetestowaliśmy hybrydowe zabezpieczenia danych, dodając następujące zasady squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizacji chmury Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Przedmowa

Nowe i zmienione informacje

Data

Zmiany

20 października 2023 r.

Zaktualizowane informacje w wymaganiach serwera bazy danych.
Dodano konfigurację Centrum danych w trybie gotowości do odzyskiwania awarii.
Zaktualizowane informacje w Standby Data Center for Disaster Recovery and Disaster Recovery using Standby Data Center.

07 sierpnia 2023 r.

Dodano notatkę w sekcji Pobierz pliki instalacyjne.
Dodano notatkę w Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła.

23 maja 2023 r.

Usunięto informacje z wymagań serwera bazy danych , żądając włączenia funkcji przez skontaktowanie się z zespołem kont.
Zaktualizowano informacje dotyczące zewnętrznych wymagań dotyczących łączności i dodano Kanadę do tabeli hostów CI.
Dodano uwagę w oczekiwaniach dotyczących wdrażania hybrydowego zabezpieczenia danych w odniesieniu do niedostępności mechanizmów przenoszenia kluczy z powrotem do chmury.

06 grudnia 2022 r.

Obrazy narzędzia konfiguracji HDS są teraz hostowane w ciscocitg repozytorium dockerhub.
Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień tematy konfiguracji węzła , aby przywrócić zmiany w poleceniach.

23 listopada 2022 r.

Węzły HDS mogą teraz używać uwierzytelniania systemu Windows w usłudze Microsoft SQL Server.

Zaktualizowano temat wymagań serwera bazy danych z dodatkowymi wymaganiami dla tego trybu uwierzytelniania.

Zaktualizowano Utwórz ISO konfiguracji hostów HDS z procedurą konfigurowania uwierzytelniania systemu Windows w węzłach.
Zaktualizowano temat wymagań serwera bazy danych o nowe minimalne wymagane wersje (PostgreSQL 10).

13 października 2021 r.

Docker Desktop musi uruchomić program konfiguracji przed zainstalowaniem węzłów HDS. Zobacz Wymagania Dotyczące Pulpitu Docker.

24 czerwca 2021 r.

Pamiętaj, że możesz ponownie użyć pliku klucza prywatnego i CSR, aby poprosić o inny certyfikat. Aby uzyskać szczegółowe informacje, zobacz Użyj OpenSSL, aby wygenerować plik PKCS12.

30 kwietnia 2021 r.

Zmieniono wymaganie VM dla lokalnego miejsca na dysku twardym na 30 GB. Szczegółowe informacje można znaleźć w sekcji Wymagania wirtualnego prowadzącego.

24 lutego 2021 r.

Narzędzie konfiguracji usługi HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie ISO konfiguracji hostów HDS.

2 lutego 2021 r.

HDS może teraz działać bez zamontowanego pliku ISO. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.

11 stycznia 2021 r.

Dodano informacje o narzędziu do konfiguracji HDS i pełnomocnikach, aby utworzyć ISO konfiguracji dla prowadzących HDS.

13 października 2020 r.

Zaktualizowano Pobierz pliki instalacyjne.

8 października 2020 r.

Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP.

14 sierpnia 2020 r.

Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła ze zmianami w procesie logowania.

5 sierpnia 2020 r.

Zaktualizowano testowanie wdrażania hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika.

Zaktualizowano wymagania hosta wirtualnego , aby usunąć maksymalną liczbę hostów.

16 czerwca 2020 r.

Zaktualizowano Usuwanie węzła pod kątem zmian w interfejsie interfejsu Control Hub.

4 czerwca 2020 r.

Zaktualizowano Tworzenie ISO konfiguracji dla hostów HDS w celu wprowadzenia zmian w ustawieniach zaawansowanych, które można ustawić.

29 maja 2020 r.

Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami interfejsu użytkownika i innymi wyjaśnieniami.

5 maja 2020 r.

Zaktualizowano wymagania hosta wirtualnego , aby pokazać nowe wymagania ESXi 6.5.

21 kwietnia 2020 r.

Zaktualizowane wymagania dotyczące łączności zewnętrznej z nowymi hostami CI Americas.

1 kwietnia 2020 r.

Zaktualizowane wymagania dotyczące łączności zewnętrznej z informacjami na temat regionalnych prowadzących CI.

20 lutego 2020 r. Zaktualizowano Utwórz ISO konfiguracji hostów HDS z informacjami na nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu do konfiguracji HDS.

4 lutego 2020 r. Zaktualizowano wymagania serwera proxy.

16 grudnia 2019 r. Wyjaśnione wymagania dotyczące zablokowanego zewnętrznego trybu rozdzielczości DNS do pracy w wymaganiach serwera proxy.

19 listopada 2019 r.

Dodano informacje o zablokowanym zewnętrznym trybie rozpoznawania DNS w następujących sekcjach:

Wsparcie proxy
Konfigurowanie węzła HDS dla integracji serwera proxy
Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS

8 listopada 2019 r.

Teraz można skonfigurować ustawienia sieciowe węzła podczas wdrażania OVA, a nie później.

Zaktualizowano odpowiednio następujące sekcje:

Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych
Instalowanie OVA hosta HDS
Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych

Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

6 września 2019 r.

Dodano SQL Server Standard do wymagań serwera bazy danych.

29 sierpnia 2019 r. Dodano Configure Squid Proxies for Hybrid Data Security appendix z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu zignorowania ruchu websocket w celu prawidłowej obsługi.

20 sierpnia 2019 r.

Dodano i zaktualizowano sekcje, aby objąć obsługę proxy komunikacji węzła hybrydowego bezpieczeństwa danych z chmurą Webex.

Wsparcie proxy
Wymagania serwera proxy
Konfigurowanie węzła HDS dla integracji serwera proxy

Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł pomocy Proxy Support for Hybrid Data Security i Webex Video Mesh .

13 czerwca 2019 r. Zaktualizowano próbny do przepływu zadań produkcyjnych z przypomnieniem o synchronizacji HdsTrialGroup obiekt grupowy przed rozpoczęciem próby, jeśli Twoja organizacja korzysta z synchronizacji katalogu.

6 marca 2019 r.

Przeniesione wymagania i wymagania wstępne do oddzielnego rozdziału, Przygotuj Swoje Środowisko.
Dodano przegląd przepływu zadań wdrażania zabezpieczeń danych hybrydowych w rozdziale Skonfiguruj klaster zabezpieczeń danych hybrydowych.

Zauważono, że do momentu rozpoczęcia próby (przy użyciu instrukcji w następnym rozdziale) węzły generują alarm wskazujący, że usługa nie jest jeszcze aktywowana.
Dodano Test do przepływu zadań produkcyjnych w rozdziale Uruchom wersję próbną i przejdź do produkcji.

28 lutego 2019 r.

Skorygowano ilość lokalnego miejsca na dysku twardym na serwer, którą należy odłożyć podczas przygotowywania wirtualnych hostów, które stają się węzłami hybrydowego zabezpieczenia danych, z 50 GB do 20 GB, aby odzwierciedlić rozmiar dysku, który tworzy OVA.

26 lutego 2019 r.

Węzły hybrydowego zabezpieczenia danych obsługują teraz szyfrowane połączenia z serwerami bazy danych PostgreSQL i szyfrowane połączenia rejestrowania z serwerem dziennika systemowego obsługującym protokół TLS. Zaktualizowano Tworzenie ISO konfiguracji dla prowadzących HDS z instrukcjami.
Usunięto adresy URL docelowe z tabeli „Wymagania dotyczące łączności internetowej dla hybrydowych węzłów bezpieczeństwa danych”. Tabela odnosi się teraz do listy utrzymywanej w tabeli „Dodatkowe adresy URL usług hybrydowych Webex Teams” dotyczącej wymagań sieciowych dla usług Webex Teams.

24 stycznia 2019 r.

Hybrid Data Security obsługuje teraz Microsoft SQL Server jako bazę danych. Serwer SQL Always On (Klastry Always On Failover i grupy Always On Availability) jest obsługiwany przez sterowniki JDBC używane w hybrydowych zabezpieczeniach danych. Dodano zawartość związaną z wdrożeniem z programem SQL Server.

Obsługa rozwiązania Microsoft SQL Server jest przeznaczona tylko dla nowych wdrożeń hybrydowych zabezpieczeń danych. Obecnie nie obsługujemy migracji danych z serwera PostgreSQL na serwer Microsoft SQL Server w istniejącym wdrożeniu.

5 listopada 2018 r.

Dodano wstępny krok w celu wyczyszczenia wszystkich istniejących wystąpień dokera w Utwórz ISO konfiguracji dla prowadzących HDS i Zmień konfigurację węzła.
Zaktualizowano kluczowy krok poziomu dostępu w Utwórz ISO konfiguracji hostów HDS w celu dopasowania do interfejsu.

19 października 2018 r.

Podziel informacje o połączeniu zapory na wymagania węzłów i wymagania maszyny konfiguracyjnej ISO w Zakończ wymagania wstępne dotyczące hybrydowego zabezpieczenia danych.

31 lipca 2018 r.

Dodano port 22 (dostęp SSH) oraz informacje o połączeniach NAT i zapory, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych.

21 maja 2018 r.

Zmieniona terminologia odzwierciedlająca zmianę marki Cisco Spark:

Cisco Spark Hybrid Data Security jest teraz Hybrid Data Security.
Aplikacja Cisco Spark jest teraz aplikacją Webex.
Cisco Collaboraton Cloud jest teraz chmurą Webex.

11 kwietnia 2018 r.

Dodano Standby Data Center for Disaster Recovery (Centrum danych w trybie gotowości do przywracania po awarii).
Zaktualizowano Uzupełnij wymagania wstępne dla hybrydowego zabezpieczenia danych , aby określić, że środowisko tworzenia kopii zapasowych powinno znajdować się w innym centrum danych.
Zaktualizowano przywracanie po awarii za pomocą Standby Data Center.

22 lutego 2018 r.

Dodano informacje o 9-miesięcznej długości życia konta usługi i użyciu narzędzia do konfiguracji HDS do zresetowania haseł konta usługi, w Utwórz ISO konfiguracji dla prowadzących HDS i Zmień konfigurację węzła.

Luty 15, 2018

W tabeli Wymagania dotyczące certyfikatów X.509 określono, że certyfikat nie może być certyfikatem z wieloznacznymi kartami i że KMS używa domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3.

Styczeń 18, 2018

Dodano załącznik, Ruch między węzłami HDS a chmurą.
Usunięto rozwiązany problem ze znanymi problemami dotyczącymi hybrydowego bezpieczeństwa danych.
Zmieniono index.docker.io na *.docker.io i dodano *.cloudfront.net do listy wymagań łączności TCP dla węzłów HDS w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych.
Zaktualizowano Utwórz ISO konfiguracji hostów HDS w celu wskazania, że jeśli host bazy danych i serwer Syslogd nie są rozwiązywalne dla DNS z węzłów HDS, należy je skonfigurować za pomocą adresów IP.

2 listopada 2017 r.

Skrócona synchronizacja katalogu grupy HdsTrialGroup.
Stałe instrukcje dotyczące przesyłania pliku konfiguracyjnego ISO w celu montażu w węzłach VM.

18 sierpnia 2017 r.

Pierwsza publikacja

Rozpocznij pracę z Hybrid Data Security

Przegląd zabezpieczeń danych hybrydowych

Od pierwszego dnia bezpieczeństwo danych było głównym celem projektowania aplikacji Webex. Podstawą tych zabezpieczeń jest kompleksowe szyfrowanie zawartości, włączane przez klientów aplikacji Webex , którzy wchodzą w interakcję z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.

Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS w obszarze bezpieczeństwa firmy Cisco. Hybrid Data Security przenosi usługę KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie ma kluczy do zaszyfrowanej zawartości.

Architektura domeny zabezpieczeń

Architektura chmury Webex oddziela różne rodzaje usług od osobnych domen lub domen zaufania, jak przedstawiono poniżej.

Aby lepiej zrozumieć hybrydowe zabezpieczenia danych, spójrzmy najpierw na ten przypadek czystej chmury, w którym firma Cisco zapewnia wszystkie funkcje w swoich domenach w chmurze. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od domeny bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od domeny, w której ostatecznie przechowywana jest zaszyfrowana zawartość, w centrum danych C.

Na tym schemacie klient to aplikacja Webex działająca na laptopie użytkownika i uwierzytelniona za pomocą usługi tożsamości. Gdy użytkownik komponuje wiadomość do wysłania do obszaru, wykonywane są następujące czynności:

Klient ustanawia bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie prosi o klucz do szyfrowania wiadomości. Bezpieczne połączenie korzysta z ECDH, a KMS szyfruje klucz przy użyciu klucza głównego AES-256.
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła go do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniach zawartości.
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w domenie przechowywania.

Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze, które składają się na usługę Webex (w tym pamięć masowa tożsamości i zawartości), pozostają w domenach Cisco.

Współpraca z innymi organizacjami

Użytkownicy w organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników prosi o klucz do obszaru należącego do organizacji (ponieważ został on utworzony przez jednego z użytkowników), KMS wysyła klucz do klienta za pośrednictwem kanału zabezpieczonego ECDH. Jednak gdy inna organizacja jest właścicielem klucza dla obszaru, system KMS kieruje żądanie do chmury Webex przez osobny kanał ECDH, aby uzyskać klucz z odpowiedniego systemu KMS, a następnie zwraca go do użytkownika na oryginalnym kanale.

Usługa KMS działająca na Org A weryfikuje połączenia z KMSs w innych organizacjach za pomocą certyfikatów PKI x.509. Aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użytku z wdrożeniem hybrydowego zabezpieczenia danych, zobacz Prepare Your Environment (Przygotowanie środowiska).

Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych

Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klienta i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.

Aby wdrożyć hybrydowe zabezpieczenia danych, należy zapewnić:

Bezpieczne centrum danych w kraju, który jest obsługiwaną lokalizacją dla planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w punkcie Przygotowanie środowiska.

Kompletna utrata konfiguracji ISO utworzonej dla hybrydowego zabezpieczenia danych lub dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:

Zarządzanie kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.
Przygotuj się do szybkiego odzyskiwania awaryjnego w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub awaria centrum danych.

Nie ma mechanizmu przenoszenia kluczy z powrotem do chmury po wdrożeniu HDS.

Proces konfiguracji na wysokim poziomie

Niniejszy dokument obejmuje konfigurację i zarządzanie wdrożeniem hybrydowego zabezpieczenia danych:

Skonfiguruj hybrydowe zabezpieczenia danych— obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, testowanie wdrożenia z podzbiorem użytkowników w trybie próbnym oraz, po zakończeniu testów, przejście do produkcji. Spowoduje to konwertowanie całej organizacji do używania klastra Hybrid Data Security dla funkcji zabezpieczeń.
Etapy konfiguracji, prób i produkcji zostały szczegółowo omówione w kolejnych trzech rozdziałach.
Utrzymuj wdrożenie hybrydowego zabezpieczenia danych— chmura Webex automatycznie zapewnia trwające uaktualnienia. Dział IT może zapewnić wsparcie poziomu pierwszego dla tego wdrożenia i zaangażować wsparcie Cisco w razie potrzeby. Możesz korzystać z powiadomień na ekranie i konfigurować alerty oparte na wiadomościach e-mail w Control Hub.
Zrozumienie wspólnych alertów, kroków rozwiązywania problemów i znanych problemów— w przypadku wystąpienia problemów z wdrożeniem lub użyciem hybrydowego zabezpieczenia danych ostatni rozdział niniejszego przewodnika i dodatku do Znanych problemów może pomóc w określeniu i rozwiązaniu problemu.

Hybrydowy model wdrażania zabezpieczeń danych

W centrum danych przedsiębiorstwa wdrażasz hybrydowe zabezpieczenia danych jako jeden klaster węzłów na osobnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych websocketów i bezpiecznego protokołu HTTP.

Podczas procesu instalacji dostarczamy Ci plik OVA do skonfigurowania urządzenia wirtualnego na dostarczonych maszynach wirtualnych. Narzędzie konfiguracyjne HDS służy do tworzenia niestandardowego pliku ISO konfiguracji klastra, który jest montowany w każdym węźle. Klaster Hybrid Data Security korzysta z dostarczonego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu konfiguracji HDS).

Hybrydowy model wdrażania zabezpieczeń danych

Minimalna liczba węzłów w klastrze to dwa. Zalecamy co najmniej trzy, a możesz mieć do pięciu. Posiadanie wielu węzłów zapewnia, że usługa nie zostanie przerwana podczas uaktualniania oprogramowania lub innej czynności konserwacyjnej w węźle. (Chmura Webex aktualizuje tylko jeden węzeł naraz).

Wszystkie węzły w klastrze mają dostęp do tego samego rekordu danych klucza i aktywności dziennika na tym samym serwerze dziennika systemowego. Same węzły są bezpaństwowe i obsługują żądania kluczy w sposób okrągły, zgodnie z zaleceniami chmury.

Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby usunąć pojedynczy węzeł z usługi, można go wyrejestrować, a następnie ponownie wyrejestrować w razie potrzeby.

Obsługujemy tylko jeden klaster na organizację.

Tryb próbny zabezpieczeń danych hybrydowych

Po skonfigurowaniu wdrożenia hybrydowego zabezpieczenia danych spróbuj go najpierw z zestawem użytkowników pilotażowych. W okresie próbnym użytkownicy ci wykorzystują lokalną domenę hybrydowego zabezpieczenia danych do szyfrowania kluczy i innych usług domeny zabezpieczeń. Inni użytkownicy nadal korzystają ze sfery zabezpieczeń w chmurze.

Jeśli zdecydujesz się nie kontynuować wdrażania podczas wersji próbnej i dezaktywować usługi, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi współpracowali, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zostanie wyświetlony komunikat „Nie można odszyfrować tej wiadomości” w aplikacji Webex.

Jeśli jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych i jesteś gotowy do rozszerzenia hybrydowego zabezpieczenia danych na wszystkich użytkowników, przenosisz wdrożenie do produkcji. Użytkownicy pilotażowi nadal mają dostęp do kluczy, które były używane podczas próby. Nie można jednak poruszać się w tę i z powrotem między trybem produkcji a oryginalnym testem. Jeśli musisz dezaktywować usługę, na przykład w celu przeprowadzenia odzyskiwania po awarii, po ponownej aktywacji musisz rozpocząć nową wersję próbną i skonfigurować zestaw użytkowników pilotażowych dla nowej wersji próbnej przed powrotem do trybu produkcji. To, czy użytkownicy zachowują w tym momencie dostęp do danych, zależy od tego, czy udało się zachować kopie zapasowe kluczowego magazynu danych i pliku konfiguracyjnego ISO dla węzłów hybrydowych zabezpieczeń danych w klastrze.

Standby Data Center for Disaster Recovery

Podczas wdrażania skonfigurowano bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie anulować wdrożenie do centrum danych w trybie gotowości.

Bazy danych aktywnych i standby centrów danych są ze sobą zsynchronizowane, co zminimalizuje czas potrzebny na wykonanie przełącznika awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają rejestrację węzłów w organizacji, ale nie obsługują ruchu. Stąd węzły standby data center zawsze pozostają aktualne z najnowszą wersją oprogramowania HDS.

Aktywne węzły hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych.

Konfiguracja Standby Data Center do odzyskiwania awarii

Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:

Przed rozpoczęciem

Centrum danych w stanie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych oraz zapasową bazę danych PostgreSQL lub Microsoft SQL Server. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne (zobacz Standby Data Center for Disaster Recovery , aby zapoznać się z tym modelem failover).
Upewnij się, że synchronizacja bazy danych jest włączona między bazą danych aktywnych i pasywnych węzłów klastra.

1

Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.

Plik ISO musi być kopią oryginalnego pliku ISO głównego centrum danych, na którym mają być dokonywane następujące aktualizacje konfiguracji.

2

Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane

3

Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwał żadnego ruchu.


passiveMode: 'true'

4

Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia.

5

Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

6

W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia..

7

Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.

Upewnij się, że Connected and Connect at power on (Podłączono) są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły wejść w życie po uruchomieniu węzłów.

8

Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.

9

Powtórz proces dla każdego węzła w centrum danych standby.

Sprawdź dzienniki syslog, aby sprawdzić, czy węzły są w trybie pasywnym. W dziennikach syslog należy mieć możliwość wyświetlania komunikatu „KMS skonfigurowany w trybie pasywnym”.

Co zrobić dalej

Po skonfigurowaniu passiveMode w pliku ISO i zapisanie go można utworzyć inną kopię pliku ISO bez passiveMode konfigurację i zapisanie w bezpiecznym miejscu. Ta kopia pliku ISO bez passiveMode skonfigurowany może pomóc w szybkim procesie awaryjnym podczas odzyskiwania po awarii. Aby zapoznać się ze szczegółową procedurą przywracania awaryjnego za pomocą Standby Data Center (Centrum danych gotowości).

Wsparcie proxy

Hybrydowe zabezpieczenia danych obsługują jednoznaczne, przejrzyste inspekcje i nieinspekcje serwerów proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby można było zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy można używać w węzłach do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.

Węzły hybrydowego zabezpieczenia danych obsługują następujące opcje serwera proxy:

Brak serwera proxy — ustawienie domyślne, jeśli w celu zintegrowania serwera proxy nie jest używane do konfiguracji węzła HDS Trust Store & Proxy. Nie jest wymagana aktualizacja certyfikatu.
Przejrzysty serwer proxy niekontrolowany — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z serwerem proxy niekontrolowanym. Nie jest wymagana aktualizacja certyfikatu.
Przejrzyste tunelowanie lub sprawdzanie serwera proxy — węzły nie są skonfigurowane do korzystania z określonego adresu serwera proxy. W węzłach nie są konieczne zmiany konfiguracji protokołu HTTP ani protokołu HTTPS. Węzły potrzebują jednak certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).
Wyraźny serwer proxy — w przypadku wyraźnego serwera proxy należy wskazać węzły HDS, których serwer proxy i schemat uwierzytelniania należy używać. Aby skonfigurować wyraźny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
1. Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.
2. Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.
3. Protokół proxy— w zależności od tego, co obsługuje serwer proxy, wybierz między następującymi protokołami:
  - HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
  - HTTPS — udostępnia kanał do serwera. Klient odbiera i weryfikuje certyfikat serwera.
4. Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:
  - Brak — dalsze uwierzytelnianie nie jest wymagane.
    
    Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
  - Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.
    
    Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
  - Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.
    
    Dostępne tylko po wybraniu protokołu HTTPS jako protokołu proxy.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

Przykład węzłów hybrydowych zabezpieczeń danych i serwera proxy

Na tym wykresie przedstawiono przykładowe połączenie między hybrydowym zabezpieczeniem danych, siecią i serwerem proxy. W przypadku opcji przejrzystej inspekcji i jawnej inspekcji serwera proxy HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach hybrydowych zabezpieczeń danych.

Zablokowany zewnętrzny tryb rozpoznawania DNS (wyraźne konfiguracje serwera proxy)

Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. W przypadku wdrożeń z wyraźnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzną rozdzielczość DNS dla klientów wewnętrznych, jeśli węzeł nie może wyszukiwać serwerów DNS, automatycznie przechodzi on w tryb Zablokowanej zewnętrznej rozdzielczości DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.

Przygotuj swoje środowisko

Wymagania dotyczące hybrydowego bezpieczeństwa danych

Wymagania licencyjne Cisco Webex

Aby wdrożyć hybrydowe zabezpieczenia danych:

Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub (patrz https://www.cisco.com/go/pro-pack).

Docker Wymagania pulpitowe

Przed zainstalowaniem węzłów HDS potrzebny jest Docker Desktop do uruchomienia programu konfiguracji. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis w blogu platformy Docker, „ Docker aktualizuje i rozszerza subskrypcje naszych produktów ”.

Wymagania dotyczące certyfikatu X.509

Łańcuch certyfikatów musi spełniać następujące wymagania:

Tabela 1. X.509 Wymagania dotyczące certyfikatów dla wdrażania hybrydowego zabezpieczenia danych
Wymaganie	Szczegóły
Podpisany przez zaufany urząd certyfikacji (CA)	Domyślnie ufamy urzędnikom na liście Mozilla (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs.
Nazwa domeny wspólnej nazwy (CN) identyfikująca wdrożenie hybrydowego zabezpieczenia danych Nie jest certyfikatem wieloznacznych kart	CN nie musi być osiągalne ani hostem na żywo. Zalecamy używanie nazwy odzwierciedlającej np. organizację, `hds.company.com`. CN nie może zawierać * (wildcard). CN służy do weryfikacji węzłów hybrydowych zabezpieczeń danych dla klientów aplikacji Webex. Wszystkie węzły hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. System KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie obsługujemy zmiany nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych.
Podpis inny niż SHA1	Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu weryfikacji połączeń z KMSs innych organizacji.
Formatowany jako plik PKCS #12 chroniony hasłem Użyj przyjaznej nazwy `kms-private-key` aby oznaczyć certyfikat, klucz prywatny i wszelkie certyfikaty pośrednie do przesłania.	Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Po uruchomieniu narzędzia konfiguracji usługi HDS należy wprowadzić hasło.

Oprogramowanie KMS nie wymusza użycia klucza ani nie nakłada dodatkowych ograniczeń w jego używaniu. Niektóre organy certyfikatów wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia użycia kluczy, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.

Wymagania dotyczące wirtualnego prowadzącego

Wirtualne hosty skonfigurowane jako węzły hybrydowego zabezpieczenia danych w klastrze mają następujące wymagania:

Co najmniej dwa osobne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych
Oprogramowanie VMware ESXi 6.5 (lub nowsze) zostało zainstalowane i uruchomione.

Jeśli masz wcześniejszą wersję ESXi, musisz ją uaktualnić.
Minimum 4 procesory vCPUs, 8-GB pamięci głównej, 30-GB lokalnego miejsca na dysk twardy na serwer

Wymagania serwera bazy danych

Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych.

Istnieją dwie opcje dla serwera bazy danych. Wymagania dla każdego z nich są następujące:

Tabela 2. Wymagania serwera bazy danych według typu bazy danych

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 lub 16, zainstalowany i uruchomiony.

Zainstalowano program SQL Server 2016, 2017 lub 2019 (Enterprise lub Standard).

SQL Server 2016 wymaga pakietu usług 2 i zbiorczej aktualizacji 2 lub nowszej.

Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci)

Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:

PostgreSQL

Microsoft SQL Server

Postgres JDBC kierowca 42.2.5

SQL Server JDBC sterownik 4.6

Ta wersja sterownika obsługuje program SQL Server Always On (Always On Failover Cluster Instances oraz Always On availability groups).

Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w usłudze Microsoft SQL Server

Jeśli chcesz, aby węzły HDS używały uwierzytelniania w systemie Windows, aby uzyskać dostęp do bazy danych keystore na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w swoim środowisku:

Węzły HDS, infrastruktura Active Directory i MS SQL Server muszą być synchronizowane z NTP.
Konto systemu Windows dla węzłów HDS musi mieć dostęp do bazy danych do odczytu/zapisu.
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozwiązać klucz centrum dystrybucji (KDC).
Wystąpienie bazy danych HDS można zarejestrować na serwerze Microsoft SQL Server jako główną nazwę usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.

Narzędzie do konfigurowania HDS, uruchamianie HDS i lokalne KMS muszą używać uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych keystore. Używają szczegółów z konfiguracji ISO do budowy SPN podczas żądania dostępu za pomocą uwierzytelniania Kerberos.

Wymagania dotyczące połączeń zewnętrznych

Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:

Aplikacja	Protokół	Port	Polecenie z aplikacji	Miejsce docelowe
Węzły hybrydowego zabezpieczenia danych	TCP	443	Zewnętrzne HTTPS i WSS	Serwery Webex: .wbx2.com .ciscospark.com Wszystkie hosty Common Identity Inne adresy URL wymienione dla hybrydowych zabezpieczeń danych w tabeli Dodatkowe adresy URL dla usług hybrydowych Webex zawierającej wymagania sieciowe dla usług Webex
Narzędzie do konfigurowania HDS	TCP	443	Zewnętrzny protokół HTTPS	*.wbx2.com Wszystkie hosty Common Identity hub.docker.com

Węzły hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub za zaporą, o ile NAT lub zapora zezwala na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują dostępu do węzłów hybrydowych zabezpieczeń danych w portach TCP 443 i 22 do celów administracyjnych.

Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Są to bieżące hosty CI:

Region	Wspólne adresy URL prowadzącego tożsamości
Ameryka	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Unia Europejska	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Wymagania serwera proxy

Oficjalnie obsługujemy następujące rozwiązania proxy, które mogą integrować się z węzłami hybrydowego zabezpieczenia danych.

Przejrzysty serwer proxy — Cisco Web Security Appliance (WSA).

Wyraźny serwer proxy — Squid.

Proxies Squid, które sprawdzają ruch HTTPS może kolidować z ustanowieniem websocket (wss:) połączeń. Aby rozwiązać ten problem, zobacz Configure Squid Proxies for Hybrid Data Security.

Obsługujemy następujące kombinacje typów uwierzytelniania dla serwerów proxy:
- Brak uwierzytelniania przy użyciu protokołu HTTP lub HTTPS
- Uwierzytelnianie podstawowe przy użyciu protokołu HTTP lub HTTPS
- Uwierzytelnianie przy użyciu protokołu HTTPS
W przypadku przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS należy posiadać kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania zawarte w tym przewodniku informują o sposobie przesłania kopii do sklepów zaufania węzłów hybrydowych zabezpieczeń danych.
Sieć hostująca węzły HDS musi być skonfigurowana tak, aby wymuszać wychodzący ruch TCP na porcie 443 na trasę przez serwer proxy.
Serwery proxy, które kontrolują ruch sieciowy, mogą zakłócać połączenia z gniazdem internetowym. Jeśli wystąpi ten problem, omijając (nie kontrolując) ruch do wbx2.com i ciscospark.com rozwiąże problem.

Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych

Użyj tej listy kontrolnej, aby upewnić się, że jesteś gotowy do zainstalowania i skonfigurowania klastra hybrydowego bezpieczeństwa danych.

1

Upewnij się, że Twoja organizacja Webex jest włączona dla pakietu Pro Pack dla Cisco Webex Control Hub i uzyskaj poświadczenia konta z pełnymi prawami administratora organizacji. Aby uzyskać pomoc w tym procesie, skontaktuj się z partnerem firmy Cisco lub menedżerem konta.

2

Wybierz nazwę domeny dla wdrożenia HDS (na przykład hds.company.com) i uzyskać łańcuch certyfikatów zawierający certyfikat X.509, klucz prywatny i wszelkie certyfikaty pośrednie. Łańcuch certyfikatów musi spełniać wymagania określone w X.509 Certificate Requirements.

3

Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły hybrydowego zabezpieczenia danych w klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych, które spełniają wymagania w Wymagania wirtualnego hosta.

4

Przygotuj serwer bazy danych, który będzie działał jako kluczowy magazyn danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być zestawiony w bezpiecznym centrum danych z wirtualnymi hostami.

Utwórz bazę danych do przechowywania kluczy. (Musisz utworzyć tę bazę danych — nie używaj domyślnej bazy danych. Aplikacje HDS, po zainstalowaniu, tworzą schemat bazy danych.)
Zbierz szczegóły używane przez węzły do komunikacji z serwerem bazy danych:
- nazwę prowadzącego lub adres IP (prowadzącego) i port
- nazwa bazy danych (dbname) do przechowywania kluczy
- nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych magazynu kluczy

5

W celu szybkiego odzyskiwania danych po awarii należy skonfigurować środowisko tworzenia kopii zapasowych w innym centrum danych. Środowisko tworzenia kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i zapasowego serwera bazy danych. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne.

6

Skonfiguruj hosta dziennika systemowego, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemowego (domyślnie jest to UDP 514).

7

Utwórz bezpieczne zasady tworzenia kopii zapasowych węzłów hybrydowych zabezpieczeń danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec niemożliwej do odzyskania utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów hybrydowych zabezpieczeń danych.

Ponieważ węzły hybrydowego zabezpieczenia danych przechowują klucze używane do szyfrowania i odszyfrowywania treści, brak utrzymania operacyjnego wdrożenia spowoduje NIEZBĘDNĄ STRATĘ tej zawartości.

Klienci aplikacji Webex przechowują klucze w pamięci podręcznej, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się widoczna. Chociaż tymczasowe przerwy są niemożliwe do zapobieżenia, są one do odzyskania. Jednak całkowita utrata (brak kopii zapasowych) bazy danych lub pliku konfiguracyjnego ISO spowoduje niemożliwy do odzyskania dane klienta. Oczekuje się, że operatorzy węzłów hybrydowego bezpieczeństwa danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowy centrum danych hybrydowego bezpieczeństwa danych w przypadku wystąpienia katastrofalnej awarii.

8

Upewnij się, że konfiguracja zapory umożliwia dostęp do łączności w węzłach hybrydowych zabezpieczeń danych, jak opisano w Zewnętrznych wymogach dotyczących łączności.

9

Zainstaluj Docker ( https://www.docker.com) na każdej maszynie lokalnej z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080.

Za pomocą wystąpienia Docker można pobrać i uruchomić narzędzie konfiguracji HDS, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów hybrydowych zabezpieczeń danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania Dotyczące Pulpitu Dockera.

Aby zainstalować i uruchomić narzędzie do konfiguracji HDS, lokalna maszyna musi mieć łączność opisaną w Zewnętrznych wymaganiach dotyczących łączności.

10

Jeśli integrujesz serwer proxy z hybrydowymi zabezpieczeniami danych, upewnij się, że spełnia on wymagania serwera proxy.

11

Jeśli Twoja organizacja używa synchronizacji katalogu, utwórz grupę w usłudze Active Directory o nazwie HdsTrialGroup, i dodać użytkowników pilotażowych. Grupa próbna może mieć do 250 użytkowników. Plik HdsTrialGroup obiekt musi być zsynchronizowany z chmurą przed rozpoczęciem próby dla organizacji. Aby zsynchronizować obiekt grupowy, wybierz go w łączniku usług katalogowych Konfiguracja > Menu Wybór obiektu. (Szczegółowe instrukcje można znaleźć w Podręczniku wdrażania Cisco Directory Connector.)

Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Wybierając użytkowników pilotażowych, należy pamiętać, że jeśli zdecydujesz się na trwałą dezaktywację wdrożenia hybrydowego zabezpieczenia danych, wszyscy użytkownicy utracą dostęp do treści w obszarach utworzonych przez użytkowników pilotażowych. Strata staje się widoczna, gdy aplikacje użytkowników odświeżą swoje kopie w pamięci podręcznej treści.

Konfigurowanie hybrydowego klastra bezpieczeństwa danych

Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych

Przed rozpoczęciem

1

Pobierz plik OVA do lokalnego komputera, aby później go użyć.

2

Za pomocą narzędzia konfiguracyjnego HDS można utworzyć plik konfiguracyjny ISO dla węzłów hybrydowych zabezpieczeń danych.

3

Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych

Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe.

Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

4

Zaloguj się na konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.

5

Konfigurowanie węzła HDS dla integracji serwera proxy

Skonfiguruj VM z pliku konfiguracyjnego ISO utworzonego za pomocą narzędzia do konfiguracji HDS.

6

Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, którego użyjesz dla węzła, i w razie potrzeby dodaj certyfikat serwera proxy do sklepu zaufania.

7

Zarejestruj maszynę wirtualną za pomocą chmury Cisco Webex jako węzeł hybrydowego zabezpieczenia danych.

8

Konfigurowanie hybrydowego klastra bezpieczeństwa danych

Zakończ konfigurację klastra.

9

Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział)

Do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana.

Pobierz pliki instalacyjne

W tym zadaniu pobierz plik OVA do swojego komputera (nie do serwerów skonfigurowanych jako węzły hybrydowego zabezpieczenia danych). Ten plik jest używany później w procesie instalacji.

1

Zaloguj się do https://admin.webex.com, a następnie kliknij opcję Usługi.

2

W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych, a następnie kliknij przycisk Skonfiguruj.

Jeśli karta jest wyłączona lub jej nie widzisz, skontaktuj się z zespołem ds. kont lub organizacją partnerską. Podaj im numer konta i poproś o włączenie organizacji Hybrid Data Security. Aby znaleźć numer konta, kliknij bieg w prawym górnym rogu obok nazwy organizacji.

OVA można również pobrać w dowolnym momencie z sekcji Pomoc na stronie Ustawienia . Na karcie Hybrid Data Security kliknij opcję Edytuj ustawienia, aby otworzyć stronę. Następnie kliknij opcję Pobierz oprogramowanie hybrydowego zabezpieczenia danych w sekcji Pomoc .

Starsze wersje pakietu oprogramowania (OVA) nie będą kompatybilne z najnowszymi aktualizacjami Hybrid Data Security. Może to spowodować problemy podczas uaktualniania aplikacji. Upewnij się, że pobierz najnowszą wersję pliku OVA.

3

Wybierz Nie , aby wskazać, że węzeł nie został jeszcze skonfigurowany, a następnie kliknij przycisk Dalej.

Plik OVA automatycznie zaczyna się pobierać. Zapisz plik w lokalizacji na komputerze.

4

Opcjonalnie kliknij Open Deployment Guide (Otwórz przewodnik wdrażania), aby sprawdzić, czy dostępna jest późniejsza wersja tego przewodnika.

Tworzenie ISO konfiguracji dla prowadzących HDS

Proces konfiguracji hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie należy użyć ISO do skonfigurowania hosta hybrydowego bezpieczeństwa danych.

Przed rozpoczęciem

Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas podnoszenia kontenera Docker w kroku 5. W tej tabeli podano kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Wygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Potrzebna jest najnowsza kopia tego pliku, gdy wprowadzasz zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatów
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrowanie połączeń z bazą danych, skonfiguruj wdrożenie programu PostgreSQL lub SQL Server dla TLS.

1

W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

W zwykłych środowiskach:

docker rmi ciscocitg/hds-setup:stable

W środowiskach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

2

Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:

docker login -u hdscustomersro

3

Po wyświetleniu monitu o hasło wprowadź ten skrót:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Pobierz najnowszy stabilny obraz dla swojego środowiska:

W zwykłych środowiskach:

docker pull ciscocitg/hds-setup:stable

W środowiskach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

5

Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:

W zwykłych środowiskach bez serwera proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

W zwykłych środowiskach z serwerem proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

W zwykłych środowiskach z serwerem proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

W środowiskach FedRAMP bez serwera proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z serwerem proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z serwerem proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

6

Narzędzie Konfiguracja nie obsługuje łączenia się z localhost za pośrednictwem http://localhost:8080. Użyj http://127.0.0.1:8080, aby połączyć się z hostem lokalizacji.

Użyj przeglądarki internetowej, aby przejść do hosta lokalizacji, http://127.0.0.1:8080, i wprowadź nazwę użytkownika administratora klienta dla Control Hub po wyświetleniu monitu.

Narzędzie używa tego pierwszego wpisu nazwy użytkownika, aby ustawić odpowiednie środowisko dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.

7

Po wyświetleniu monitu wprowadź poświadczenia logowania administratora klienta Control Hub, a następnie kliknij przycisk Zaloguj się , aby zezwolić na dostęp do wymaganych usług Hybrid Data Security.

8

Na stronie Przegląd narzędzia konfiguracyjnego kliknij Rozpocznij.

9

Na stronie ISO Import dostępne są następujące opcje:

Nie— jeśli tworzysz swój pierwszy węzeł HDS, nie masz pliku ISO do przesłania.
Tak— jeśli utworzono już węzły HDS, należy wybrać plik ISO podczas przeglądania i przesyłania go.

10

Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatów X.509.

Jeśli nigdy wcześniej nie przesłałeś certyfikatu, prześlij certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.
Jeśli certyfikat jest prawidłowy, kliknij przycisk Kontynuuj.
Jeśli certyfikat wygasł lub chcesz go zastąpić, wybierz opcję Nie , aby Kontynuować korzystanie z łańcucha certyfikatów HDS i klucza prywatnego z poprzedniego ISO?. Prześlij nowy certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.

11

Wprowadź adres bazy danych i konto HDS, aby uzyskać dostęp do klucza danych:

Wybierz typ bazy danych (PostgreSQL lub Microsoft SQL Server).

Jeśli wybierzesz program Microsoft SQL Server, otrzymasz pole Typ uwierzytelniania.
(tylko Microsoft SQL Server) Wybierz Typ uwierzytelniania:
- Uwierzytelnianie podstawowe: W polu Nazwa użytkownika potrzebna jest lokalna nazwa konta SQL Server.
- Uwierzytelnianie systemu Windows: Potrzebujesz konta Windows w formacie username@DOMAIN w polu Nazwa użytkownika.
Wprowadź adres serwera bazy danych w formularzu <hostname>:<port> lub <IP-address>:<port>.

Przykład:
dbhost.example.org:1433 lub 198.51.100.17:1433

Do podstawowego uwierzytelniania można użyć adresu IP, jeśli węzły nie mogą używać DNS do rozpoznawania nazwy hosta.

Jeśli używasz uwierzytelniania systemu Windows, musisz wprowadzić w pełni kwalifikowaną nazwę domeny w formacie dbhost.example.org:1433
Wprowadź nazwę bazy danych.
Wprowadź nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych magazynu kluczy.

12

Wybierz tryb połączenia z bazą danych TLS:

Tryb

Opis

Preferuj TLS (opcja domyślna)

Węzły HDS nie wymagają TLS do łączenia się z serwerem bazy danych. Jeśli włączysz protokół TLS na serwerze bazy danych, węzły spróbują zaszyfrowanego połączenia.

Wymagaj TLS

Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować TLS.

Wymagaj TLS i zweryfikuj osobę podpisującą certyfikat

Ten tryb nie ma zastosowania do baz danych SQL Server.

Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować TLS.
Po nawiązaniu połączenia TLS węzeł porównuje sygnera certyfikatu z serwera bazy danych z organem certyfikatu w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie.

Użyj przycisku Certyfikat główny bazy danych poniżej listy rozwijanej, aby przesłać certyfikat główny dla tej opcji.

Wymagaj TLS oraz zweryfikuj osobę podpisującą certyfikat i nazwę hosta

Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować TLS.
Po nawiązaniu połączenia TLS węzeł porównuje sygnera certyfikatu z serwera bazy danych z organem certyfikatu w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie.
Węzły sprawdzają również, czy nazwa hosta w certyfikacie serwera jest zgodna z nazwą hosta w polu Baza danych i port . Nazwy muszą być dokładnie takie same, w przeciwnym razie węzeł zerwie połączenie.

Użyj przycisku Certyfikat główny bazy danych poniżej listy rozwijanej, aby przesłać certyfikat główny dla tej opcji.

Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracji HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie sprawdza również osobę podpisującą certyfikat i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w połączeniach węzły HDS mogą być w stanie nawiązać połączenie TLS, nawet jeśli maszyna narzędziowa HDS Setup Tool nie jest w stanie go przetestować).

13

Na stronie Dzienniki systemu skonfiguruj serwer Syslogd:

Wprowadź adres URL serwera dziennika systemowego.

Jeśli serwer nie jest w stanie rozwiązać DNS z węzłów klastra HDS, użyj adresu IP w adresie URL.

Przykład:
udp://10.92.43.23:514 wskazuje logowanie do hosta Syslogd 10.92.43.23 w porcie UDP 514.
Jeśli skonfigurujesz serwer, aby używał szyfrowania TLS, sprawdź, czy serwer dziennika systemowego jest skonfigurowany do szyfrowania SSL?.

Jeśli zaznaczysz to pole wyboru, upewnij się, że wprowadzasz adres URL TCP, taki jak: tcp://10.92.43.23:514.
Z listy rozwijanej Wybierz zakończenie rekordu dziennika systemowego wybierz odpowiednie ustawienie dla pliku ISO: Wybierz lub Newline są używane do Graylog i Rsyslog TCP
- Byte czajnika -- \x00
- Newline -- \n — Wybierz ten wybór dla aplikacji Graylog i Rsyslog TCP.
Kliknij przycisk Kontynuuj.

14

(Opcjonalnie) W ustawieniach zaawansowanych można zmienić wartość domyślną niektórych parametrów połączenia z bazą danych. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić:

app_datasource_connection_pool_maxSize: 10

15

Kliknij przycisk Kontynuuj na ekranie Resetuj hasło konta usługi .

Hasła konta serwisowego mają okres dziewięciu miesięcy. Użyj tego ekranu, gdy hasła zbliżają się do wygaśnięcia lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO.

16

Kliknij opcję Pobierz plik ISO. Zapisz plik w lokalizacji, którą łatwo znaleźć.

17

Wykonaj kopię zapasową pliku ISO w lokalnym systemie.

Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

18

Aby zamknąć narzędzie Setup, wpisz: CTRL+C.

Co zrobić dalej

Kopia zapasowa pliku ISO konfiguracji. Musisz utworzyć więcej węzłów do odzyskiwania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Odzyskiwanie kluczy z bazy danych PostgreSQL lub Microsoft SQL Server nie jest możliwe.

Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz.

Instalowanie OVA hosta HDS

Użyj tej procedury, aby utworzyć maszynę wirtualną z pliku OVA.

1

Aby zalogować się do wirtualnego hosta ESXi, użyj klienta VMware vSphere na komputerze.

2

Wybierz Plik > Wdrożenie szablonu OVF.

3

W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij Następny.

4

Na ekranie Wybierz nazwę i folder strona, wprowadź Nazwa maszyny wirtualnej dla węzła (na przykład „HDS_Node_1”) wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Następny.

5

Na ekranie Wybierz zasób obliczeniowy strona, wybierz docelowy zasób obliczeniowy, a następnie kliknij Następny.

Trwa kontrola walidacji. Po jego zakończeniu pojawiają się szczegóły szablonu.

6

Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej.

7

Jeśli zostaniesz poproszony o wybranie konfiguracji zasobów na stronie Konfiguracja strona, kliknij 4 CPU a następnie kliknij Następny.

8

Na ekranie Wybierz miejsce strona, kliknij Następny aby zaakceptować domyślny format dysku i zasady przechowywania VM.

9

Na ekranie Wybierz sieci na stronie wybierz opcję sieci z listy pozycji, aby zapewnić żądaną łączność z maszyną wirtualną.

10

Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieci:

Nazwa hosta — wprowadź nazwę hosta FQDN (nazwa hosta i domena) lub nazwę hosta pojedynczego słowa dla węzła.

Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509.
Aby zapewnić pomyślną rejestrację w chmurze, użyj tylko znaków z małymi literami w nazwie FQDN lub nazwie hosta ustawionej dla węzła. W tym momencie kapitalizacja nie jest obsługiwana.
Całkowita długość FQDN nie może przekraczać 64 znaków.

Adres IP— wprowadź adres IP interfejsu wewnętrznego węzła.

Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany.
Maska— wprowadź adres maski podsieci w notacji dot-dziesiętnej. Na przykład: 255.255.255.0.
Brama — wprowadź adres IP bramy. Brama to węzeł sieciowy, który służy jako punkt dostępu do innej sieci.
Serwery DNS— wprowadź oddzieloną przecinkami listę serwerów DNS, które obsługują tłumaczenie nazw domen na numeryczne adresy IP. (Dozwolone są do 4 wpisy DNS).
Serwery NTP — wprowadź serwer NTP swojej organizacji lub inny zewnętrzny serwer NTP, który może być używany w Twojej organizacji. Domyślne serwery NTP mogą nie działać dla wszystkich przedsiębiorstw. Można również użyć listy rozdzielonej przecinkami, aby wprowadzić wiele serwerów NTP.

Wdrożenie wszystkich węzłów w tej samej podsieci lub sieci VLAN, tak aby wszystkie węzły w klastrze były dostępne dla klientów w sieci do celów administracyjnych.

Jeśli jest to preferowane, można pominąć konfigurację ustawień sieci i wykonać czynności opisane w punkcie Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych w celu skonfigurowania ustawień z konsoli węzła.

Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

11

Kliknij prawym przyciskiem myszy węzeł VM, a następnie wybierz Zasilanie > Włączanie zasilania.

Oprogramowanie Hybrid Data Security jest instalowane jako gość w hostu VM. Teraz możesz zalogować się na konsoli i skonfigurować węzeł.

Wskazówki dotyczące rozwiązywania problemów

Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzła. Podczas pierwszego uruchamiania na konsoli pojawi się komunikat zapory mostowej, podczas którego nie można się zalogować.

Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych

Użyj tej procedury, aby po raz pierwszy zalogować się na konsoli VM węzła hybrydowego zabezpieczenia danych i ustawić poświadczenia logowania. Konsola może również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.

1	W kliencie VMware vSphere wybierz węzeł VM Hybrid Data Security i kartę Console . Maszyna zostanie uruchomiona i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie nie jest wyświetlany, naciśnij przycisk Enter.
2	Aby się zalogować i zmienić poświadczenia, należy użyć następującego domyślnego loginu i hasła: Logowanie: `admin` Hasło: `cisco` Ponieważ logujesz się do VM po raz pierwszy, musisz zmienić hasło administratora.
3	Jeśli ustawienia sieci zostały już skonfigurowane w Instalowaniu OVA hosta usługi HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację.
4	Skonfiguruj statyczną konfigurację z adresem IP, maską, bramą i informacjami DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany.
5	(Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne do dopasowania do zasad sieci. Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509.
6	Zapisz konfigurację sieci i uruchom ponownie VM, aby zmiany weszły w życie.

Prześlij i zamontuj ISO konfiguracji HDS

Ta procedura służy do konfigurowania maszyny wirtualnej z pliku ISO utworzonego za pomocą narzędzia konfiguracji HDS.

Przed rozpoczęciem

Ponieważ plik ISO zawiera klucz główny, powinien on być narażony tylko na „potrzebę wiedzy”, aby uzyskać dostęp do hybrydowych maszyn wirtualnych ds. bezpieczeństwa danych i wszystkich administratorów, którzy mogą wymagać wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mogą uzyskać dostęp do bazy danych.

1

Prześlij plik ISO z komputera:

W lewym okienku nawigacyjnym klienta VMware vSphere kliknij na serwer ESXi.
Na liście Sprzętu na karcie Konfiguracja kliknij przycisk Przechowywanie.
Na liście Datastores kliknij prawym przyciskiem myszy katalog danych dla swoich maszyn wirtualnych i kliknij opcję Przeglądaj Datastore.
Kliknij ikonę Prześlij pliki, a następnie kliknij Prześlij plik.
Przejdź do lokalizacji, w której pobrałeś plik ISO na komputerze i kliknij przycisk Otwórz.
Kliknij przycisk Tak, aby zaakceptować ostrzeżenie o operacji przesyłania/pobierania i zamknąć okno dialogowe z listą danych.

2

Montaż pliku ISO:

W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy VM i kliknij Edytuj ustawienia .
Kliknij przycisk OK, aby zaakceptować ostrzeżenie o opcjach edycji ograniczonej.
Kliknij CD/DVD Drive 1, wybierz opcję montażu z pliku ISO w zbiorniku danych i przejdź do lokalizacji, w której przesłano plik ISO konfiguracji.
Sprawdzić Podłączono i Podłączono przy włączonym zasilaniu.
Zapisz zmiany i uruchom ponownie maszynę wirtualną.

Co zrobić dalej

Jeśli polityka IT wymaga, możesz opcjonalnie odmontować plik ISO po tym, jak wszystkie węzły podniosą zmiany w konfiguracji. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.

Konfigurowanie węzła HDS dla integracji serwera proxy

Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z Hybrid Data Security. Po wybraniu przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS można użyć interfejsu węzła do przesłania i zainstalowania certyfikatu głównego. Możesz również sprawdzić połączenie serwera proxy z poziomu interfejsu i rozwiązać ewentualne problemy.

Przed rozpoczęciem

Aby zapoznać się z opcjami obsługiwanego serwera proxy, zobacz Obsługa serwera proxy.
Wymagania serwera proxy

1	Wprowadź adres URL konfiguracji węzła HDS `https://[HDS Node IP or FQDN]/setup` w przeglądarce internetowej wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się.
2	Przejdź do sklepu Trust Store & Proxy, a następnie wybierz opcję: Brak serwera proxy — opcja domyślna przed integracją serwera proxy. Nie jest wymagana aktualizacja certyfikatu. Transparent Non-Inspecting Proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z niekontrolowanym serwerem proxy. Nie jest wymagana aktualizacja certyfikatu. Transparent Inspecting Proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy. W przypadku wdrożenia hybrydowego zabezpieczenia danych nie są konieczne zmiany konfiguracji protokołu HTTPS, jednak węzły HDS potrzebują certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS). Explicit Proxy— w przypadku wyraźnego serwera proxy użytkownik informuje klienta (węzły HDS), którego serwera proxy ma używać, a ta opcja obsługuje kilka typów uwierzytelniania. Po wybraniu tej opcji należy wprowadzić następujące informacje: Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy. Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy. Protokół proxy — wybierz http (wyświetla i kontroluje wszystkie żądania otrzymane od klienta) lub https (dostarcza kanał do serwera, a klient odbiera i weryfikuje certyfikat serwera). Wybierz opcję na podstawie tego, co obsługuje serwer proxy. Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania: Brak — dalsze uwierzytelnianie nie jest wymagane. Dostępne dla serwerów proxy HTTP lub HTTPS. Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64. Dostępne dla serwerów proxy HTTP lub HTTPS. Jeśli wybierzesz tę opcję, musisz również wprowadzić nazwę użytkownika i hasło. Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem. Dostępne tylko dla serwerów proxy HTTPS. Jeśli wybierzesz tę opcję, musisz również wprowadzić nazwę użytkownika i hasło. Postępuj zgodnie z kolejnymi krokami w celu przejrzystego kontrolowania serwera proxy, bezpośredniego serwera proxy HTTP z uwierzytelnianiem podstawowym lub bezpośredniego serwera proxy HTTPS.
3	Kliknij opcję Prześlij certyfikat główny lub certyfikat jednostki końcowej, a następnie przejdź do opcji Wybierz certyfikat główny serwera proxy. Certyfikat jest przesyłany, ale jeszcze nie został zainstalowany, ponieważ aby zainstalować certyfikat, należy ponownie uruchomić węzeł. Aby uzyskać więcej szczegółów, kliknij strzałkę chevron po nazwie emitenta certyfikatu lub kliknij opcję Usuń, jeśli popełniłeś błąd i chcesz ponownie przesłać plik.
4	Kliknij Check Proxy Connection (Sprawdź połączenie proxy), aby sprawdzić połączenie sieciowe między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, pojawi się komunikat o błędzie przedstawiający przyczynę i sposób naprawienia problemu. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS. Warunek ten jest oczekiwany w wielu wyraźnych konfiguracjach serwera proxy. Możesz kontynuować konfigurację, a węzeł będzie działał w trybie Zablokowanej Zewnętrznej Rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj poniższe czynności, a następnie zobacz Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS.
5	Po przejściu testu połączenia, w przypadku wyraźnego serwera proxy ustawionego tylko na https, włącz przełącznik do Trasowania wszystkich żądań portu 443/444 https z tego węzła za pomocą wyraźnego serwera proxy. To ustawienie wymaga 15 sekund działania.
6	Kliknij Instaluj Wszystkie Certyfikaty W Sklepie Zaufania (pojawi się dla wyraźnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawi się dla wyraźnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij opcję Instaluj , jeśli jesteś gotowy. Węzeł zostanie uruchomiony ponownie w ciągu kilku minut.
7	Po ponownym uruchomieniu węzła zaloguj się ponownie w razie potrzeby, a następnie otwórz stronę Przegląd , aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie mają zielony status. Kontrola połączenia z serwerem proxy sprawdza tylko poddomenę webex.com. Jeśli występują problemy z łącznością, powszechnym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy.

Zarejestruj pierwszy węzeł w klastrze

To zadanie przejmuje ogólny węzeł utworzony w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych, rejestruje węzeł w chmurze Webex i zamienia go w węzeł hybrydowego bezpieczeństwa danych.

Po zarejestrowaniu pierwszego węzła utwórz klaster, do którego jest przypisany węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia zwolnień.

Przed rozpoczęciem

Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.

1	Zaloguj się w https://admin.webex.com.
2	W menu po lewej stronie ekranu wybierz opcję Usługi.
3	W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij przycisk Skonfiguruj. Zostanie wyświetlona strona węzła Zarejestruj hybrydowe zabezpieczenia danych.
4	Wybierz Tak, aby wskazać, że węzeł został skonfigurowany i chcesz go zarejestrować, a następnie kliknij przycisk Dalej.
5	W pierwszym polu wprowadź nazwę klastra, do którego chcesz przypisać węzeł hybrydowego zabezpieczenia danych. Zalecamy nazwanie klastra na podstawie lokalizacji węzłów klastra. Przykłady: "San Francisco", "Nowy Jork" czy "Dallas"
6	W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej. Ten adres IP lub nazwa FQDN powinny być zgodne z adresem IP lub nazwą hosta i domeną używaną podczas konfigurowania hybrydowej maszyny wirtualnej ds. bezpieczeństwa danych. Pojawi się komunikat informujący, że można zarejestrować węzeł w usłudze Webex.
7	Kliknij przycisk Przejdź do węzła.
8	Kliknij przycisk Kontynuuj w komunikacie ostrzegawczym. Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji Webex, aby uzyskać dostęp do węzła.
9	Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
10	Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub. Na stronie Hybrid Data Security jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.

Tworzenie i rejestrowanie większej liczby węzłów

Aby dodać dodatkowe węzły do klastra, wystarczy utworzyć dodatkowe numery VMs i zamontować ten sam plik ISO konfiguracji, a następnie zarejestrować węzeł. Zalecamy posiadanie co najmniej 3 węzłów.

W tym czasie zapasowe maszyny wirtualne utworzone w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych są hostami gotowymi, które są używane tylko w przypadku odzyskiwania po awarii; do tego czasu nie są rejestrowane w systemie. Aby uzyskać szczegółowe informacje, patrz Przywracanie systemu po awarii za pomocą Standby Data Center.

Przed rozpoczęciem

Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.

1	Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Instalacji OVA hosta HDS.
2	Skonfiguruj konfigurację początkową na nowej maszynie wirtualnej, powtarzając kroki w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych.
3	W nowej maszynie wirtualnej wykonaj ponownie czynności opisane w polu Prześlij i zamontuj ISO konfiguracji HDS.
4	Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w Konfigurowaniu węzła HDS dla integracji serwera proxy zgodnie z potrzebami nowego węzła.
5	Zarejestruj węzeł. W https://admin.webex.com wybierz Usługi z menu po lewej stronie ekranu. W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych i kliknij opcję Zasoby. Pojawi się strona Hybrid Data Security Resources (Zasoby zabezpieczeń danych hybrydowych). Kliknij przycisk Dodaj zasób. W pierwszym polu wybierz nazwę istniejącego klastra. W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej. Pojawi się komunikat informujący, że można zarejestrować węzeł w chmurze Webex. Kliknij przycisk Przejdź do węzła. Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji, aby uzyskać dostęp do węzła. Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex. Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub. Twój węzeł jest zarejestrowany. Należy pamiętać, że do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie jest jeszcze aktywowana.

Co zrobić dalej

Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział)

Uruchom wersję próbną i przejdź do produkcji

Przepływ próby do zadania produkcyjnego

Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.

Przed rozpoczęciem

1	Jeśli dotyczy, zsynchronizuj `HdsTrialGroup` obiekt grupowy. Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać `HdsTrialGroup` obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.
2	Aktywuj wersję próbną Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana.
3	Przetestuj wdrożenie hybrydowego zabezpieczenia danych Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.
4	Monitorowanie stanu hybrydowego bezpieczeństwa danych Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów.
5	Dodawanie lub usuwanie użytkowników z wersji próbnej
6	Zakończ fazę próbną, wykonując jedną z następujących czynności: Przeniesienie z wersji próbnej do produkcji Zakończ wersję próbną bez przejścia do produkcji

Aktywuj wersję próbną

Przed rozpoczęciem

Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby dla organizacji. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.

1	Zaloguj się do https://admin.webex.com, a następnie wybierz opcję Usługi.
2	W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.
3	W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną. Stan usługi zmienia się w tryb próbny.
4	Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług. (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, `HdsTrialGroup`.)

Przetestuj wdrożenie hybrydowego zabezpieczenia danych

Użyj tej procedury, aby przetestować scenariusze szyfrowania hybrydowych zabezpieczeń danych.

Przed rozpoczęciem

Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.
Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.

1

Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.

Jeśli dezaktywujesz wdrożenie hybrydowego zabezpieczenia danych, zawartość w obszarach tworzonych przez użytkowników pilotażowych nie jest już dostępna po wymianie kopii kluczy szyfrowania w pamięci podręcznej klienta.

2

Wysyłaj wiadomości do nowego obszaru.

3

Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych.

Aby sprawdzić, czy użytkownik najpierw ustanawia bezpieczny kanał w systemie KMS, filtruj go kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

Należy znaleźć wpis taki jak następujący (identyfikatory skrócone dla czytelności):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Aby sprawdzić, czy użytkownik żądający istniejącego klucza z KMS, filtruj na kms.data.method=retrieve i kms.data.type=KEY:

Należy znaleźć wpis taki jak:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Aby sprawdzić, czy użytkownik wnioskuje o utworzenie nowego klucza KMS, filtruj kms.data.method=create i kms.data.type=KEY_COLLECTION:

Należy znaleźć wpis taki jak:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Aby sprawdzić, czy użytkownik prosi o utworzenie nowego obiektu zasobów KMS (KRO) podczas tworzenia obszaru lub innego chronionego zasobu, filtruj kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

Należy znaleźć wpis taki jak:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorowanie stanu hybrydowego bezpieczeństwa danych

Wskaźnik stanu w Control Hub pokazuje, czy wszystko jest dobrze we wdrożeniu hybrydowego zabezpieczenia danych. Aby uzyskać bardziej proaktywne alerty, zapisz się do powiadomień e-mail. Otrzymasz powiadomienie o alarmach lub aktualizacjach oprogramowania mających wpływ na usługę.

1	W Control Hub wybierz Usługi z menu po lewej stronie ekranu.
2	W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij Ustawienia. Zostanie wyświetlona strona Ustawienia zabezpieczeń danych hybrydowych.
3	W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij przycisk Enter.

Dodawanie lub usuwanie użytkowników z wersji próbnej

Po aktywacji wersji próbnej i dodaniu początkowego zestawu użytkowników wersji próbnej można dodać lub usunąć członków wersji próbnej w dowolnym momencie, gdy wersja próbna jest aktywna.

Jeśli usuniesz użytkownika z wersji próbnej, klient poprosi go o utworzenie kluczy i klawiszy z chmury KMS zamiast Twojego KMS. Jeśli klient potrzebuje klucza przechowywanego w KMS, Cloud KMS pobierze go w imieniu użytkownika.

Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory (zamiast tej procedury) do zarządzania grupą próbną, HdsTrialGroup; można wyświetlać członków grupy w Control Hub, ale nie można ich dodawać ani usuwać.

1	Zaloguj się do Control Hub, a następnie wybierz Usługi.
2	W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.
3	W sekcji Tryby wersji próbnej w obszarze Stan usługi kliknij przycisk Dodaj użytkowników lub kliknij widok i edytuj , aby usunąć użytkowników z wersji próbnej.
4	Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania lub kliknij przycisk X identyfikatorem użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij Zapisz .

Przeniesienie z wersji próbnej do produkcji

Gdy jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych, możesz przejść do produkcji. Po przeniesieniu do produkcji wszyscy użytkownicy w organizacji będą korzystać z lokalnej domeny hybrydowego zabezpieczenia danych w celu szyfrowania kluczy i innych usług w dziedzinie zabezpieczeń. Nie można wrócić do trybu próbnego z produkcji, chyba że dezaktywujesz usługę w ramach odzyskiwania awaryjnego. Reaktywacja usługi wymaga skonfigurowania nowej wersji próbnej.

1	Zaloguj się do Control Hub, a następnie wybierz Usługi.
2	W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.
3	W sekcji Stan usługi kliknij opcję Przenieś do produkcji.
4	Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji.

Zakończ wersję próbną bez przejścia do produkcji

Jeśli podczas okresu próbnego zdecydujesz się nie kontynuować wdrażania hybrydowego zabezpieczenia danych, możesz dezaktywować hybrydowe zabezpieczenia danych, które kończą okres próbny i przenoszą użytkowników wersji próbnej z powrotem do usług zabezpieczeń danych w chmurze. Użytkownicy próbni stracą dostęp do danych zaszyfrowanych podczas badania.

1	Zaloguj się do Control Hub, a następnie wybierz Usługi.
2	W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.
3	W sekcji Dezaktywuj kliknij przycisk Dezaktywuj.
4	Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny.

Zarządzanie wdrożeniem HDS

Użyj opisanych tutaj zadań do zarządzania wdrożeniem hybrydowego zabezpieczenia danych.

Ustaw harmonogram uaktualniania klastra

Aktualizacje oprogramowania Hybrid Data Security są wykonywane automatycznie na poziomie klastra, co zapewnia, że wszystkie węzły zawsze korzystają z tej samej wersji oprogramowania. Uaktualnienia są wykonywane zgodnie z harmonogramem uaktualniania klastra. Po udostępnieniu uaktualnienia oprogramowania można ręcznie uaktualnić klaster przed zaplanowaną godziną uaktualnienia. Można ustawić określony harmonogram uaktualniania lub użyć domyślnego harmonogramu 3:00 rano Daily Stany Zjednoczone: Ameryka/Los Angeles. W razie potrzeby można również odłożyć nadchodzące uaktualnienie.

Aby ustawić harmonogram uaktualniania:

1	Zaloguj się do Centrum sterowania .
2	Na stronie Przegląd w obszarze Usługi hybrydowe wybierz opcję Hybrid Data Security.
3	Na stronie Zasoby zabezpieczeń danych hybrydowych wybierz klaster.
4	W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra.
5	Na stronie Ustawienia w obszarze Uaktualnianie wybierz godzinę i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest następna dostępna data i godzina aktualizacji. W razie potrzeby można odroczyć uaktualnienie do następnego dnia, klikając opcję Odłóż.

Zmień konfigurację węzła

Czasami może zajść potrzeba zmiany konfiguracji węzła hybrydowego zabezpieczenia danych z następujących powodów:

Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.

Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do zarejestrowania klastra.

Aktualizowanie ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.

Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.

Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.

Ponadto, ze względów bezpieczeństwa, Hybrid Data Security używa haseł do kont usługi o dziewięciomiesięcznym okresie ważności. Gdy narzędzie konfiguracji HDS wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO . Gdy hasła organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex , aby zresetować hasło do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj API konta komputera, aby zaktualizować hasło”). Jeśli hasła jeszcze nie wygasły, narzędzie udostępnia dwie opcje:

Miękki reset — Stare i nowe hasło działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
Twardy reset — Stare hasła natychmiast przestają działać.

Jeśli hasła wygasną bez zresetowania, będzie to miało wpływ na usługę HDS i wymaga natychmiastowego twardego resetu i zastąpienia pliku ISO we wszystkich węzłach.

Ta procedura służy do generowania nowego konfiguracyjnego pliku ISO i zastosowania go do klastra.

Przed rozpoczęciem

Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas przywoływania kontenera Docker w 1.e. W tej tabeli podano kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO . ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.

1

Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie konfiguracji HDS.

W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

W zwykłych środowiskach:

docker rmi ciscocitg/hds-setup:stable

W środowiskach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:
```
docker login -u hdscustomersro
```
Po wyświetleniu monitu o hasło wprowadź ten skrót:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Pobierz najnowszy stabilny obraz dla swojego środowiska:

W zwykłych środowiskach:

docker pull ciscocitg/hds-setup:stable

W środowiskach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Upewnij się, że pobierasz najnowsze narzędzie instalacyjne dla tej procedury. Wersje narzędzia utworzone przed 22 lutego 2018 r. nie mają ekranów resetowania hasła.

Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:

W zwykłych środowiskach bez serwera proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

W zwykłych środowiskach z serwerem proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

W normalnych środowiskach z serwerem HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

W środowiskach FedRAMP bez serwera proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z serwerem proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z serwerem proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

Użyj przeglądarki, aby połączyć się z hostem lokalnym, http://127.0.0.1:8080.

Narzędzie Konfiguracja nie obsługuje łączenia się z localhost za pośrednictwem http://localhost:8080. Użyj http://127.0.0.1:8080, aby połączyć się z hostem lokalizacji.

Po wyświetleniu monitu wprowadź poświadczenia logowania klienta Control Hub, a następnie kliknij Zaakceptuj aby kontynuować.
Zaimportuj bieżący plik konfiguracyjny ISO .
Postępuj zgodnie z instrukcjami, aby ukończyć działanie narzędzia i pobrać zaktualizowany plik.

Aby zamknąć narzędzie Setup, wpisz: CTRL+C.
Utwórz kopię zapasową zaktualizowanego pliku w innym centrum danych.

2

Jeśli uruchomiony jest tylko jeden węzeł HDS , utwórz nową maszynę VM węzła Hybrid Data Security i zarejestruj ją przy użyciu nowego konfiguracyjnego pliku ISO . Aby uzyskać bardziej szczegółowe instrukcje, zobacz temat Tworzenie i rejestrowanie większej liczby węzłów.

Zainstaluj narzędzie OVA hosta HDS.
Skonfiguruj maszynę VM HDS .
Podłącz zaktualizowany plik konfiguracyjny.
Zarejestruj nowy węzeł w Control Hub.

3

W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO . Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła:

Wyłącz maszynę wirtualną.
W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy VM i kliknij Edytuj ustawienia .
Kliknij CD/DVD Drive 1, wybierz opcję podłączenia z pliku ISO i przejdź do lokalizacji, do której pobrano nowy konfiguracyjny plik ISO .
Sprawdź Połącz po włączeniu .
Zapisz zmiany i włącz maszynę wirtualną.

4

Powtórz krok 3, aby zastąpić konfigurację w każdym pozostałym węźle, na którym działa stara konfiguracja.

Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS

Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznawać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb Zablokowanej zewnętrznej rozdzielczości DNS.

Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, uruchamiając ponownie test połączenia serwera proxy w każdym węźle.

Przed rozpoczęciem

Upewnij się, że wewnętrzne serwery DNS mogą rozpoznawać publiczne nazwy DNS oraz że węzły mogą się z nimi komunikować.

1	W przeglądarce internetowej otwórz interfejs węzła hybrydowego zabezpieczenia danych (adres IP/konfiguracja, na przykład https://192.0.2.0/setup), wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się.
2	Przejdź do Przegląd (strona domyślna). Po włączeniu Rozpoznawanie zablokowanego zewnętrznego DNS jest ustawiony na Tak .
3	Przejdź do strony Trust Store & Proxy.
4	Kliknij przycisk Sprawdź połączenie z serwerem proxy. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS i pozostanie w tym trybie. W przeciwnym razie po ponownym uruchomieniu węzła i powrocie na stronę Przegląd zablokowana zewnętrzna rozdzielczość DNS powinna być ustawiona na nr.

Co zrobić dalej

Powtórz test połączenia z serwerem proxy dla każdego węzła w klastrze hybrydowego zabezpieczenia danych.

Usuń węzeł

Użyj tej procedury, aby usunąć węzeł hybrydowego zabezpieczenia danych z chmury Webex. Po usunięciu węzła z klastra usuń maszynę wirtualną, aby zapobiec dalszemu dostępowi do danych zabezpieczeń.

1

Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi i wyłączyć maszynę wirtualną.

2

Usuń węzeł:

Zaloguj się do Control Hub, a następnie wybierz Usługi.
Na karcie hybrydowe zabezpieczenia danych kliknij przycisk Wyświetl wszystkie , aby wyświetlić stronę zasobów hybrydowych zabezpieczeń danych.
Wybierz klaster, aby wyświetlić jego panel Przegląd.
Kliknij listę Otwórz węzły.
Na karcie Węzły wybierz węzeł, który chcesz usunąć.
Kliknij przycisk Akcje > węzeł Deregister.

3

W kliencie vSphere usuń maszynę wirtualną (w lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij polecenie Usuń).

Jeśli nie usuniesz VM, pamiętaj o usunięciu pliku ISO konfiguracji. Bez pliku ISO nie można użyć maszyny wirtualnej, aby uzyskać dostęp do danych bezpieczeństwa.

Odzyskiwanie po awarii za pomocą Standby Data Center

Najbardziej krytyczną usługą oferowaną przez klaster Hybrid Data Security jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji przypisanego do hybrydowego zabezpieczenia danych nowe żądania tworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za przywrócenie kluczy, które został utworzony do wszystkich użytkowników upoważnionych do ich odzyskania, na przykład członków obszaru konwersacji.

Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby utrzymywały się odpowiednie kopie zapasowe. Utrata bazy danych hybrydowych zabezpieczeń danych lub układu ISO konfiguracji stosowanego dla schematu spowoduje NIEZBĘDNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, konieczne są następujące praktyki:

Jeśli awaria spowoduje, że wdrożenie HDS w głównym centrum danych stanie się niedostępne, postępuj zgodnie z tą procedurą, aby ręcznie przełączyć się na standby centrum danych.

1

Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.

2

Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane

3

Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń passiveMode konfiguracja, aby węzeł był aktywny. Węzeł może obsługiwać ruch po skonfigurowaniu.


passiveMode: 'false'

4

Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia.

5

Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

6

W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia..

7

Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.

Upewnij się, że Connected and Connect at power on (Podłączono) są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły wejść w życie po uruchomieniu węzłów.

8

Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.

9

Powtórz proces dla każdego węzła w centrum danych standby.

Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy węzły centrum danych standby nie są w trybie pasywnym. „KMS skonfigurowany w trybie pasywnym” nie powinien być wyświetlany w dziennikach syslog.

Co zrobić dalej

Po przełączeniu awaryjnym, jeśli główne centrum danych stanie się ponownie aktywne, ponownie umieść centrum danych standby w trybie pasywnym, wykonując czynności opisane w Ustawieniu Standby Data Center dla odzyskiwania awarii.

(Opcjonalnie) Odmontować ISO Po Konfiguracji HDS

Standardowa konfiguracja HDS działa z zamontowanym ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale zamontowanych. Plik ISO można odmontować po odebraniu nowej konfiguracji przez wszystkie węzły HDS.

Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego ISO lub aktualizacji ISO za pomocą narzędzia konfiguracyjnego należy zamontować zaktualizowany ISO na wszystkich węzłach HDS. Po odebraniu zmian konfiguracji przez wszystkie węzły można ponownie rozmontować ISO za pomocą tej procedury.

Przed rozpoczęciem

Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.

1	Zamknij jeden z węzłów HDS.
2	W urządzeniu VCenter Server Appliance wybierz węzeł HDS.
3	Wybierz Edytuj ustawienia > Napęd CD/DVD i usuń zaznaczenie pliku Datastore ISO.
4	Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut.
5	Powtórz kolejno dla każdego węzła HDS.

Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych

Wyświetlanie alertów i rozwiązywania problemów

Wdrożenie hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że wymaga przekroczenia czasu. Jeśli użytkownicy nie mogą skontaktować się z klastrem hybrydowego zabezpieczenia danych, mogą wystąpić następujące objawy:

Nie można utworzyć nowych obszarów (nie można utworzyć nowych kluczy)
Wiadomości i tytuły przestrzeni nie można odszyfrować dla:
- Dodano nowych użytkowników do obszaru (nie można pobrać kluczy)
- Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze będą z powodzeniem działać tak długo, jak ich klienci będą mieli pamięć podręczną kluczy szyfrowania

Ważne jest, aby odpowiednio monitorować klaster hybrydowego zabezpieczenia danych i szybko zwracać się do wszystkich alertów, aby uniknąć zakłóceń w obsłudze.

Alerty

Jeśli występuje problem z konfiguracją hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.

Tabela 1. Wspólne problemy i kroki mające na celu ich rozwiązanie
Alert	Czynność
Niepowodzenie dostępu do lokalnej bazy danych.	Sprawdź, czy występują błędy w bazie danych lub problemy z siecią lokalną.
Niepowodzenie połączenia z lokalną bazą danych.	Sprawdź, czy serwer bazy danych jest dostępny, a w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi.
Niepowodzenie dostępu do usługi w chmurze.	Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z wymaganiami Zewnętrznej łączności.
Odnowienie rejestracji usług w chmurze.	Zrezygnowano z rejestracji na usługi w chmurze. Trwa przedłużenie rejestracji.
Rejestracja usług w chmurze została odrzucona.	Rejestracja na usługi w chmurze została zakończona. Usługa jest wyłączona.
Usługa jeszcze nie została aktywowana.	Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do produkcji.
Skonfigurowana domena nie odpowiada certyfikatowi serwera.	Upewnij się, że certyfikat serwera jest zgodny z skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że certyfikat CN został ostatnio zmieniony i jest teraz inny niż CN, który był używany podczas początkowej konfiguracji.
Nie można uwierzytelnić usług w chmurze.	Kontrola poprawności i ewentualnego wygaśnięcia poświadczeń konta usługi.
Nie można otworzyć lokalnego pliku keystore.	Sprawdź integralność i dokładność hasła w lokalnym pliku keystore.
Certyfikat lokalnego serwera jest nieprawidłowy.	Sprawdź datę ważności certyfikatu serwera i potwierdź, że został on wydany przez zaufany urząd certyfikacji.
Nie można publikować metryk.	Sprawdź dostęp sieci lokalnej do zewnętrznych usług w chmurze.
/media/configdrive/hds katalog nie istnieje.	Sprawdź konfigurację montażu ISO na wirtualnym hostze. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu na ponownym uruchomieniu i czy został pomyślnie zainstalowany.

Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych

Podczas rozwiązywania problemów z hybrydowymi zabezpieczeniami danych należy stosować następujące ogólne wytyczne.

1	Przejrzyj Control Hub dla wszystkich alertów i naprawić wszystkie znalezione tam elementy.
2	Przejrzyj wyjście serwera dziennika systemowego pod kątem aktywności z wdrożenia hybrydowego zabezpieczenia danych.
3	Skontaktuj się z pomocą techniczną Cisco.

Inne uwagi

Znane problemy dotyczące hybrydowych zabezpieczeń danych

Jeśli zamkniesz klaster hybrydowego zabezpieczenia danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych keystore, użytkownicy aplikacji Webex nie będą mogli już korzystać ze spacji na liście Osoby utworzonej za pomocą kluczy z KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia ani rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłudze aktywnych kont użytkowników.
Klient z istniejącym połączeniem ECDH z KMS utrzymuje to połączenie przez pewien czas (prawdopodobnie godzinę). Gdy użytkownik staje się członkiem próby hybrydowego zabezpieczenia danych, klient użytkownika nadal korzysta z istniejącego połączenia ECDH do czasu jego wyłączenia. Alternatywnie, użytkownik może wylogować się i wrócić do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w przypadku kluczy szyfrowania.

To samo zachowanie występuje podczas przenoszenia próby do produkcji dla organizacji. Wszyscy użytkownicy spoza wersji próbnej posiadający istniejące połączenia ECDH z poprzednimi służbami bezpieczeństwa danych będą nadal korzystać z tych usług do czasu renegocjacji połączenia ECDH (poprzez limit czasu lub poprzez wylogowanie i powrót).

Użyj protokołu OpenSSL, aby wygenerować plik PKCS12

Przed rozpoczęciem

OpenSSL jest jednym z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do ładowania w narzędziu konfiguracji HDS. Istnieją inne sposoby, aby to zrobić, i nie popieramy ani nie promujemy jednej drogi nad drugą.
Jeśli zdecydujesz się korzystać z OpenSSL, zapewniamy tę procedurę jako wytyczną, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatów X.509. Zrozum te wymagania, zanim przejdziesz dalej.
Zainstaluj OpenSSL w obsługiwanym środowisku. Patrz https://www.openssl.org oprogramowanie i dokumentacja.
Utwórz klucz prywatny.
Procedurę tę należy rozpocząć po otrzymaniu certyfikatu serwera od urzędu certyfikacji.

1	Po otrzymaniu certyfikatu serwera z urzędu certyfikacji zapisz go jako `hdsnode.pem`.
2	Wyświetl certyfikat jako tekst i zweryfikuj szczegóły. `openssl x509 -text -noout -in hdsnode.pem`
3	Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie `hdsnode-bundle.pem`. Plik pakietu musi zawierać certyfikat serwera, wszystkie pośrednie certyfikaty urzędu certyfikacji oraz podstawowe certyfikaty urzędu certyfikacji w formacie poniżej: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Utwórz plik .p12 o przyjaznej nazwie `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Sprawdź szczegóły certyfikatu serwera. `openssl pkcs12 -in hdsnode.p12` Wprowadź hasło po wyświetleniu monitu, aby zaszyfrować klucz prywatny w taki sposób, aby był wyświetlany na wyjściu. Następnie sprawdź, czy klucz prywatny i pierwszy certyfikat zawierają linie `friendlyName: kms-private-key`. Przykład: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Co zrobić dalej

Powróć, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych. Korzystasz z hdsnode.p12 plik i ustawione dla niego hasło w Utwórz ISO konfiguracji dla prowadzących HDS.

Możesz ponownie użyć tych plików, aby poprosić o nowy certyfikat po wygaśnięciu oryginalnego certyfikatu.

Ruch między węzłami HDS a chmurą

Ruch zbierania metryk wychodzących

Węzły hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dla maks. stosu, stosowanego stosu, obciążenia procesora i liczenia wątków; metryki na wątkach synchronicznych i asynchronicznych; metryki na alertach obejmujące próg połączeń szyfrowania, opóźnienie lub długość kolejki żądań; metryki na zbiorniku danych; oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał poza pasmem (oddzielony od żądania).

Ruch przychodzący

Węzły hybrydowego zabezpieczenia danych otrzymują następujące typy ruchu przychodzącego z chmury Webex:

Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania
Aktualizacja do oprogramowania węzła

Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych

Websocket Nie Można Połączyć Za Pomocą Proxy Squid

Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS, mogą ingerować w tworzenie websocket ( wss:) połączenia, których wymaga Hybrid Data Security. Sekcje te zawierają wskazówki dotyczące konfigurowania różnych wersji Squid do ignorowania wss: ruch w celu prawidłowego funkcjonowania usług.

Squid 4 i 5

Dodaj on_unsupported_protocol dyrektywa do squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

Z powodzeniem przetestowaliśmy hybrydowe zabezpieczenia danych, dodając następujące zasady squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizacji chmury Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Przedmowa

Nowe i zmienione informacje

Data

Zmiany

20 października 2023 r.

Zaktualizowane informacje w wymaganiach serwera bazy danych.
Dodano konfigurację Centrum danych w trybie gotowości do odzyskiwania awarii.
Zaktualizowane informacje w Standby Data Center for Disaster Recovery and Disaster Recovery using Standby Data Center.

07 sierpnia 2023 r.

Dodano notatkę w sekcji Pobierz pliki instalacyjne.
Dodano notatkę w Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła.

23 maja 2023 r.

Usunięto informacje z wymagań serwera bazy danych , żądając włączenia funkcji przez skontaktowanie się z zespołem kont.
Zaktualizowano informacje dotyczące zewnętrznych wymagań dotyczących łączności i dodano Kanadę do tabeli hostów CI.
Dodano uwagę w oczekiwaniach dotyczących wdrażania hybrydowego zabezpieczenia danych w odniesieniu do niedostępności mechanizmów przenoszenia kluczy z powrotem do chmury.

06 grudnia 2022 r.

Obrazy narzędzia konfiguracji HDS są teraz hostowane w ciscocitg repozytorium dockerhub.
Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień tematy konfiguracji węzła , aby przywrócić zmiany w poleceniach.

23 listopada 2022 r.

Węzły HDS mogą teraz używać uwierzytelniania systemu Windows w usłudze Microsoft SQL Server.

Zaktualizowano temat wymagań serwera bazy danych z dodatkowymi wymaganiami dla tego trybu uwierzytelniania.

Zaktualizowano Utwórz ISO konfiguracji hostów HDS z procedurą konfigurowania uwierzytelniania systemu Windows w węzłach.
Zaktualizowano temat wymagań serwera bazy danych o nowe minimalne wymagane wersje (PostgreSQL 10).

13 października 2021 r.

Docker Desktop musi uruchomić program konfiguracji przed zainstalowaniem węzłów HDS. Zobacz Wymagania Dotyczące Pulpitu Docker.

24 czerwca 2021 r.

Pamiętaj, że możesz ponownie użyć pliku klucza prywatnego i CSR, aby poprosić o inny certyfikat. Aby uzyskać szczegółowe informacje, zobacz Użyj OpenSSL, aby wygenerować plik PKCS12.

30 kwietnia 2021 r.

Zmieniono wymaganie VM dla lokalnego miejsca na dysku twardym na 30 GB. Szczegółowe informacje można znaleźć w sekcji Wymagania wirtualnego prowadzącego.

24 lutego 2021 r.

Narzędzie konfiguracji usługi HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie ISO konfiguracji hostów HDS.

2 lutego 2021 r.

HDS może teraz działać bez zamontowanego pliku ISO. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.

11 stycznia 2021 r.

Dodano informacje o narzędziu do konfiguracji HDS i pełnomocnikach, aby utworzyć ISO konfiguracji dla prowadzących HDS.

13 października 2020 r.

Zaktualizowano Pobierz pliki instalacyjne.

8 października 2020 r.

Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP.

14 sierpnia 2020 r.

Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła ze zmianami w procesie logowania.

5 sierpnia 2020 r.

Zaktualizowano testowanie wdrażania hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika.

Zaktualizowano wymagania hosta wirtualnego , aby usunąć maksymalną liczbę hostów.

16 czerwca 2020 r.

Zaktualizowano Usuwanie węzła pod kątem zmian w interfejsie interfejsu Control Hub.

4 czerwca 2020 r.

Zaktualizowano Tworzenie ISO konfiguracji dla hostów HDS w celu wprowadzenia zmian w ustawieniach zaawansowanych, które można ustawić.

29 maja 2020 r.

Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami interfejsu użytkownika i innymi wyjaśnieniami.

5 maja 2020 r.

Zaktualizowano wymagania hosta wirtualnego , aby pokazać nowe wymagania ESXi 6.5.

21 kwietnia 2020 r.

Zaktualizowane wymagania dotyczące łączności zewnętrznej z nowymi hostami CI Americas.

1 kwietnia 2020 r.

Zaktualizowane wymagania dotyczące łączności zewnętrznej z informacjami na temat regionalnych prowadzących CI.

20 lutego 2020 r. Zaktualizowano Utwórz ISO konfiguracji hostów HDS z informacjami na nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu do konfiguracji HDS.

4 lutego 2020 r. Zaktualizowano wymagania serwera proxy.

16 grudnia 2019 r. Wyjaśnione wymagania dotyczące zablokowanego zewnętrznego trybu rozdzielczości DNS do pracy w wymaganiach serwera proxy.

19 listopada 2019 r.

Dodano informacje o zablokowanym zewnętrznym trybie rozpoznawania DNS w następujących sekcjach:

Wsparcie proxy
Konfigurowanie węzła HDS dla integracji serwera proxy
Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS

8 listopada 2019 r.

Teraz można skonfigurować ustawienia sieciowe węzła podczas wdrażania OVA, a nie później.

Zaktualizowano odpowiednio następujące sekcje:

Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych
Instalowanie OVA hosta HDS
Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych

Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

6 września 2019 r.

Dodano SQL Server Standard do wymagań serwera bazy danych.

29 sierpnia 2019 r. Dodano Configure Squid Proxies for Hybrid Data Security appendix z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu zignorowania ruchu websocket w celu prawidłowej obsługi.

20 sierpnia 2019 r.

Dodano i zaktualizowano sekcje, aby objąć obsługę proxy komunikacji węzła hybrydowego bezpieczeństwa danych z chmurą Webex.

Wsparcie proxy
Wymagania serwera proxy
Konfigurowanie węzła HDS dla integracji serwera proxy

Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł pomocy Proxy Support for Hybrid Data Security i Webex Video Mesh .

13 czerwca 2019 r. Zaktualizowano próbny do przepływu zadań produkcyjnych z przypomnieniem o synchronizacji HdsTrialGroup obiekt grupowy przed rozpoczęciem próby, jeśli Twoja organizacja korzysta z synchronizacji katalogu.

6 marca 2019 r.

Przeniesione wymagania i wymagania wstępne do oddzielnego rozdziału, Przygotuj Swoje Środowisko.
Dodano przegląd przepływu zadań wdrażania zabezpieczeń danych hybrydowych w rozdziale Skonfiguruj klaster zabezpieczeń danych hybrydowych.

Zauważono, że do momentu rozpoczęcia próby (przy użyciu instrukcji w następnym rozdziale) węzły generują alarm wskazujący, że usługa nie jest jeszcze aktywowana.
Dodano Test do przepływu zadań produkcyjnych w rozdziale Uruchom wersję próbną i przejdź do produkcji.

28 lutego 2019 r.

Skorygowano ilość lokalnego miejsca na dysku twardym na serwer, którą należy odłożyć podczas przygotowywania wirtualnych hostów, które stają się węzłami hybrydowego zabezpieczenia danych, z 50 GB do 20 GB, aby odzwierciedlić rozmiar dysku, który tworzy OVA.

26 lutego 2019 r.

Węzły hybrydowego zabezpieczenia danych obsługują teraz szyfrowane połączenia z serwerami bazy danych PostgreSQL i szyfrowane połączenia rejestrowania z serwerem dziennika systemowego obsługującym protokół TLS. Zaktualizowano Tworzenie ISO konfiguracji dla prowadzących HDS z instrukcjami.
Usunięto adresy URL docelowe z tabeli „Wymagania dotyczące łączności internetowej dla hybrydowych węzłów bezpieczeństwa danych”. Tabela odnosi się teraz do listy utrzymywanej w tabeli „Dodatkowe adresy URL usług hybrydowych Webex Teams” dotyczącej wymagań sieciowych dla usług Webex Teams.

24 stycznia 2019 r.

Hybrid Data Security obsługuje teraz Microsoft SQL Server jako bazę danych. Serwer SQL Always On (Klastry Always On Failover i grupy Always On Availability) jest obsługiwany przez sterowniki JDBC używane w hybrydowych zabezpieczeniach danych. Dodano zawartość związaną z wdrożeniem z programem SQL Server.

Obsługa rozwiązania Microsoft SQL Server jest przeznaczona tylko dla nowych wdrożeń hybrydowych zabezpieczeń danych. Obecnie nie obsługujemy migracji danych z serwera PostgreSQL na serwer Microsoft SQL Server w istniejącym wdrożeniu.

5 listopada 2018 r.

Dodano wstępny krok w celu wyczyszczenia wszystkich istniejących wystąpień dokera w Utwórz ISO konfiguracji dla prowadzących HDS i Zmień konfigurację węzła.
Zaktualizowano kluczowy krok poziomu dostępu w Utwórz ISO konfiguracji hostów HDS w celu dopasowania do interfejsu.

19 października 2018 r.

Podziel informacje o połączeniu zapory na wymagania węzłów i wymagania maszyny konfiguracyjnej ISO w Zakończ wymagania wstępne dotyczące hybrydowego zabezpieczenia danych.

31 lipca 2018 r.

Dodano port 22 (dostęp SSH) oraz informacje o połączeniach NAT i zapory, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych.

21 maja 2018 r.

Zmieniona terminologia odzwierciedlająca zmianę marki Cisco Spark:

Cisco Spark Hybrid Data Security jest teraz Hybrid Data Security.
Aplikacja Cisco Spark jest teraz aplikacją Webex.
Cisco Collaboraton Cloud jest teraz chmurą Webex.

11 kwietnia 2018 r.

Dodano Standby Data Center for Disaster Recovery (Centrum danych w trybie gotowości do przywracania po awarii).
Zaktualizowano Uzupełnij wymagania wstępne dla hybrydowego zabezpieczenia danych , aby określić, że środowisko tworzenia kopii zapasowych powinno znajdować się w innym centrum danych.
Zaktualizowano przywracanie po awarii za pomocą Standby Data Center.

22 lutego 2018 r.

Dodano informacje o 9-miesięcznej długości życia konta usługi i użyciu narzędzia do konfiguracji HDS do zresetowania haseł konta usługi, w Utwórz ISO konfiguracji dla prowadzących HDS i Zmień konfigurację węzła.

Luty 15, 2018

W tabeli Wymagania dotyczące certyfikatów X.509 określono, że certyfikat nie może być certyfikatem z wieloznacznymi kartami i że KMS używa domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3.

Styczeń 18, 2018

Dodano załącznik, Ruch między węzłami HDS a chmurą.
Usunięto rozwiązany problem ze znanymi problemami dotyczącymi hybrydowego bezpieczeństwa danych.
Zmieniono index.docker.io na *.docker.io i dodano *.cloudfront.net do listy wymagań łączności TCP dla węzłów HDS w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych.
Zaktualizowano Utwórz ISO konfiguracji hostów HDS w celu wskazania, że jeśli host bazy danych i serwer Syslogd nie są rozwiązywalne dla DNS z węzłów HDS, należy je skonfigurować za pomocą adresów IP.

2 listopada 2017 r.

Skrócona synchronizacja katalogu grupy HdsTrialGroup.
Stałe instrukcje dotyczące przesyłania pliku konfiguracyjnego ISO w celu montażu w węzłach VM.

18 sierpnia 2017 r.

Pierwsza publikacja

Rozpocznij pracę z Hybrid Data Security

Przegląd zabezpieczeń danych hybrydowych

Od pierwszego dnia bezpieczeństwo danych było głównym celem projektowania aplikacji Webex. Podstawą tych zabezpieczeń jest kompleksowe szyfrowanie zawartości, włączane przez klientów aplikacji Webex , którzy wchodzą w interakcję z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.

Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS w obszarze bezpieczeństwa firmy Cisco. Hybrid Data Security przenosi usługę KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie ma kluczy do zaszyfrowanej zawartości.

Architektura domeny zabezpieczeń

Architektura chmury Webex oddziela różne rodzaje usług od osobnych domen lub domen zaufania, jak przedstawiono poniżej.

Aby lepiej zrozumieć hybrydowe zabezpieczenia danych, spójrzmy najpierw na ten przypadek czystej chmury, w którym firma Cisco zapewnia wszystkie funkcje w swoich domenach w chmurze. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od domeny bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od domeny, w której ostatecznie przechowywana jest zaszyfrowana zawartość, w centrum danych C.

Na tym schemacie klient to aplikacja Webex działająca na laptopie użytkownika i uwierzytelniona za pomocą usługi tożsamości. Gdy użytkownik komponuje wiadomość do wysłania do obszaru, wykonywane są następujące czynności:

Klient ustanawia bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie prosi o klucz do szyfrowania wiadomości. Bezpieczne połączenie korzysta z ECDH, a KMS szyfruje klucz przy użyciu klucza głównego AES-256.
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła go do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniach zawartości.
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w domenie przechowywania.

Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze, które składają się na usługę Webex (w tym pamięć masowa tożsamości i zawartości), pozostają w domenach Cisco.

Współpraca z innymi organizacjami

Użytkownicy w organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników prosi o klucz do obszaru należącego do organizacji (ponieważ został on utworzony przez jednego z użytkowników), KMS wysyła klucz do klienta za pośrednictwem kanału zabezpieczonego ECDH. Jednak gdy inna organizacja jest właścicielem klucza dla obszaru, system KMS kieruje żądanie do chmury Webex przez osobny kanał ECDH, aby uzyskać klucz z odpowiedniego systemu KMS, a następnie zwraca go do użytkownika na oryginalnym kanale.

Usługa KMS działająca na Org A weryfikuje połączenia z KMSs w innych organizacjach za pomocą certyfikatów PKI x.509. Aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użytku z wdrożeniem hybrydowego zabezpieczenia danych, zobacz Prepare Your Environment (Przygotowanie środowiska).

Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych

Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klienta i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.

Aby wdrożyć hybrydowe zabezpieczenia danych, należy zapewnić:

Bezpieczne centrum danych w kraju, który jest obsługiwaną lokalizacją dla planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w punkcie Przygotowanie środowiska.

Kompletna utrata konfiguracji ISO utworzonej dla hybrydowego zabezpieczenia danych lub dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:

Zarządzanie kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.
Przygotuj się do szybkiego odzyskiwania awaryjnego w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub awaria centrum danych.

Nie ma mechanizmu przenoszenia kluczy z powrotem do chmury po wdrożeniu HDS.

Proces konfiguracji na wysokim poziomie

Niniejszy dokument obejmuje konfigurację i zarządzanie wdrożeniem hybrydowego zabezpieczenia danych:

Skonfiguruj hybrydowe zabezpieczenia danych— obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, testowanie wdrożenia z podzbiorem użytkowników w trybie próbnym oraz, po zakończeniu testów, przejście do produkcji. Spowoduje to konwertowanie całej organizacji do używania klastra Hybrid Data Security dla funkcji zabezpieczeń.
Etapy konfiguracji, prób i produkcji zostały szczegółowo omówione w kolejnych trzech rozdziałach.
Utrzymuj wdrożenie hybrydowego zabezpieczenia danych— chmura Webex automatycznie zapewnia trwające uaktualnienia. Dział IT może zapewnić wsparcie poziomu pierwszego dla tego wdrożenia i zaangażować wsparcie Cisco w razie potrzeby. Możesz korzystać z powiadomień na ekranie i konfigurować alerty oparte na wiadomościach e-mail w Control Hub.
Zrozumienie wspólnych alertów, kroków rozwiązywania problemów i znanych problemów— w przypadku wystąpienia problemów z wdrożeniem lub użyciem hybrydowego zabezpieczenia danych ostatni rozdział niniejszego przewodnika i dodatku do Znanych problemów może pomóc w określeniu i rozwiązaniu problemu.

Hybrydowy model wdrażania zabezpieczeń danych

W centrum danych przedsiębiorstwa wdrażasz hybrydowe zabezpieczenia danych jako jeden klaster węzłów na osobnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych websocketów i bezpiecznego protokołu HTTP.

Podczas procesu instalacji dostarczamy Ci plik OVA do skonfigurowania urządzenia wirtualnego na dostarczonych maszynach wirtualnych. Narzędzie konfiguracyjne HDS służy do tworzenia niestandardowego pliku ISO konfiguracji klastra, który jest montowany w każdym węźle. Klaster Hybrid Data Security korzysta z dostarczonego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu konfiguracji HDS).

Hybrydowy model wdrażania zabezpieczeń danych

Minimalna liczba węzłów w klastrze to dwa. Zalecamy co najmniej trzy, a możesz mieć do pięciu. Posiadanie wielu węzłów zapewnia, że usługa nie zostanie przerwana podczas uaktualniania oprogramowania lub innej czynności konserwacyjnej w węźle. (Chmura Webex aktualizuje tylko jeden węzeł naraz).

Wszystkie węzły w klastrze mają dostęp do tego samego rekordu danych klucza i aktywności dziennika na tym samym serwerze dziennika systemowego. Same węzły są bezpaństwowe i obsługują żądania kluczy w sposób okrągły, zgodnie z zaleceniami chmury.

Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby usunąć pojedynczy węzeł z usługi, można go wyrejestrować, a następnie ponownie wyrejestrować w razie potrzeby.

Obsługujemy tylko jeden klaster na organizację.

Tryb próbny zabezpieczeń danych hybrydowych

Po skonfigurowaniu wdrożenia hybrydowego zabezpieczenia danych spróbuj go najpierw z zestawem użytkowników pilotażowych. W okresie próbnym użytkownicy ci wykorzystują lokalną domenę hybrydowego zabezpieczenia danych do szyfrowania kluczy i innych usług domeny zabezpieczeń. Inni użytkownicy nadal korzystają ze sfery zabezpieczeń w chmurze.

Jeśli zdecydujesz się nie kontynuować wdrażania podczas wersji próbnej i dezaktywować usługi, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi współpracowali, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zostanie wyświetlony komunikat „Nie można odszyfrować tej wiadomości” w aplikacji Webex.

Jeśli jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych i jesteś gotowy do rozszerzenia hybrydowego zabezpieczenia danych na wszystkich użytkowników, przenosisz wdrożenie do produkcji. Użytkownicy pilotażowi nadal mają dostęp do kluczy, które były używane podczas próby. Nie można jednak poruszać się w tę i z powrotem między trybem produkcji a oryginalnym testem. Jeśli musisz dezaktywować usługę, na przykład w celu przeprowadzenia odzyskiwania po awarii, po ponownej aktywacji musisz rozpocząć nową wersję próbną i skonfigurować zestaw użytkowników pilotażowych dla nowej wersji próbnej przed powrotem do trybu produkcji. To, czy użytkownicy zachowują w tym momencie dostęp do danych, zależy od tego, czy udało się zachować kopie zapasowe kluczowego magazynu danych i pliku konfiguracyjnego ISO dla węzłów hybrydowych zabezpieczeń danych w klastrze.

Standby Data Center for Disaster Recovery

Podczas wdrażania skonfigurowano bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie anulować wdrożenie do centrum danych w trybie gotowości.

Bazy danych aktywnych i standby centrów danych są ze sobą zsynchronizowane, co zminimalizuje czas potrzebny na wykonanie przełącznika awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają rejestrację węzłów w organizacji, ale nie obsługują ruchu. Stąd węzły standby data center zawsze pozostają aktualne z najnowszą wersją oprogramowania HDS.

Aktywne węzły hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych.

Konfiguracja Standby Data Center do odzyskiwania awarii

Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:

Przed rozpoczęciem

Centrum danych w stanie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych oraz zapasową bazę danych PostgreSQL lub Microsoft SQL Server. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne (zobacz Standby Data Center for Disaster Recovery , aby zapoznać się z tym modelem failover).
Upewnij się, że synchronizacja bazy danych jest włączona między bazą danych aktywnych i pasywnych węzłów klastra.

1

Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.

Plik ISO musi być kopią oryginalnego pliku ISO głównego centrum danych, na którym mają być dokonywane następujące aktualizacje konfiguracji.

2

Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane

3

Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwał żadnego ruchu.


passiveMode: 'true'

4

Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia.

5

Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

6

W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia..

7

Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.

Upewnij się, że Connected and Connect at power on (Podłączono) są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły wejść w życie po uruchomieniu węzłów.

8

Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.

9

Powtórz proces dla każdego węzła w centrum danych standby.

Sprawdź dzienniki syslog, aby sprawdzić, czy węzły są w trybie pasywnym. W dziennikach syslog należy mieć możliwość wyświetlania komunikatu „KMS skonfigurowany w trybie pasywnym”.

Co zrobić dalej

Po skonfigurowaniu passiveMode w pliku ISO i zapisanie go można utworzyć inną kopię pliku ISO bez passiveMode konfigurację i zapisanie w bezpiecznym miejscu. Ta kopia pliku ISO bez passiveMode skonfigurowany może pomóc w szybkim procesie awaryjnym podczas odzyskiwania po awarii. Aby zapoznać się ze szczegółową procedurą przywracania awaryjnego za pomocą Standby Data Center (Centrum danych gotowości).

Wsparcie proxy

Hybrydowe zabezpieczenia danych obsługują jednoznaczne, przejrzyste inspekcje i nieinspekcje serwerów proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby można było zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy można używać w węzłach do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.

Węzły hybrydowego zabezpieczenia danych obsługują następujące opcje serwera proxy:

Brak serwera proxy — ustawienie domyślne, jeśli w celu zintegrowania serwera proxy nie jest używane do konfiguracji węzła HDS Trust Store & Proxy. Nie jest wymagana aktualizacja certyfikatu.
Przejrzysty serwer proxy niekontrolowany — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z serwerem proxy niekontrolowanym. Nie jest wymagana aktualizacja certyfikatu.
Przejrzyste tunelowanie lub sprawdzanie serwera proxy — węzły nie są skonfigurowane do korzystania z określonego adresu serwera proxy. W węzłach nie są konieczne zmiany konfiguracji protokołu HTTP ani protokołu HTTPS. Węzły potrzebują jednak certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).
Wyraźny serwer proxy — w przypadku wyraźnego serwera proxy należy wskazać węzły HDS, których serwer proxy i schemat uwierzytelniania należy używać. Aby skonfigurować wyraźny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
1. Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.
2. Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.
3. Protokół proxy— w zależności od tego, co obsługuje serwer proxy, wybierz między następującymi protokołami:
  - HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
  - HTTPS — udostępnia kanał do serwera. Klient odbiera i weryfikuje certyfikat serwera.
4. Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:
  - Brak — dalsze uwierzytelnianie nie jest wymagane.
    
    Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
  - Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.
    
    Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
  - Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.
    
    Dostępne tylko po wybraniu protokołu HTTPS jako protokołu proxy.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

Przykład węzłów hybrydowych zabezpieczeń danych i serwera proxy

Na tym wykresie przedstawiono przykładowe połączenie między hybrydowym zabezpieczeniem danych, siecią i serwerem proxy. W przypadku opcji przejrzystej inspekcji i jawnej inspekcji serwera proxy HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach hybrydowych zabezpieczeń danych.

Zablokowany zewnętrzny tryb rozpoznawania DNS (wyraźne konfiguracje serwera proxy)

Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. W przypadku wdrożeń z wyraźnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzną rozdzielczość DNS dla klientów wewnętrznych, jeśli węzeł nie może wyszukiwać serwerów DNS, automatycznie przechodzi on w tryb Zablokowanej zewnętrznej rozdzielczości DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.

Przygotuj swoje środowisko

Wymagania dotyczące hybrydowego bezpieczeństwa danych

Wymagania licencyjne Cisco Webex

Aby wdrożyć hybrydowe zabezpieczenia danych:

Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub (patrz https://www.cisco.com/go/pro-pack).

Docker Wymagania pulpitowe

Przed zainstalowaniem węzłów HDS potrzebny jest Docker Desktop do uruchomienia programu konfiguracji. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis w blogu platformy Docker, „ Docker aktualizuje i rozszerza subskrypcje naszych produktów ”.

Wymagania dotyczące certyfikatu X.509

Łańcuch certyfikatów musi spełniać następujące wymagania:

Tabela 1. X.509 Wymagania dotyczące certyfikatów dla wdrażania hybrydowego zabezpieczenia danych
Wymaganie	Szczegóły
Podpisany przez zaufany urząd certyfikacji (CA)	Domyślnie ufamy urzędnikom na liście Mozilla (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs.
Nazwa domeny wspólnej nazwy (CN) identyfikująca wdrożenie hybrydowego zabezpieczenia danych Nie jest certyfikatem wieloznacznych kart	CN nie musi być osiągalne ani hostem na żywo. Zalecamy używanie nazwy odzwierciedlającej np. organizację, `hds.company.com`. CN nie może zawierać * (wildcard). CN służy do weryfikacji węzłów hybrydowych zabezpieczeń danych dla klientów aplikacji Webex. Wszystkie węzły hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. System KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie obsługujemy zmiany nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych.
Podpis inny niż SHA1	Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu weryfikacji połączeń z KMSs innych organizacji.
Formatowany jako plik PKCS #12 chroniony hasłem Użyj przyjaznej nazwy `kms-private-key` aby oznaczyć certyfikat, klucz prywatny i wszelkie certyfikaty pośrednie do przesłania.	Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Po uruchomieniu narzędzia konfiguracji usługi HDS należy wprowadzić hasło.

Oprogramowanie KMS nie wymusza użycia klucza ani nie nakłada dodatkowych ograniczeń w jego używaniu. Niektóre organy certyfikatów wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia użycia kluczy, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.

Wymagania dotyczące wirtualnego prowadzącego

Wirtualne hosty skonfigurowane jako węzły hybrydowego zabezpieczenia danych w klastrze mają następujące wymagania:

Co najmniej dwa osobne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych
Oprogramowanie VMware ESXi 6.5 (lub nowsze) zostało zainstalowane i uruchomione.

Jeśli masz wcześniejszą wersję ESXi, musisz ją uaktualnić.
Minimum 4 procesory vCPUs, 8-GB pamięci głównej, 30-GB lokalnego miejsca na dysk twardy na serwer

Wymagania serwera bazy danych

Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych.

Istnieją dwie opcje dla serwera bazy danych. Wymagania dla każdego z nich są następujące:

Tabela 2. Wymagania serwera bazy danych według typu bazy danych

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 lub 16, zainstalowany i uruchomiony.

Zainstalowano program SQL Server 2016, 2017 lub 2019 (Enterprise lub Standard).

SQL Server 2016 wymaga pakietu usług 2 i zbiorczej aktualizacji 2 lub nowszej.

Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci)

Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:

PostgreSQL

Microsoft SQL Server

Postgres JDBC kierowca 42.2.5

SQL Server JDBC sterownik 4.6

Ta wersja sterownika obsługuje program SQL Server Always On (Always On Failover Cluster Instances oraz Always On availability groups).

Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w usłudze Microsoft SQL Server

Jeśli chcesz, aby węzły HDS używały uwierzytelniania w systemie Windows, aby uzyskać dostęp do bazy danych keystore na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w swoim środowisku:

Węzły HDS, infrastruktura Active Directory i MS SQL Server muszą być synchronizowane z NTP.
Konto systemu Windows dla węzłów HDS musi mieć dostęp do bazy danych do odczytu/zapisu.
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozwiązać klucz centrum dystrybucji (KDC).
Wystąpienie bazy danych HDS można zarejestrować na serwerze Microsoft SQL Server jako główną nazwę usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.

Narzędzie do konfigurowania HDS, uruchamianie HDS i lokalne KMS muszą używać uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych keystore. Używają szczegółów z konfiguracji ISO do budowy SPN podczas żądania dostępu za pomocą uwierzytelniania Kerberos.

Wymagania dotyczące połączeń zewnętrznych

Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:

Aplikacja	Protokół	Port	Polecenie z aplikacji	Miejsce docelowe
Węzły hybrydowego zabezpieczenia danych	TCP	443	Zewnętrzne HTTPS i WSS	Serwery Webex: .wbx2.com .ciscospark.com Wszystkie hosty Common Identity Inne adresy URL wymienione dla hybrydowych zabezpieczeń danych w tabeli Dodatkowe adresy URL dla usług hybrydowych Webex zawierającej wymagania sieciowe dla usług Webex
Narzędzie do konfigurowania HDS	TCP	443	Zewnętrzny protokół HTTPS	*.wbx2.com Wszystkie hosty Common Identity hub.docker.com

Węzły hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub za zaporą, o ile NAT lub zapora zezwala na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują dostępu do węzłów hybrydowych zabezpieczeń danych w portach TCP 443 i 22 do celów administracyjnych.

Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Są to bieżące hosty CI:

Region	Wspólne adresy URL prowadzącego tożsamości
Ameryka	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Unia Europejska	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Wymagania serwera proxy

Oficjalnie obsługujemy następujące rozwiązania proxy, które mogą integrować się z węzłami hybrydowego zabezpieczenia danych.

Przejrzysty serwer proxy — Cisco Web Security Appliance (WSA).

Wyraźny serwer proxy — Squid.

Proxies Squid, które sprawdzają ruch HTTPS może kolidować z ustanowieniem websocket (wss:) połączeń. Aby rozwiązać ten problem, zobacz Configure Squid Proxies for Hybrid Data Security.

Obsługujemy następujące kombinacje typów uwierzytelniania dla serwerów proxy:
- Brak uwierzytelniania przy użyciu protokołu HTTP lub HTTPS
- Uwierzytelnianie podstawowe przy użyciu protokołu HTTP lub HTTPS
- Uwierzytelnianie przy użyciu protokołu HTTPS
W przypadku przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS należy posiadać kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania zawarte w tym przewodniku informują o sposobie przesłania kopii do sklepów zaufania węzłów hybrydowych zabezpieczeń danych.
Sieć hostująca węzły HDS musi być skonfigurowana tak, aby wymuszać wychodzący ruch TCP na porcie 443 na trasę przez serwer proxy.
Serwery proxy, które kontrolują ruch sieciowy, mogą zakłócać połączenia z gniazdem internetowym. Jeśli wystąpi ten problem, omijając (nie kontrolując) ruch do wbx2.com i ciscospark.com rozwiąże problem.

Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych

Użyj tej listy kontrolnej, aby upewnić się, że jesteś gotowy do zainstalowania i skonfigurowania klastra hybrydowego bezpieczeństwa danych.

1

Upewnij się, że Twoja organizacja Webex jest włączona dla pakietu Pro Pack dla Cisco Webex Control Hub i uzyskaj poświadczenia konta z pełnymi prawami administratora organizacji. Aby uzyskać pomoc w tym procesie, skontaktuj się z partnerem firmy Cisco lub menedżerem konta.

2

Wybierz nazwę domeny dla wdrożenia HDS (na przykład hds.company.com) i uzyskać łańcuch certyfikatów zawierający certyfikat X.509, klucz prywatny i wszelkie certyfikaty pośrednie. Łańcuch certyfikatów musi spełniać wymagania określone w X.509 Certificate Requirements.

3

Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły hybrydowego zabezpieczenia danych w klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych, które spełniają wymagania w Wymagania wirtualnego hosta.

4

Przygotuj serwer bazy danych, który będzie działał jako kluczowy magazyn danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być zestawiony w bezpiecznym centrum danych z wirtualnymi hostami.

Utwórz bazę danych do przechowywania kluczy. (Musisz utworzyć tę bazę danych — nie używaj domyślnej bazy danych. Aplikacje HDS, po zainstalowaniu, tworzą schemat bazy danych.)
Zbierz szczegóły używane przez węzły do komunikacji z serwerem bazy danych:
- nazwę prowadzącego lub adres IP (prowadzącego) i port
- nazwa bazy danych (dbname) do przechowywania kluczy
- nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych magazynu kluczy

5

W celu szybkiego odzyskiwania danych po awarii należy skonfigurować środowisko tworzenia kopii zapasowych w innym centrum danych. Środowisko tworzenia kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i zapasowego serwera bazy danych. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne.

6

Skonfiguruj hosta dziennika systemowego, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemowego (domyślnie jest to UDP 514).

7

Utwórz bezpieczne zasady tworzenia kopii zapasowych węzłów hybrydowych zabezpieczeń danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec niemożliwej do odzyskania utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów hybrydowych zabezpieczeń danych.

Ponieważ węzły hybrydowego zabezpieczenia danych przechowują klucze używane do szyfrowania i odszyfrowywania treści, brak utrzymania operacyjnego wdrożenia spowoduje NIEZBĘDNĄ STRATĘ tej zawartości.

Klienci aplikacji Webex przechowują klucze w pamięci podręcznej, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się widoczna. Chociaż tymczasowe przerwy są niemożliwe do zapobieżenia, są one do odzyskania. Jednak całkowita utrata (brak kopii zapasowych) bazy danych lub pliku konfiguracyjnego ISO spowoduje niemożliwy do odzyskania dane klienta. Oczekuje się, że operatorzy węzłów hybrydowego bezpieczeństwa danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowy centrum danych hybrydowego bezpieczeństwa danych w przypadku wystąpienia katastrofalnej awarii.

8

Upewnij się, że konfiguracja zapory umożliwia dostęp do łączności w węzłach hybrydowych zabezpieczeń danych, jak opisano w Zewnętrznych wymogach dotyczących łączności.

9

Zainstaluj Docker ( https://www.docker.com) na każdej maszynie lokalnej z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080.

Za pomocą wystąpienia Docker można pobrać i uruchomić narzędzie konfiguracji HDS, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów hybrydowych zabezpieczeń danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania Dotyczące Pulpitu Dockera.

Aby zainstalować i uruchomić narzędzie do konfiguracji HDS, lokalna maszyna musi mieć łączność opisaną w Zewnętrznych wymaganiach dotyczących łączności.

10

Jeśli integrujesz serwer proxy z hybrydowymi zabezpieczeniami danych, upewnij się, że spełnia on wymagania serwera proxy.

11

Jeśli Twoja organizacja używa synchronizacji katalogu, utwórz grupę w usłudze Active Directory o nazwie HdsTrialGroup, i dodać użytkowników pilotażowych. Grupa próbna może mieć do 250 użytkowników. Plik HdsTrialGroup obiekt musi być zsynchronizowany z chmurą przed rozpoczęciem próby dla organizacji. Aby zsynchronizować obiekt grupowy, wybierz go w łączniku usług katalogowych Konfiguracja > Menu Wybór obiektu. (Szczegółowe instrukcje można znaleźć w Podręczniku wdrażania Cisco Directory Connector.)

Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Wybierając użytkowników pilotażowych, należy pamiętać, że jeśli zdecydujesz się na trwałą dezaktywację wdrożenia hybrydowego zabezpieczenia danych, wszyscy użytkownicy utracą dostęp do treści w obszarach utworzonych przez użytkowników pilotażowych. Strata staje się widoczna, gdy aplikacje użytkowników odświeżą swoje kopie w pamięci podręcznej treści.

Konfigurowanie hybrydowego klastra bezpieczeństwa danych

Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych

Przed rozpoczęciem

1

Pobierz plik OVA do lokalnego komputera, aby później go użyć.

2

Za pomocą narzędzia konfiguracyjnego HDS można utworzyć plik konfiguracyjny ISO dla węzłów hybrydowych zabezpieczeń danych.

3

Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych

Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe.

Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

4

Zaloguj się na konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.

5

Konfigurowanie węzła HDS dla integracji serwera proxy

Skonfiguruj VM z pliku konfiguracyjnego ISO utworzonego za pomocą narzędzia do konfiguracji HDS.

6

Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, którego użyjesz dla węzła, i w razie potrzeby dodaj certyfikat serwera proxy do sklepu zaufania.

7

Zarejestruj maszynę wirtualną za pomocą chmury Cisco Webex jako węzeł hybrydowego zabezpieczenia danych.

8

Konfigurowanie hybrydowego klastra bezpieczeństwa danych

Zakończ konfigurację klastra.

9

Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział)

Do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana.

Pobierz pliki instalacyjne

W tym zadaniu pobierz plik OVA do swojego komputera (nie do serwerów skonfigurowanych jako węzły hybrydowego zabezpieczenia danych). Ten plik jest używany później w procesie instalacji.

1

Zaloguj się do https://admin.webex.com, a następnie kliknij opcję Usługi.

2

W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych, a następnie kliknij przycisk Skonfiguruj.

Jeśli karta jest wyłączona lub jej nie widzisz, skontaktuj się z zespołem ds. kont lub organizacją partnerską. Podaj im numer konta i poproś o włączenie organizacji Hybrid Data Security. Aby znaleźć numer konta, kliknij bieg w prawym górnym rogu obok nazwy organizacji.

OVA można również pobrać w dowolnym momencie z sekcji Pomoc na stronie Ustawienia . Na karcie Hybrid Data Security kliknij opcję Edytuj ustawienia, aby otworzyć stronę. Następnie kliknij opcję Pobierz oprogramowanie hybrydowego zabezpieczenia danych w sekcji Pomoc .

Starsze wersje pakietu oprogramowania (OVA) nie będą kompatybilne z najnowszymi aktualizacjami Hybrid Data Security. Może to spowodować problemy podczas uaktualniania aplikacji. Upewnij się, że pobierz najnowszą wersję pliku OVA.

3

Wybierz Nie , aby wskazać, że węzeł nie został jeszcze skonfigurowany, a następnie kliknij przycisk Dalej.

Plik OVA automatycznie zaczyna się pobierać. Zapisz plik w lokalizacji na komputerze.

4

Opcjonalnie kliknij Open Deployment Guide (Otwórz przewodnik wdrażania), aby sprawdzić, czy dostępna jest późniejsza wersja tego przewodnika.

Tworzenie ISO konfiguracji dla prowadzących HDS

Proces konfiguracji hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie należy użyć ISO do skonfigurowania hosta hybrydowego bezpieczeństwa danych.

Przed rozpoczęciem

Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas podnoszenia kontenera Docker w kroku 5. W tej tabeli podano kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Wygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Potrzebna jest najnowsza kopia tego pliku, gdy wprowadzasz zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatów
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrowanie połączeń z bazą danych, skonfiguruj wdrożenie programu PostgreSQL lub SQL Server dla TLS.

1

W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

W zwykłych środowiskach:

docker rmi ciscocitg/hds-setup:stable

W środowiskach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

2

Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:

docker login -u hdscustomersro

3

Po wyświetleniu monitu o hasło wprowadź ten skrót:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Pobierz najnowszy stabilny obraz dla swojego środowiska:

W zwykłych środowiskach:

docker pull ciscocitg/hds-setup:stable

W środowiskach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

5

Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:

W zwykłych środowiskach bez serwera proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

W zwykłych środowiskach z serwerem proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

W zwykłych środowiskach z serwerem proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

W środowiskach FedRAMP bez serwera proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z serwerem proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z serwerem proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

6

Narzędzie Konfiguracja nie obsługuje łączenia się z localhost za pośrednictwem http://localhost:8080. Użyj http://127.0.0.1:8080, aby połączyć się z hostem lokalizacji.

Użyj przeglądarki internetowej, aby przejść do hosta lokalizacji, http://127.0.0.1:8080, i wprowadź nazwę użytkownika administratora klienta dla Control Hub po wyświetleniu monitu.

Narzędzie używa tego pierwszego wpisu nazwy użytkownika, aby ustawić odpowiednie środowisko dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.

7

Po wyświetleniu monitu wprowadź poświadczenia logowania administratora klienta Control Hub, a następnie kliknij przycisk Zaloguj się , aby zezwolić na dostęp do wymaganych usług Hybrid Data Security.

8

Na stronie Przegląd narzędzia konfiguracyjnego kliknij Rozpocznij.

9

Na stronie ISO Import dostępne są następujące opcje:

Nie— jeśli tworzysz swój pierwszy węzeł HDS, nie masz pliku ISO do przesłania.
Tak— jeśli utworzono już węzły HDS, należy wybrać plik ISO podczas przeglądania i przesyłania go.

10

Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatów X.509.

Jeśli nigdy wcześniej nie przesłałeś certyfikatu, prześlij certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.
Jeśli certyfikat jest prawidłowy, kliknij przycisk Kontynuuj.
Jeśli certyfikat wygasł lub chcesz go zastąpić, wybierz opcję Nie , aby Kontynuować korzystanie z łańcucha certyfikatów HDS i klucza prywatnego z poprzedniego ISO?. Prześlij nowy certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.

11

Wprowadź adres bazy danych i konto HDS, aby uzyskać dostęp do klucza danych:

Wybierz typ bazy danych (PostgreSQL lub Microsoft SQL Server).

Jeśli wybierzesz program Microsoft SQL Server, otrzymasz pole Typ uwierzytelniania.
(tylko Microsoft SQL Server) Wybierz Typ uwierzytelniania:
- Uwierzytelnianie podstawowe: W polu Nazwa użytkownika potrzebna jest lokalna nazwa konta SQL Server.
- Uwierzytelnianie systemu Windows: Potrzebujesz konta Windows w formacie username@DOMAIN w polu Nazwa użytkownika.
Wprowadź adres serwera bazy danych w formularzu <hostname>:<port> lub <IP-address>:<port>.

Przykład:
dbhost.example.org:1433 lub 198.51.100.17:1433

Do podstawowego uwierzytelniania można użyć adresu IP, jeśli węzły nie mogą używać DNS do rozpoznawania nazwy hosta.

Jeśli używasz uwierzytelniania systemu Windows, musisz wprowadzić w pełni kwalifikowaną nazwę domeny w formacie dbhost.example.org:1433
Wprowadź nazwę bazy danych.
Wprowadź nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych magazynu kluczy.

12

Wybierz tryb połączenia z bazą danych TLS:

Tryb

Opis

Preferuj TLS (opcja domyślna)

Węzły HDS nie wymagają TLS do łączenia się z serwerem bazy danych. Jeśli włączysz protokół TLS na serwerze bazy danych, węzły spróbują zaszyfrowanego połączenia.

Wymagaj TLS

Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować TLS.

Wymagaj TLS i zweryfikuj osobę podpisującą certyfikat

Ten tryb nie ma zastosowania do baz danych SQL Server.

Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować TLS.
Po nawiązaniu połączenia TLS węzeł porównuje sygnera certyfikatu z serwera bazy danych z organem certyfikatu w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie.

Użyj przycisku Certyfikat główny bazy danych poniżej listy rozwijanej, aby przesłać certyfikat główny dla tej opcji.

Wymagaj TLS oraz zweryfikuj osobę podpisującą certyfikat i nazwę hosta

Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować TLS.
Po nawiązaniu połączenia TLS węzeł porównuje sygnera certyfikatu z serwera bazy danych z organem certyfikatu w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie.
Węzły sprawdzają również, czy nazwa hosta w certyfikacie serwera jest zgodna z nazwą hosta w polu Baza danych i port . Nazwy muszą być dokładnie takie same, w przeciwnym razie węzeł zerwie połączenie.

Użyj przycisku Certyfikat główny bazy danych poniżej listy rozwijanej, aby przesłać certyfikat główny dla tej opcji.

Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracji HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie sprawdza również osobę podpisującą certyfikat i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w połączeniach węzły HDS mogą być w stanie nawiązać połączenie TLS, nawet jeśli maszyna narzędziowa HDS Setup Tool nie jest w stanie go przetestować).

13

Na stronie Dzienniki systemu skonfiguruj serwer Syslogd:

Wprowadź adres URL serwera dziennika systemowego.

Jeśli serwer nie jest w stanie rozwiązać DNS z węzłów klastra HDS, użyj adresu IP w adresie URL.

Przykład:
udp://10.92.43.23:514 wskazuje logowanie do hosta Syslogd 10.92.43.23 w porcie UDP 514.
Jeśli skonfigurujesz serwer, aby używał szyfrowania TLS, sprawdź, czy serwer dziennika systemowego jest skonfigurowany do szyfrowania SSL?.

Jeśli zaznaczysz to pole wyboru, upewnij się, że wprowadzasz adres URL TCP, taki jak: tcp://10.92.43.23:514.
Z listy rozwijanej Wybierz zakończenie rekordu dziennika systemowego wybierz odpowiednie ustawienie dla pliku ISO: Wybierz lub Newline są używane do Graylog i Rsyslog TCP
- Byte czajnika -- \x00
- Newline -- \n — Wybierz ten wybór dla aplikacji Graylog i Rsyslog TCP.
Kliknij przycisk Kontynuuj.

14

(Opcjonalnie) W ustawieniach zaawansowanych można zmienić wartość domyślną niektórych parametrów połączenia z bazą danych. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić:

app_datasource_connection_pool_maxSize: 10

15

Kliknij przycisk Kontynuuj na ekranie Resetuj hasło konta usługi .

Hasła konta serwisowego mają okres dziewięciu miesięcy. Użyj tego ekranu, gdy hasła zbliżają się do wygaśnięcia lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO.

16

Kliknij opcję Pobierz plik ISO. Zapisz plik w lokalizacji, którą łatwo znaleźć.

17

Wykonaj kopię zapasową pliku ISO w lokalnym systemie.

Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

18

Aby zamknąć narzędzie Setup, wpisz: CTRL+C.

Co zrobić dalej

Kopia zapasowa pliku ISO konfiguracji. Musisz utworzyć więcej węzłów do odzyskiwania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Odzyskiwanie kluczy z bazy danych PostgreSQL lub Microsoft SQL Server nie jest możliwe.

Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz.

Instalowanie OVA hosta HDS

Użyj tej procedury, aby utworzyć maszynę wirtualną z pliku OVA.

1

Aby zalogować się do wirtualnego hosta ESXi, użyj klienta VMware vSphere na komputerze.

2

Wybierz Plik > Wdrożenie szablonu OVF.

3

W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij Następny.

4

Na ekranie Wybierz nazwę i folder strona, wprowadź Nazwa maszyny wirtualnej dla węzła (na przykład „HDS_Node_1”) wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Następny.

5

Na ekranie Wybierz zasób obliczeniowy strona, wybierz docelowy zasób obliczeniowy, a następnie kliknij Następny.

Trwa kontrola walidacji. Po jego zakończeniu pojawiają się szczegóły szablonu.

6

Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej.

7

Jeśli zostaniesz poproszony o wybranie konfiguracji zasobów na stronie Konfiguracja strona, kliknij 4 CPU a następnie kliknij Następny.

8

Na ekranie Wybierz miejsce strona, kliknij Następny aby zaakceptować domyślny format dysku i zasady przechowywania VM.

9

Na ekranie Wybierz sieci na stronie wybierz opcję sieci z listy pozycji, aby zapewnić żądaną łączność z maszyną wirtualną.

10

Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieci:

Nazwa hosta — wprowadź nazwę hosta FQDN (nazwa hosta i domena) lub nazwę hosta pojedynczego słowa dla węzła.

Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509.
Aby zapewnić pomyślną rejestrację w chmurze, użyj tylko znaków z małymi literami w nazwie FQDN lub nazwie hosta ustawionej dla węzła. W tym momencie kapitalizacja nie jest obsługiwana.
Całkowita długość FQDN nie może przekraczać 64 znaków.

Adres IP— wprowadź adres IP interfejsu wewnętrznego węzła.

Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany.
Maska— wprowadź adres maski podsieci w notacji dot-dziesiętnej. Na przykład: 255.255.255.0.
Brama — wprowadź adres IP bramy. Brama to węzeł sieciowy, który służy jako punkt dostępu do innej sieci.
Serwery DNS— wprowadź oddzieloną przecinkami listę serwerów DNS, które obsługują tłumaczenie nazw domen na numeryczne adresy IP. (Dozwolone są do 4 wpisy DNS).
Serwery NTP — wprowadź serwer NTP swojej organizacji lub inny zewnętrzny serwer NTP, który może być używany w Twojej organizacji. Domyślne serwery NTP mogą nie działać dla wszystkich przedsiębiorstw. Można również użyć listy rozdzielonej przecinkami, aby wprowadzić wiele serwerów NTP.

Wdrożenie wszystkich węzłów w tej samej podsieci lub sieci VLAN, tak aby wszystkie węzły w klastrze były dostępne dla klientów w sieci do celów administracyjnych.

Jeśli jest to preferowane, można pominąć konfigurację ustawień sieci i wykonać czynności opisane w punkcie Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych w celu skonfigurowania ustawień z konsoli węzła.

Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

11

Kliknij prawym przyciskiem myszy węzeł VM, a następnie wybierz Zasilanie > Włączanie zasilania.

Oprogramowanie Hybrid Data Security jest instalowane jako gość w hostu VM. Teraz możesz zalogować się na konsoli i skonfigurować węzeł.

Wskazówki dotyczące rozwiązywania problemów

Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzła. Podczas pierwszego uruchamiania na konsoli pojawi się komunikat zapory mostowej, podczas którego nie można się zalogować.

Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych

Użyj tej procedury, aby po raz pierwszy zalogować się na konsoli VM węzła hybrydowego zabezpieczenia danych i ustawić poświadczenia logowania. Konsola może również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.

1	W kliencie VMware vSphere wybierz węzeł VM Hybrid Data Security i kartę Console . Maszyna zostanie uruchomiona i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie nie jest wyświetlany, naciśnij przycisk Enter.
2	Aby się zalogować i zmienić poświadczenia, należy użyć następującego domyślnego loginu i hasła: Logowanie: `admin` Hasło: `cisco` Ponieważ logujesz się do VM po raz pierwszy, musisz zmienić hasło administratora.
3	Jeśli ustawienia sieci zostały już skonfigurowane w Instalowaniu OVA hosta usługi HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację.
4	Skonfiguruj statyczną konfigurację z adresem IP, maską, bramą i informacjami DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany.
5	(Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne do dopasowania do zasad sieci. Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509.
6	Zapisz konfigurację sieci i uruchom ponownie VM, aby zmiany weszły w życie.

Prześlij i zamontuj ISO konfiguracji HDS

Ta procedura służy do konfigurowania maszyny wirtualnej z pliku ISO utworzonego za pomocą narzędzia konfiguracji HDS.

Przed rozpoczęciem

Ponieważ plik ISO zawiera klucz główny, powinien on być narażony tylko na „potrzebę wiedzy”, aby uzyskać dostęp do hybrydowych maszyn wirtualnych ds. bezpieczeństwa danych i wszystkich administratorów, którzy mogą wymagać wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mogą uzyskać dostęp do bazy danych.

1

Prześlij plik ISO z komputera:

W lewym okienku nawigacyjnym klienta VMware vSphere kliknij na serwer ESXi.
Na liście Sprzętu na karcie Konfiguracja kliknij przycisk Przechowywanie.
Na liście Datastores kliknij prawym przyciskiem myszy katalog danych dla swoich maszyn wirtualnych i kliknij opcję Przeglądaj Datastore.
Kliknij ikonę Prześlij pliki, a następnie kliknij Prześlij plik.
Przejdź do lokalizacji, w której pobrałeś plik ISO na komputerze i kliknij przycisk Otwórz.
Kliknij przycisk Tak, aby zaakceptować ostrzeżenie o operacji przesyłania/pobierania i zamknąć okno dialogowe z listą danych.

2

Montaż pliku ISO:

W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy VM i kliknij Edytuj ustawienia .
Kliknij przycisk OK, aby zaakceptować ostrzeżenie o opcjach edycji ograniczonej.
Kliknij CD/DVD Drive 1, wybierz opcję montażu z pliku ISO w zbiorniku danych i przejdź do lokalizacji, w której przesłano plik ISO konfiguracji.
Sprawdzić Podłączono i Podłączono przy włączonym zasilaniu.
Zapisz zmiany i uruchom ponownie maszynę wirtualną.

Co zrobić dalej

Jeśli polityka IT wymaga, możesz opcjonalnie odmontować plik ISO po tym, jak wszystkie węzły podniosą zmiany w konfiguracji. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.

Konfigurowanie węzła HDS dla integracji serwera proxy

Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z Hybrid Data Security. Po wybraniu przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS można użyć interfejsu węzła do przesłania i zainstalowania certyfikatu głównego. Możesz również sprawdzić połączenie serwera proxy z poziomu interfejsu i rozwiązać ewentualne problemy.

Przed rozpoczęciem

Aby zapoznać się z opcjami obsługiwanego serwera proxy, zobacz Obsługa serwera proxy.
Wymagania serwera proxy

1	Wprowadź adres URL konfiguracji węzła HDS `https://[HDS Node IP or FQDN]/setup` w przeglądarce internetowej wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się.
2	Przejdź do sklepu Trust Store & Proxy, a następnie wybierz opcję: Brak serwera proxy — opcja domyślna przed integracją serwera proxy. Nie jest wymagana aktualizacja certyfikatu. Transparent Non-Inspecting Proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z niekontrolowanym serwerem proxy. Nie jest wymagana aktualizacja certyfikatu. Transparent Inspecting Proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy. W przypadku wdrożenia hybrydowego zabezpieczenia danych nie są konieczne zmiany konfiguracji protokołu HTTPS, jednak węzły HDS potrzebują certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS). Explicit Proxy— w przypadku wyraźnego serwera proxy użytkownik informuje klienta (węzły HDS), którego serwera proxy ma używać, a ta opcja obsługuje kilka typów uwierzytelniania. Po wybraniu tej opcji należy wprowadzić następujące informacje: Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy. Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy. Protokół proxy — wybierz http (wyświetla i kontroluje wszystkie żądania otrzymane od klienta) lub https (dostarcza kanał do serwera, a klient odbiera i weryfikuje certyfikat serwera). Wybierz opcję na podstawie tego, co obsługuje serwer proxy. Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania: Brak — dalsze uwierzytelnianie nie jest wymagane. Dostępne dla serwerów proxy HTTP lub HTTPS. Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64. Dostępne dla serwerów proxy HTTP lub HTTPS. Jeśli wybierzesz tę opcję, musisz również wprowadzić nazwę użytkownika i hasło. Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem. Dostępne tylko dla serwerów proxy HTTPS. Jeśli wybierzesz tę opcję, musisz również wprowadzić nazwę użytkownika i hasło. Postępuj zgodnie z kolejnymi krokami w celu przejrzystego kontrolowania serwera proxy, bezpośredniego serwera proxy HTTP z uwierzytelnianiem podstawowym lub bezpośredniego serwera proxy HTTPS.
3	Kliknij opcję Prześlij certyfikat główny lub certyfikat jednostki końcowej, a następnie przejdź do opcji Wybierz certyfikat główny serwera proxy. Certyfikat jest przesyłany, ale jeszcze nie został zainstalowany, ponieważ aby zainstalować certyfikat, należy ponownie uruchomić węzeł. Aby uzyskać więcej szczegółów, kliknij strzałkę chevron po nazwie emitenta certyfikatu lub kliknij opcję Usuń, jeśli popełniłeś błąd i chcesz ponownie przesłać plik.
4	Kliknij Check Proxy Connection (Sprawdź połączenie proxy), aby sprawdzić połączenie sieciowe między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, pojawi się komunikat o błędzie przedstawiający przyczynę i sposób naprawienia problemu. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS. Warunek ten jest oczekiwany w wielu wyraźnych konfiguracjach serwera proxy. Możesz kontynuować konfigurację, a węzeł będzie działał w trybie Zablokowanej Zewnętrznej Rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj poniższe czynności, a następnie zobacz Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS.
5	Po przejściu testu połączenia, w przypadku wyraźnego serwera proxy ustawionego tylko na https, włącz przełącznik do Trasowania wszystkich żądań portu 443/444 https z tego węzła za pomocą wyraźnego serwera proxy. To ustawienie wymaga 15 sekund działania.
6	Kliknij Instaluj Wszystkie Certyfikaty W Sklepie Zaufania (pojawi się dla wyraźnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawi się dla wyraźnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij opcję Instaluj , jeśli jesteś gotowy. Węzeł zostanie uruchomiony ponownie w ciągu kilku minut.
7	Po ponownym uruchomieniu węzła zaloguj się ponownie w razie potrzeby, a następnie otwórz stronę Przegląd , aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie mają zielony status. Kontrola połączenia z serwerem proxy sprawdza tylko poddomenę webex.com. Jeśli występują problemy z łącznością, powszechnym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy.

Zarejestruj pierwszy węzeł w klastrze

To zadanie przejmuje ogólny węzeł utworzony w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych, rejestruje węzeł w chmurze Webex i zamienia go w węzeł hybrydowego bezpieczeństwa danych.

Po zarejestrowaniu pierwszego węzła utwórz klaster, do którego jest przypisany węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia zwolnień.

Przed rozpoczęciem

Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.

1	Zaloguj się w https://admin.webex.com.
2	W menu po lewej stronie ekranu wybierz opcję Usługi.
3	W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij przycisk Skonfiguruj. Zostanie wyświetlona strona węzła Zarejestruj hybrydowe zabezpieczenia danych.
4	Wybierz Tak, aby wskazać, że węzeł został skonfigurowany i chcesz go zarejestrować, a następnie kliknij przycisk Dalej.
5	W pierwszym polu wprowadź nazwę klastra, do którego chcesz przypisać węzeł hybrydowego zabezpieczenia danych. Zalecamy nazwanie klastra na podstawie lokalizacji węzłów klastra. Przykłady: "San Francisco", "Nowy Jork" czy "Dallas"
6	W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej. Ten adres IP lub nazwa FQDN powinny być zgodne z adresem IP lub nazwą hosta i domeną używaną podczas konfigurowania hybrydowej maszyny wirtualnej ds. bezpieczeństwa danych. Pojawi się komunikat informujący, że można zarejestrować węzeł w usłudze Webex.
7	Kliknij przycisk Przejdź do węzła.
8	Kliknij przycisk Kontynuuj w komunikacie ostrzegawczym. Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji Webex, aby uzyskać dostęp do węzła.
9	Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
10	Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub. Na stronie Hybrid Data Security jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.

Tworzenie i rejestrowanie większej liczby węzłów

Aby dodać dodatkowe węzły do klastra, wystarczy utworzyć dodatkowe numery VMs i zamontować ten sam plik ISO konfiguracji, a następnie zarejestrować węzeł. Zalecamy posiadanie co najmniej 3 węzłów.

W tym czasie zapasowe maszyny wirtualne utworzone w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych są hostami gotowymi, które są używane tylko w przypadku odzyskiwania po awarii; do tego czasu nie są rejestrowane w systemie. Aby uzyskać szczegółowe informacje, patrz Przywracanie systemu po awarii za pomocą Standby Data Center.

Przed rozpoczęciem

Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.

1	Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Instalacji OVA hosta HDS.
2	Skonfiguruj konfigurację początkową na nowej maszynie wirtualnej, powtarzając kroki w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych.
3	W nowej maszynie wirtualnej wykonaj ponownie czynności opisane w polu Prześlij i zamontuj ISO konfiguracji HDS.
4	Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w Konfigurowaniu węzła HDS dla integracji serwera proxy zgodnie z potrzebami nowego węzła.
5	Zarejestruj węzeł. W https://admin.webex.com wybierz Usługi z menu po lewej stronie ekranu. W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych i kliknij opcję Zasoby. Pojawi się strona Hybrid Data Security Resources (Zasoby zabezpieczeń danych hybrydowych). Kliknij przycisk Dodaj zasób. W pierwszym polu wybierz nazwę istniejącego klastra. W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej. Pojawi się komunikat informujący, że można zarejestrować węzeł w chmurze Webex. Kliknij przycisk Przejdź do węzła. Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji, aby uzyskać dostęp do węzła. Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex. Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub. Twój węzeł jest zarejestrowany. Należy pamiętać, że do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie jest jeszcze aktywowana.

Co zrobić dalej

Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział)

Uruchom wersję próbną i przejdź do produkcji

Przepływ próby do zadania produkcyjnego

Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.

Przed rozpoczęciem

1	Jeśli dotyczy, zsynchronizuj `HdsTrialGroup` obiekt grupowy. Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać `HdsTrialGroup` obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.
2	Aktywuj wersję próbną Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana.
3	Przetestuj wdrożenie hybrydowego zabezpieczenia danych Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.
4	Monitorowanie stanu hybrydowego bezpieczeństwa danych Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów.
5	Dodawanie lub usuwanie użytkowników z wersji próbnej
6	Zakończ fazę próbną, wykonując jedną z następujących czynności: Przeniesienie z wersji próbnej do produkcji Zakończ wersję próbną bez przejścia do produkcji

Aktywuj wersję próbną

Przed rozpoczęciem

Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby dla organizacji. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.

1	Zaloguj się do https://admin.webex.com, a następnie wybierz opcję Usługi.
2	W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.
3	W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną. Stan usługi zmienia się w tryb próbny.
4	Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług. (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, `HdsTrialGroup`.)

Przetestuj wdrożenie hybrydowego zabezpieczenia danych

Użyj tej procedury, aby przetestować scenariusze szyfrowania hybrydowych zabezpieczeń danych.

Przed rozpoczęciem

Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.
Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.

1

Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.

Jeśli dezaktywujesz wdrożenie hybrydowego zabezpieczenia danych, zawartość w obszarach tworzonych przez użytkowników pilotażowych nie jest już dostępna po wymianie kopii kluczy szyfrowania w pamięci podręcznej klienta.

2

Wysyłaj wiadomości do nowego obszaru.

3

Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych.

Aby sprawdzić, czy użytkownik najpierw ustanawia bezpieczny kanał w systemie KMS, filtruj go kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

Należy znaleźć wpis taki jak następujący (identyfikatory skrócone dla czytelności):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Aby sprawdzić, czy użytkownik żądający istniejącego klucza z KMS, filtruj na kms.data.method=retrieve i kms.data.type=KEY:

Należy znaleźć wpis taki jak:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Aby sprawdzić, czy użytkownik wnioskuje o utworzenie nowego klucza KMS, filtruj kms.data.method=create i kms.data.type=KEY_COLLECTION:

Należy znaleźć wpis taki jak:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Aby sprawdzić, czy użytkownik prosi o utworzenie nowego obiektu zasobów KMS (KRO) podczas tworzenia obszaru lub innego chronionego zasobu, filtruj kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

Należy znaleźć wpis taki jak:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorowanie stanu hybrydowego bezpieczeństwa danych

Wskaźnik stanu w Control Hub pokazuje, czy wszystko jest dobrze we wdrożeniu hybrydowego zabezpieczenia danych. Aby uzyskać bardziej proaktywne alerty, zapisz się do powiadomień e-mail. Otrzymasz powiadomienie o alarmach lub aktualizacjach oprogramowania mających wpływ na usługę.

1	W Control Hub wybierz Usługi z menu po lewej stronie ekranu.
2	W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij Ustawienia. Zostanie wyświetlona strona Ustawienia zabezpieczeń danych hybrydowych.
3	W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij przycisk Enter.

Dodawanie lub usuwanie użytkowników z wersji próbnej

Po aktywacji wersji próbnej i dodaniu początkowego zestawu użytkowników wersji próbnej można dodać lub usunąć członków wersji próbnej w dowolnym momencie, gdy wersja próbna jest aktywna.

Jeśli usuniesz użytkownika z wersji próbnej, klient poprosi go o utworzenie kluczy i klawiszy z chmury KMS zamiast Twojego KMS. Jeśli klient potrzebuje klucza przechowywanego w KMS, Cloud KMS pobierze go w imieniu użytkownika.

Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory (zamiast tej procedury) do zarządzania grupą próbną, HdsTrialGroup; można wyświetlać członków grupy w Control Hub, ale nie można ich dodawać ani usuwać.

1	Zaloguj się do Control Hub, a następnie wybierz Usługi.
2	W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.
3	W sekcji Tryby wersji próbnej w obszarze Stan usługi kliknij przycisk Dodaj użytkowników lub kliknij widok i edytuj , aby usunąć użytkowników z wersji próbnej.
4	Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania lub kliknij przycisk X identyfikatorem użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij Zapisz .

Przeniesienie z wersji próbnej do produkcji

Gdy jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych, możesz przejść do produkcji. Po przeniesieniu do produkcji wszyscy użytkownicy w organizacji będą korzystać z lokalnej domeny hybrydowego zabezpieczenia danych w celu szyfrowania kluczy i innych usług w dziedzinie zabezpieczeń. Nie można wrócić do trybu próbnego z produkcji, chyba że dezaktywujesz usługę w ramach odzyskiwania awaryjnego. Reaktywacja usługi wymaga skonfigurowania nowej wersji próbnej.

1	Zaloguj się do Control Hub, a następnie wybierz Usługi.
2	W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.
3	W sekcji Stan usługi kliknij opcję Przenieś do produkcji.
4	Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji.

Zakończ wersję próbną bez przejścia do produkcji

Jeśli podczas okresu próbnego zdecydujesz się nie kontynuować wdrażania hybrydowego zabezpieczenia danych, możesz dezaktywować hybrydowe zabezpieczenia danych, które kończą okres próbny i przenoszą użytkowników wersji próbnej z powrotem do usług zabezpieczeń danych w chmurze. Użytkownicy próbni stracą dostęp do danych zaszyfrowanych podczas badania.

1	Zaloguj się do Control Hub, a następnie wybierz Usługi.
2	W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.
3	W sekcji Dezaktywuj kliknij przycisk Dezaktywuj.
4	Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny.

Zarządzanie wdrożeniem HDS

Użyj opisanych tutaj zadań do zarządzania wdrożeniem hybrydowego zabezpieczenia danych.

Ustaw harmonogram uaktualniania klastra

Aktualizacje oprogramowania Hybrid Data Security są wykonywane automatycznie na poziomie klastra, co zapewnia, że wszystkie węzły zawsze korzystają z tej samej wersji oprogramowania. Uaktualnienia są wykonywane zgodnie z harmonogramem uaktualniania klastra. Po udostępnieniu uaktualnienia oprogramowania można ręcznie uaktualnić klaster przed zaplanowaną godziną uaktualnienia. Można ustawić określony harmonogram uaktualniania lub użyć domyślnego harmonogramu 3:00 rano Daily Stany Zjednoczone: Ameryka/Los Angeles. W razie potrzeby można również odłożyć nadchodzące uaktualnienie.

Aby ustawić harmonogram uaktualniania:

1	Zaloguj się do Centrum sterowania .
2	Na stronie Przegląd w obszarze Usługi hybrydowe wybierz opcję Hybrid Data Security.
3	Na stronie Zasoby zabezpieczeń danych hybrydowych wybierz klaster.
4	W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra.
5	Na stronie Ustawienia w obszarze Uaktualnianie wybierz godzinę i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest następna dostępna data i godzina aktualizacji. W razie potrzeby można odroczyć uaktualnienie do następnego dnia, klikając opcję Odłóż.

Zmień konfigurację węzła

Czasami może zajść potrzeba zmiany konfiguracji węzła hybrydowego zabezpieczenia danych z następujących powodów:

Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.

Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do zarejestrowania klastra.

Aktualizowanie ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.

Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.

Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.

Ponadto, ze względów bezpieczeństwa, Hybrid Data Security używa haseł do kont usługi o dziewięciomiesięcznym okresie ważności. Gdy narzędzie konfiguracji HDS wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO . Gdy hasła organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex , aby zresetować hasło do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj API konta komputera, aby zaktualizować hasło”). Jeśli hasła jeszcze nie wygasły, narzędzie udostępnia dwie opcje:

Miękki reset — Stare i nowe hasło działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
Twardy reset — Stare hasła natychmiast przestają działać.

Jeśli hasła wygasną bez zresetowania, będzie to miało wpływ na usługę HDS i wymaga natychmiastowego twardego resetu i zastąpienia pliku ISO we wszystkich węzłach.

Ta procedura służy do generowania nowego konfiguracyjnego pliku ISO i zastosowania go do klastra.

Przed rozpoczęciem

Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas przywoływania kontenera Docker w 1.e. W tej tabeli podano kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO . ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.

1

Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie konfiguracji HDS.

W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

W zwykłych środowiskach:

docker rmi ciscocitg/hds-setup:stable

W środowiskach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:
```
docker login -u hdscustomersro
```
Po wyświetleniu monitu o hasło wprowadź ten skrót:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Pobierz najnowszy stabilny obraz dla swojego środowiska:

W zwykłych środowiskach:

docker pull ciscocitg/hds-setup:stable

W środowiskach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Upewnij się, że pobierasz najnowsze narzędzie instalacyjne dla tej procedury. Wersje narzędzia utworzone przed 22 lutego 2018 r. nie mają ekranów resetowania hasła.

Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:

W zwykłych środowiskach bez serwera proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

W zwykłych środowiskach z serwerem proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

W normalnych środowiskach z serwerem HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

W środowiskach FedRAMP bez serwera proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z serwerem proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z serwerem proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

Użyj przeglądarki, aby połączyć się z hostem lokalnym, http://127.0.0.1:8080.

Narzędzie Konfiguracja nie obsługuje łączenia się z localhost za pośrednictwem http://localhost:8080. Użyj http://127.0.0.1:8080, aby połączyć się z hostem lokalizacji.

Po wyświetleniu monitu wprowadź poświadczenia logowania klienta Control Hub, a następnie kliknij Zaakceptuj aby kontynuować.
Zaimportuj bieżący plik konfiguracyjny ISO .
Postępuj zgodnie z instrukcjami, aby ukończyć działanie narzędzia i pobrać zaktualizowany plik.

Aby zamknąć narzędzie Setup, wpisz: CTRL+C.
Utwórz kopię zapasową zaktualizowanego pliku w innym centrum danych.

2

Jeśli uruchomiony jest tylko jeden węzeł HDS , utwórz nową maszynę VM węzła Hybrid Data Security i zarejestruj ją przy użyciu nowego konfiguracyjnego pliku ISO . Aby uzyskać bardziej szczegółowe instrukcje, zobacz temat Tworzenie i rejestrowanie większej liczby węzłów.

Zainstaluj narzędzie OVA hosta HDS.
Skonfiguruj maszynę VM HDS .
Podłącz zaktualizowany plik konfiguracyjny.
Zarejestruj nowy węzeł w Control Hub.

3

W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO . Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła:

Wyłącz maszynę wirtualną.
W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy VM i kliknij Edytuj ustawienia .
Kliknij CD/DVD Drive 1, wybierz opcję podłączenia z pliku ISO i przejdź do lokalizacji, do której pobrano nowy konfiguracyjny plik ISO .
Sprawdź Połącz po włączeniu .
Zapisz zmiany i włącz maszynę wirtualną.

4

Powtórz krok 3, aby zastąpić konfigurację w każdym pozostałym węźle, na którym działa stara konfiguracja.

Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS

Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznawać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb Zablokowanej zewnętrznej rozdzielczości DNS.

Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, uruchamiając ponownie test połączenia serwera proxy w każdym węźle.

Przed rozpoczęciem

Upewnij się, że wewnętrzne serwery DNS mogą rozpoznawać publiczne nazwy DNS oraz że węzły mogą się z nimi komunikować.

1	W przeglądarce internetowej otwórz interfejs węzła hybrydowego zabezpieczenia danych (adres IP/konfiguracja, na przykład https://192.0.2.0/setup), wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się.
2	Przejdź do Przegląd (strona domyślna). Po włączeniu Rozpoznawanie zablokowanego zewnętrznego DNS jest ustawiony na Tak .
3	Przejdź do strony Trust Store & Proxy.
4	Kliknij przycisk Sprawdź połączenie z serwerem proxy. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS i pozostanie w tym trybie. W przeciwnym razie po ponownym uruchomieniu węzła i powrocie na stronę Przegląd zablokowana zewnętrzna rozdzielczość DNS powinna być ustawiona na nr.

Co zrobić dalej

Powtórz test połączenia z serwerem proxy dla każdego węzła w klastrze hybrydowego zabezpieczenia danych.

Usuń węzeł

Użyj tej procedury, aby usunąć węzeł hybrydowego zabezpieczenia danych z chmury Webex. Po usunięciu węzła z klastra usuń maszynę wirtualną, aby zapobiec dalszemu dostępowi do danych zabezpieczeń.

1

Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi i wyłączyć maszynę wirtualną.

2

Usuń węzeł:

Zaloguj się do Control Hub, a następnie wybierz Usługi.
Na karcie hybrydowe zabezpieczenia danych kliknij przycisk Wyświetl wszystkie , aby wyświetlić stronę zasobów hybrydowych zabezpieczeń danych.
Wybierz klaster, aby wyświetlić jego panel Przegląd.
Kliknij listę Otwórz węzły.
Na karcie Węzły wybierz węzeł, który chcesz usunąć.
Kliknij przycisk Akcje > węzeł Deregister.

3

W kliencie vSphere usuń maszynę wirtualną (w lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij polecenie Usuń).

Jeśli nie usuniesz VM, pamiętaj o usunięciu pliku ISO konfiguracji. Bez pliku ISO nie można użyć maszyny wirtualnej, aby uzyskać dostęp do danych bezpieczeństwa.

Odzyskiwanie po awarii za pomocą Standby Data Center

Najbardziej krytyczną usługą oferowaną przez klaster Hybrid Data Security jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji przypisanego do hybrydowego zabezpieczenia danych nowe żądania tworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za przywrócenie kluczy, które został utworzony do wszystkich użytkowników upoważnionych do ich odzyskania, na przykład członków obszaru konwersacji.

Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby utrzymywały się odpowiednie kopie zapasowe. Utrata bazy danych hybrydowych zabezpieczeń danych lub układu ISO konfiguracji stosowanego dla schematu spowoduje NIEZBĘDNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, konieczne są następujące praktyki:

Jeśli awaria spowoduje, że wdrożenie HDS w głównym centrum danych stanie się niedostępne, postępuj zgodnie z tą procedurą, aby ręcznie przełączyć się na standby centrum danych.

1

Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.

2

Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane

3

Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń passiveMode konfiguracja, aby węzeł był aktywny. Węzeł może obsługiwać ruch po skonfigurowaniu.


passiveMode: 'false'

4

Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia.

5

Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

6

W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia..

7

Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.

Upewnij się, że Connected and Connect at power on (Podłączono) są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły wejść w życie po uruchomieniu węzłów.

8

Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.

9

Powtórz proces dla każdego węzła w centrum danych standby.

Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy węzły centrum danych standby nie są w trybie pasywnym. „KMS skonfigurowany w trybie pasywnym” nie powinien być wyświetlany w dziennikach syslog.

Co zrobić dalej

Po przełączeniu awaryjnym, jeśli główne centrum danych stanie się ponownie aktywne, ponownie umieść centrum danych standby w trybie pasywnym, wykonując czynności opisane w Ustawieniu Standby Data Center dla odzyskiwania awarii.

(Opcjonalnie) Odmontować ISO Po Konfiguracji HDS

Standardowa konfiguracja HDS działa z zamontowanym ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale zamontowanych. Plik ISO można odmontować po odebraniu nowej konfiguracji przez wszystkie węzły HDS.

Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego ISO lub aktualizacji ISO za pomocą narzędzia konfiguracyjnego należy zamontować zaktualizowany ISO na wszystkich węzłach HDS. Po odebraniu zmian konfiguracji przez wszystkie węzły można ponownie rozmontować ISO za pomocą tej procedury.

Przed rozpoczęciem

Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.

1	Zamknij jeden z węzłów HDS.
2	W urządzeniu VCenter Server Appliance wybierz węzeł HDS.
3	Wybierz Edytuj ustawienia > Napęd CD/DVD i usuń zaznaczenie pliku Datastore ISO.
4	Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut.
5	Powtórz kolejno dla każdego węzła HDS.

Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych

Wyświetlanie alertów i rozwiązywania problemów

Wdrożenie hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że wymaga przekroczenia czasu. Jeśli użytkownicy nie mogą skontaktować się z klastrem hybrydowego zabezpieczenia danych, mogą wystąpić następujące objawy:

Nie można utworzyć nowych obszarów (nie można utworzyć nowych kluczy)
Wiadomości i tytuły przestrzeni nie można odszyfrować dla:
- Dodano nowych użytkowników do obszaru (nie można pobrać kluczy)
- Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze będą z powodzeniem działać tak długo, jak ich klienci będą mieli pamięć podręczną kluczy szyfrowania

Ważne jest, aby odpowiednio monitorować klaster hybrydowego zabezpieczenia danych i szybko zwracać się do wszystkich alertów, aby uniknąć zakłóceń w obsłudze.

Alerty

Jeśli występuje problem z konfiguracją hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.

Tabela 1. Wspólne problemy i kroki mające na celu ich rozwiązanie
Alert	Czynność
Niepowodzenie dostępu do lokalnej bazy danych.	Sprawdź, czy występują błędy w bazie danych lub problemy z siecią lokalną.
Niepowodzenie połączenia z lokalną bazą danych.	Sprawdź, czy serwer bazy danych jest dostępny, a w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi.
Niepowodzenie dostępu do usługi w chmurze.	Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z wymaganiami Zewnętrznej łączności.
Odnowienie rejestracji usług w chmurze.	Zrezygnowano z rejestracji na usługi w chmurze. Trwa przedłużenie rejestracji.
Rejestracja usług w chmurze została odrzucona.	Rejestracja na usługi w chmurze została zakończona. Usługa jest wyłączona.
Usługa jeszcze nie została aktywowana.	Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do produkcji.
Skonfigurowana domena nie odpowiada certyfikatowi serwera.	Upewnij się, że certyfikat serwera jest zgodny z skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że certyfikat CN został ostatnio zmieniony i jest teraz inny niż CN, który był używany podczas początkowej konfiguracji.
Nie można uwierzytelnić usług w chmurze.	Kontrola poprawności i ewentualnego wygaśnięcia poświadczeń konta usługi.
Nie można otworzyć lokalnego pliku keystore.	Sprawdź integralność i dokładność hasła w lokalnym pliku keystore.
Certyfikat lokalnego serwera jest nieprawidłowy.	Sprawdź datę ważności certyfikatu serwera i potwierdź, że został on wydany przez zaufany urząd certyfikacji.
Nie można publikować metryk.	Sprawdź dostęp sieci lokalnej do zewnętrznych usług w chmurze.
/media/configdrive/hds katalog nie istnieje.	Sprawdź konfigurację montażu ISO na wirtualnym hostze. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu na ponownym uruchomieniu i czy został pomyślnie zainstalowany.

Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych

Podczas rozwiązywania problemów z hybrydowymi zabezpieczeniami danych należy stosować następujące ogólne wytyczne.

1	Przejrzyj Control Hub dla wszystkich alertów i naprawić wszystkie znalezione tam elementy.
2	Przejrzyj wyjście serwera dziennika systemowego pod kątem aktywności z wdrożenia hybrydowego zabezpieczenia danych.
3	Skontaktuj się z pomocą techniczną Cisco.

Inne uwagi

Znane problemy dotyczące hybrydowych zabezpieczeń danych

Jeśli zamkniesz klaster hybrydowego zabezpieczenia danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych keystore, użytkownicy aplikacji Webex nie będą mogli już korzystać ze spacji na liście Osoby utworzonej za pomocą kluczy z KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia ani rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłudze aktywnych kont użytkowników.
Klient z istniejącym połączeniem ECDH z KMS utrzymuje to połączenie przez pewien czas (prawdopodobnie godzinę). Gdy użytkownik staje się członkiem próby hybrydowego zabezpieczenia danych, klient użytkownika nadal korzysta z istniejącego połączenia ECDH do czasu jego wyłączenia. Alternatywnie, użytkownik może wylogować się i wrócić do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w przypadku kluczy szyfrowania.

To samo zachowanie występuje podczas przenoszenia próby do produkcji dla organizacji. Wszyscy użytkownicy spoza wersji próbnej posiadający istniejące połączenia ECDH z poprzednimi służbami bezpieczeństwa danych będą nadal korzystać z tych usług do czasu renegocjacji połączenia ECDH (poprzez limit czasu lub poprzez wylogowanie i powrót).

Użyj protokołu OpenSSL, aby wygenerować plik PKCS12

Przed rozpoczęciem

OpenSSL jest jednym z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do ładowania w narzędziu konfiguracji HDS. Istnieją inne sposoby, aby to zrobić, i nie popieramy ani nie promujemy jednej drogi nad drugą.
Jeśli zdecydujesz się korzystać z OpenSSL, zapewniamy tę procedurę jako wytyczną, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatów X.509. Zrozum te wymagania, zanim przejdziesz dalej.
Zainstaluj OpenSSL w obsługiwanym środowisku. Patrz https://www.openssl.org oprogramowanie i dokumentacja.
Utwórz klucz prywatny.
Procedurę tę należy rozpocząć po otrzymaniu certyfikatu serwera od urzędu certyfikacji.

1	Po otrzymaniu certyfikatu serwera z urzędu certyfikacji zapisz go jako `hdsnode.pem`.
2	Wyświetl certyfikat jako tekst i zweryfikuj szczegóły. `openssl x509 -text -noout -in hdsnode.pem`
3	Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie `hdsnode-bundle.pem`. Plik pakietu musi zawierać certyfikat serwera, wszystkie pośrednie certyfikaty urzędu certyfikacji oraz podstawowe certyfikaty urzędu certyfikacji w formacie poniżej: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Utwórz plik .p12 o przyjaznej nazwie `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Sprawdź szczegóły certyfikatu serwera. `openssl pkcs12 -in hdsnode.p12` Wprowadź hasło po wyświetleniu monitu, aby zaszyfrować klucz prywatny w taki sposób, aby był wyświetlany na wyjściu. Następnie sprawdź, czy klucz prywatny i pierwszy certyfikat zawierają linie `friendlyName: kms-private-key`. Przykład: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Co zrobić dalej

Powróć, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych. Korzystasz z hdsnode.p12 plik i ustawione dla niego hasło w Utwórz ISO konfiguracji dla prowadzących HDS.

Możesz ponownie użyć tych plików, aby poprosić o nowy certyfikat po wygaśnięciu oryginalnego certyfikatu.

Ruch między węzłami HDS a chmurą

Ruch zbierania metryk wychodzących

Węzły hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dla maks. stosu, stosowanego stosu, obciążenia procesora i liczenia wątków; metryki na wątkach synchronicznych i asynchronicznych; metryki na alertach obejmujące próg połączeń szyfrowania, opóźnienie lub długość kolejki żądań; metryki na zbiorniku danych; oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał poza pasmem (oddzielony od żądania).

Ruch przychodzący

Węzły hybrydowego zabezpieczenia danych otrzymują następujące typy ruchu przychodzącego z chmury Webex:

Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania
Aktualizacja do oprogramowania węzła

Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych

Websocket Nie Można Połączyć Za Pomocą Proxy Squid

Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS, mogą ingerować w tworzenie websocket ( wss:) połączenia, których wymaga Hybrid Data Security. Sekcje te zawierają wskazówki dotyczące konfigurowania różnych wersji Squid do ignorowania wss: ruch w celu prawidłowego funkcjonowania usług.

Squid 4 i 5

Dodaj on_unsupported_protocol dyrektywa do squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

Z powodzeniem przetestowaliśmy hybrydowe zabezpieczenia danych, dodając następujące zasady squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizacji chmury Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Przedmowa

Nowe i zmienione informacje

Data

Zmiany

20 października 2023 r.

Zaktualizowane informacje w wymaganiach serwera bazy danych.
Dodano konfigurację Centrum danych w trybie gotowości do odzyskiwania awarii.
Zaktualizowane informacje w Standby Data Center for Disaster Recovery and Disaster Recovery using Standby Data Center.

07 sierpnia 2023 r.

Dodano notatkę w sekcji Pobierz pliki instalacyjne.
Dodano notatkę w Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła.

23 maja 2023 r.

Usunięto informacje z wymagań serwera bazy danych , żądając włączenia funkcji przez skontaktowanie się z zespołem kont.
Zaktualizowano informacje dotyczące zewnętrznych wymagań dotyczących łączności i dodano Kanadę do tabeli hostów CI.
Dodano uwagę w oczekiwaniach dotyczących wdrażania hybrydowego zabezpieczenia danych w odniesieniu do niedostępności mechanizmów przenoszenia kluczy z powrotem do chmury.

06 grudnia 2022 r.

Obrazy narzędzia konfiguracji HDS są teraz hostowane w repozytorium ciscocitg dockerhub.
Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień tematy konfiguracji węzła , aby przywrócić zmiany w poleceniach.

23 listopada 2022 r.

Węzły HDS mogą teraz używać uwierzytelniania systemu Windows w usłudze Microsoft SQL Server.

Zaktualizowano temat wymagań serwera bazy danych z dodatkowymi wymaganiami dla tego trybu uwierzytelniania.

Zaktualizowano Utwórz ISO konfiguracji hostów HDS z procedurą konfigurowania uwierzytelniania systemu Windows w węzłach.
Zaktualizowano temat wymagań serwera bazy danych o nowe minimalne wymagane wersje (PostgreSQL 10).

13 października, 2021

Docker Desktop musi uruchomić program konfiguracji przed zainstalowaniem węzłów HDS. Zobacz Wymagania Dotyczące Pulpitu Docker.

Czerwiec 24, 2021

Pamiętaj, że możesz ponownie użyć pliku klucza prywatnego i CSR, aby poprosić o inny certyfikat. Aby uzyskać szczegółowe informacje, zobacz Użyj OpenSSL, aby wygenerować plik PKCS12.

30 kwietnia 2021 r.

Zmieniono wymaganie VM dla lokalnego miejsca na dysku twardym na 30 GB. Szczegółowe informacje można znaleźć w sekcji Wymagania wirtualnego prowadzącego .

24 lutego, 2021

Narzędzie konfiguracji usługi HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie ISO konfiguracji hostów HDS .

2 lutego 2021 r

HDS może teraz działać bez zamontowanego pliku ISO. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS .

11 stycznia 2021 r.

Dodano informacje o narzędziu konfiguracji HDS i pełnomocnikach, aby utworzyć ISO konfiguracji dla prowadzących HDS.

13 października, 2020

Zaktualizowano Pobierz pliki instalacyjne.

8 października 2020 r.

Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP.

14 sierpnia, 2020

Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła ze zmianami w procesie logowania.

5 sierpnia 2020 r.

Zaktualizowano testowanie wdrażania hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika.

Zaktualizowano wymagania hosta wirtualnego , aby usunąć maksymalną liczbę hostów.

16 czerwca 2020 r.

Zaktualizowano Usuwanie węzła pod kątem zmian w interfejsie interfejsu Control Hub.

4 czerwca 2020 r.

Zaktualizowano Tworzenie ISO konfiguracji dla hostów HDS w celu wprowadzenia zmian w ustawieniach zaawansowanych, które można ustawić.

29 maja 2020 r.

Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami interfejsu użytkownika i innymi wyjaśnieniami.

5 maja 2020 r.

Zaktualizowano wymagania hosta wirtualnego , aby pokazać nowe wymagania ESXi 6.5.

21 kwietnia 2020 r.

Zaktualizowane wymagania dotyczące łączności zewnętrznej z nowymi hostami CI Americas.

1 kwietnia 2020 r.

Zaktualizowane wymagania dotyczące łączności zewnętrznej z informacjami na temat regionalnych prowadzących CI.

20 lutego, 2020 Zaktualizowano Utwórz ISO konfiguracji hostów HDS z informacjami na nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu do konfiguracji HDS.

12 lutego 2020 r. Zaktualizowano wymagania serwera proxy.

16 grudnia 2019 r. Wyjaśnienie wymogu działania Zablokowanego zewnętrznego trybu rozpoznawania DNS w wymaganiach serwera proxy.

19 listopada, 2019

Dodano informacje o zablokowanym zewnętrznym trybie rozpoznawania DNS w następujących sekcjach:

Obsługa serwera proxy
Konfigurowanie węzła HDS do integracji z serwerem proxy
Wyłączanie trybu zablokowanego zewnętrznego rozpoznawania DNS

8 listopada, 2019

Teraz można skonfigurować ustawienia sieciowe węzła podczas wdrażania OVA, a nie później.

Zaktualizowano odpowiednio następujące sekcje:

Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych
Instalowanie OVA hosta HDS
Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych

Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

Wrzesień 6, 2019

Dodano SQL Server Standard do wymagań serwera bazy danych.

29 sierpnia 2019 r. Dodano Configure Squid Proxies for Hybrid Data Security appendix z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu zignorowania ruchu websocket w celu prawidłowej obsługi.

Sierpień 20, 2019

Dodano i zaktualizowano sekcje, aby objąć obsługę proxy komunikacji węzła hybrydowego bezpieczeństwa danych z chmurą Webex.

Obsługa serwera proxy
Wymagania dotyczące serwera proxy
Konfigurowanie węzła HDS do integracji z serwerem proxy

Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł pomocy Proxy Support for Hybrid Data Security i Webex Video Mesh .

13 czerwca 2019 r. Zaktualizowano Trial to Production Task Flow z przypomnieniem o synchronizacji obiektu grupowego HdsTrialGroup przed rozpoczęciem próby, jeśli organizacja korzysta z synchronizacji katalogu.

6 marca 2019 r.

Przeniesione wymagania i wymagania wstępne do oddzielnego rozdziału, Przygotuj Swoje Środowisko.
Dodano przegląd przepływu zadań wdrażania zabezpieczeń danych hybrydowych w rozdziale Skonfiguruj klaster zabezpieczeń danych hybrydowych.

Zauważono, że do momentu rozpoczęcia próby (przy użyciu instrukcji w następnym rozdziale) węzły generują alarm wskazujący, że usługa nie jest jeszcze aktywowana.
Dodano Test do przepływu zadań produkcyjnych w rozdziale Uruchom wersję próbną i przejdź do produkcji.

28 lutego 2019 r.

Skorygowano ilość lokalnego miejsca na dysku twardym na serwer, którą należy odłożyć podczas przygotowywania wirtualnych hostów, które stają się węzłami hybrydowego zabezpieczenia danych, z 50 GB do 20 GB, aby odzwierciedlić rozmiar dysku, który tworzy OVA.

26 lutego 2019 r.

Węzły hybrydowego zabezpieczenia danych obsługują teraz szyfrowane połączenia z serwerami bazy danych PostgreSQL i szyfrowane połączenia rejestrowania z serwerem dziennika systemowego obsługującym protokół TLS. Zaktualizowano Tworzenie ISO konfiguracji dla prowadzących HDS z instrukcjami.
Usunięto adresy URL docelowe z tabeli „Wymagania dotyczące łączności internetowej dla hybrydowych węzłów bezpieczeństwa danych”. Tabela odnosi się teraz do listy utrzymywanej w tabeli „Dodatkowe adresy URL usług hybrydowych Webex Teams” dotyczącej wymagań sieciowych dla usług Webex Teams.

Styczeń 24, 2019

Hybrid Data Security obsługuje teraz Microsoft SQL Server jako bazę danych. Serwer SQL Always On (Klastry Always On Failover i grupy Always On Availability) jest obsługiwany przez sterowniki JDBC używane w hybrydowych zabezpieczeniach danych. Dodano zawartość związaną z wdrożeniem z programem SQL Server.

Obsługa rozwiązania Microsoft SQL Server jest przeznaczona tylko dla nowych wdrożeń hybrydowych zabezpieczeń danych. Obecnie nie obsługujemy migracji danych z serwera PostgreSQL na serwer Microsoft SQL Server w istniejącym wdrożeniu.

5 listopada 2018 r.

Dodano wstępny krok w celu wyczyszczenia wszystkich istniejących wystąpień dokera w Utwórz ISO konfiguracji dla prowadzących HDS i Zmień konfigurację węzła.
Zaktualizowano kluczowy krok poziomu dostępu w Utwórz ISO konfiguracji hostów HDS w celu dopasowania do interfejsu.

19 października 2018 r.

Podziel informacje o połączeniu zapory na wymagania węzłów i wymagania maszyny konfiguracyjnej ISO w Zakończ wymagania wstępne dotyczące hybrydowego zabezpieczenia danych.

31 lipca 2018 r.

Dodano port 22 (dostęp SSH) oraz informacje o połączeniach NAT i zapory, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych.

21 maja 2018 r.

Zmieniona terminologia odzwierciedlająca zmianę marki Cisco Spark:

Cisco Spark Hybrid Data Security jest teraz Hybrid Data Security.
Aplikacja Cisco Spark jest teraz aplikacją Webex.
Cisco Collaboraton Cloud jest teraz chmurą Webex.

11 kwietnia 2018 r.

Dodano Standby Data Center for Disaster Recovery (Centrum danych w trybie gotowości do przywracania po awarii).
Zaktualizowano Uzupełnij wymagania wstępne dotyczące hybrydowego zabezpieczenia danych , aby określić, że środowisko tworzenia kopii zapasowych powinno znajdować się w innym centrum danych.
Zaktualizowano przywracanie po awarii za pomocą Standby Data Center.

Luty 22, 2018

Dodano informacje o 9-miesięcznej długości życia konta usługi i użyciu narzędzia do konfiguracji HDS do zresetowania haseł konta usługi, w Utwórz ISO konfiguracji dla prowadzących HDS i Zmień konfigurację węzła.

Luty 15, 2018

W tabeli Wymagania certyfikatu X.509 określono, że certyfikat nie może być certyfikatem z wieloznacznymi kartami i że KMS używa domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3.

Styczeń 18, 2018

Dodano załącznik, Ruch między węzłami HDS a chmurą.
Usunięto rozwiązany problem ze znanymi problemami dotyczącymi hybrydowego bezpieczeństwa danych.
Zmieniono index.docker.io na *.docker.io i dodano *.cloudfront.net do listy wymagań łączności TCP dla węzłów HDS w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych.
Zaktualizowano Utwórz ISO konfiguracji hostów HDS w celu wskazania, że jeśli host bazy danych i serwer Syslogd nie są rozwiązywalne dla DNS z węzłów HDS, należy je skonfigurować za pomocą adresów IP.

2 listopada 2017 r.

Skrócona synchronizacja katalogu grupy HdsTrialGroup.
Stałe instrukcje dotyczące przesyłania pliku konfiguracyjnego ISO w celu zamontowania go w węzłach VM.

18 sierpnia 2017 r.

Pierwsza publikacja

Rozpocznij pracę z Hybrid Data Security

Przegląd zabezpieczeń danych hybrydowych

Od pierwszego dnia bezpieczeństwo danych było głównym celem projektowania aplikacji Webex. Podstawą tego bezpieczeństwa jest kompleksowe szyfrowanie zawartości, włączone przez klientów aplikacji Webex współpracujących z usługą Key Management Service (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.

Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS w obszarze bezpieczeństwa firmy Cisco. Hybrid Data Security przenosi KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie posiada kluczy do zaszyfrowanej zawartości.

Architektura domeny zabezpieczeń

Architektura chmury Webex oddziela różne rodzaje usług od osobnych domen lub domen zaufania, jak przedstawiono poniżej.

Aby lepiej zrozumieć hybrydowe zabezpieczenia danych, spójrzmy najpierw na ten przypadek czystej chmury, w którym Cisco zapewnia wszystkie funkcje w swoich domenach w chmurze. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od domeny bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od domeny, w której ostatecznie przechowywana jest zaszyfrowana zawartość, w centrum danych C.

Na tym schemacie klient to aplikacja Webex działająca na laptopie użytkownika i uwierzytelniona za pomocą usługi tożsamości. Gdy użytkownik komponuje wiadomość do wysłania do obszaru, wykonywane są następujące czynności:

Klient ustanawia bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie prosi o klucz do szyfrowania wiadomości. Bezpieczne połączenie korzysta z ECDH, a KMS szyfruje klucz przy użyciu klucza głównego AES-256.
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła go do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniach zawartości.
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w domenie przechowywania.

Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze, które składają się na usługę Webex (w tym pamięć masowa tożsamości i zawartości), pozostają w domenach Cisco.

Współpraca z innymi organizacjami

Użytkownicy w organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników prosi o klucz do obszaru należącego do organizacji (ponieważ został on utworzony przez jednego z użytkowników), KMS wysyła klucz do klienta za pośrednictwem kanału zabezpieczonego ECDH. Jednak gdy inna organizacja jest właścicielem klucza dla obszaru, system KMS kieruje żądanie do chmury Webex przez osobny kanał ECDH, aby uzyskać klucz z odpowiedniego systemu KMS, a następnie zwraca go do użytkownika na oryginalnym kanale.

Usługa KMS działająca na Org A weryfikuje połączenia z KMSs w innych organizacjach za pomocą certyfikatów PKI x.509. Aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użytku z wdrożeniem hybrydowego zabezpieczenia danych, zobacz Prepare Your Environment (Przygotowanie środowiska).

Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych

Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klienta i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.

Aby wdrożyć hybrydowe zabezpieczenia danych, należy zapewnić:

Bezpieczne centrum danych w kraju, który jest obsługiwaną lokalizacją dla planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w punkcie Przygotowanie środowiska.

Kompletna utrata konfiguracji ISO utworzonej dla hybrydowego zabezpieczenia danych lub dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:

Zarządzanie kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.
Przygotuj się do szybkiego odzyskiwania awaryjnego w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub awaria centrum danych.

Nie ma mechanizmu przenoszenia kluczy z powrotem do chmury po wdrożeniu HDS.

Proces konfiguracji na wysokim poziomie

Niniejszy dokument obejmuje konfigurację i zarządzanie wdrożeniem hybrydowego zabezpieczenia danych:

Skonfiguruj hybrydowe zabezpieczenia danych — obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, testowanie wdrożenia z podzbiorem użytkowników w trybie próbnym oraz, po zakończeniu testów, przejście do produkcji. Spowoduje to konwertowanie całej organizacji do używania klastra Hybrid Data Security dla funkcji zabezpieczeń.
Etapy konfiguracji, prób i produkcji zostały szczegółowo omówione w kolejnych trzech rozdziałach.
Utrzymaj wdrożenie hybrydowego zabezpieczenia danych — chmura Webex automatycznie zapewnia bieżące uaktualnienia. Dział IT może zapewnić wsparcie poziomu pierwszego dla tego wdrożenia i zaangażować wsparcie Cisco w razie potrzeby. Możesz używać powiadomień na ekranie i konfigurować alerty oparte na wiadomościach e-mail w Control Hub.
Zrozumienie wspólnych alertów, kroków rozwiązywania problemów i znanych problemów — w przypadku wystąpienia problemów z wdrożeniem lub użyciem hybrydowego zabezpieczenia danych ostatni rozdział niniejszego przewodnika i dodatku do Znanych problemów może pomóc w określeniu i rozwiązaniu problemu.

Hybrydowy model wdrażania zabezpieczeń danych

W centrum danych przedsiębiorstwa wdrażasz hybrydowe zabezpieczenia danych jako jeden klaster węzłów na osobnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych websocketów i bezpiecznego protokołu HTTP.

Podczas procesu instalacji dostarczamy Ci plik OVA do skonfigurowania urządzenia wirtualnego na dostarczonych maszynach wirtualnych. Narzędzie konfiguracyjne HDS służy do tworzenia niestandardowego pliku ISO konfiguracji klastra, który jest montowany w każdym węźle. Klaster Hybrid Data Security korzysta z dostarczonego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu konfiguracji HDS).

Hybrydowy model wdrażania zabezpieczeń danych

Minimalna liczba węzłów w klastrze to dwa. Zalecamy co najmniej trzy, a możesz mieć do pięciu. Posiadanie wielu węzłów zapewnia, że usługa nie zostanie przerwana podczas uaktualniania oprogramowania lub innej czynności konserwacyjnej w węźle. (Chmura Webex aktualizuje tylko jeden węzeł naraz).

Wszystkie węzły w klastrze mają dostęp do tego samego rekordu danych klucza i aktywności dziennika na tym samym serwerze dziennika systemowego. Same węzły są bezpaństwowe i obsługują żądania kluczy w sposób okrągły, zgodnie z zaleceniami chmury.

Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby usunąć pojedynczy węzeł z usługi, można go wyrejestrować, a następnie ponownie wyrejestrować w razie potrzeby.

Obsługujemy tylko jeden klaster na organizację.

Tryb próbny zabezpieczeń danych hybrydowych

Po skonfigurowaniu wdrożenia hybrydowego zabezpieczenia danych spróbuj go najpierw z zestawem użytkowników pilotażowych. W okresie próbnym użytkownicy ci wykorzystują lokalną domenę hybrydowego zabezpieczenia danych do szyfrowania kluczy i innych usług domeny zabezpieczeń. Inni użytkownicy nadal korzystają ze sfery zabezpieczeń w chmurze.

Jeśli zdecydujesz się nie kontynuować wdrażania podczas wersji próbnej i dezaktywować usługi, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi kontaktowali się, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zostanie wyświetlony komunikat „Nie można odszyfrować tej wiadomości” w aplikacji Webex.

Jeśli jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych i jesteś gotowy do rozszerzenia hybrydowego zabezpieczenia danych na wszystkich użytkowników, przenosisz wdrożenie do produkcji. Użytkownicy pilotażowi nadal mają dostęp do kluczy, które były używane podczas próby. Nie można jednak poruszać się w tę i z powrotem między trybem produkcji a oryginalnym testem. Jeśli musisz dezaktywować usługę, na przykład w celu przeprowadzenia odzyskiwania po awarii, po ponownej aktywacji musisz rozpocząć nową wersję próbną i skonfigurować zestaw użytkowników pilotażowych dla nowej wersji próbnej przed powrotem do trybu produkcji. To, czy użytkownicy zachowują w tym momencie dostęp do danych, zależy od tego, czy udało się zachować kopie zapasowe kluczowego magazynu danych i pliku konfiguracyjnego ISO dla węzłów hybrydowych zabezpieczeń danych w klastrze.

Standby Data Center for Disaster Recovery

Podczas wdrażania skonfigurowano bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie anulować wdrożenie do centrum danych w trybie gotowości.

Przed przełączeniem awaryjnym centrum danych A ma aktywne węzły HDS i podstawową bazę danych PostgreSQL lub Microsoft SQL Server, podczas gdy B ma kopię pliku ISO z dodatkowymi konfiguracjami, maszynami wirtualnymi zarejestrowanymi w organizacji i bazą danych typu standby. Po przełączeniu awaryjnym centrum danych B ma aktywne węzły HDS i podstawową bazę danych, a A ma niezarejestrowane maszyny wirtualne i kopię pliku ISO, a baza danych jest w trybie gotowości. — ***Ręczne przełączanie awaryjne do Standby Data Center***

Bazy danych aktywnych i standby centrów danych są ze sobą zsynchronizowane, co zminimalizuje czas potrzebny na wykonanie przełącznika awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają rejestrację węzłów w organizacji, ale nie obsługują ruchu. Stąd węzły standby data center zawsze pozostają aktualne z najnowszą wersją oprogramowania HDS.

Aktywne węzły hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych.

Konfiguracja Standby Data Center do odzyskiwania awarii

Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:

Przed rozpoczęciem

Centrum danych w stanie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych oraz zapasową bazę danych PostgreSQL lub Microsoft SQL Server. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne. (Zobacz Standby Data Center for Disaster Recovery (Centrum danych w trybie gotowości do przywracania systemu po awarii).
Upewnij się, że synchronizacja bazy danych jest włączona między bazą danych aktywnych i pasywnych węzłów klastra.

1

Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.

Plik ISO musi być kopią oryginalnego pliku ISO głównego centrum danych, na którym mają być dokonywane następujące aktualizacje konfiguracji.

2

Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane

3

Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwał żadnego ruchu.

 PassiveMode: "prawdziwe"

4

Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia.

5

Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

6

W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia..

7

Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.

Upewnij się, że Connected and Connect at power on (Podłączono) są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły wejść w życie po uruchomieniu węzłów.

8

Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.

9

Powtórz proces dla każdego węzła w centrum danych standby.

Sprawdź dzienniki syslog, aby sprawdzić, czy węzły są w trybie pasywnym. W dziennikach syslog należy mieć możliwość wyświetlania komunikatu „KMS skonfigurowany w trybie pasywnym”.

Co zrobić dalej

Po skonfigurowaniu trybu pasywów w pliku ISO i zapisaniu go można utworzyć inną kopię pliku ISO bez konfiguracji trybu pasywów i zapisać go w bezpiecznej lokalizacji. Ta kopia pliku ISO bez skonfigurowanego trybu pasywówTryb może pomóc w szybkim procesie awaryjnym podczas odzyskiwania awarii. Aby zapoznać się ze szczegółową procedurą przywracania awaryjnego za pomocą Standby Data Center (Centrum danych gotowości).

Obsługa serwera proxy

Hybrid Data Security obsługuje jawne, przejrzyste inspekcje i niekontrolujące serwery proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy w węzłach można używać do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.

Węzły Hybrid Data Security obsługują następujące opcje serwera proxy:

Brak serwera proxy — ustawienie domyślne, jeśli w celu zintegrowania serwera proxy nie jest używane do konfiguracji węzła HDS Trust Store & Proxy. Aktualizacja certyfikatu nie jest wymagana.
Przejrzysty serwer proxy niekontrolowany — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z serwerem proxy niekontrolowanym. Aktualizacja certyfikatu nie jest wymagana.
Przejrzyste tunelowanie lub sprawdzanie serwera proxy — węzły nie są skonfigurowane do korzystania z określonego adresu serwera proxy. W węzłach nie są wymagane żadne zmiany konfiguracji HTTP ani HTTPS. Jednak węzły potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Inspekcja serwerów proxy jest zwykle używana przez IT do egzekwowania zasad, na których można odwiedzać witryny internetowe, a które nie są dozwolone. Ten typ serwera proxy odszyfrowuje cały ruch (nawet HTTPS).
Wyraźny serwer proxy — w przypadku wyraźnego serwera proxy należy wskazać węzły HDS, których serwer proxy i schemat uwierzytelniania należy używać. Aby skonfigurować jawny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
1. Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.
2. Port serwera proxy — numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.
3. Protokół proxy — w zależności od tego, co obsługuje serwer proxy, wybierz między następującymi protokołami:
  - HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
  - HTTPS — zapewnia kanał do serwera. Klient odbiera i sprawdza poprawność certyfikatu serwera.
4. Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:
  - Brak — dalsze uwierzytelnianie nie jest wymagane.
    
    Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
  - Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Używa kodowania Base64.
    
    Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
  - Cyfra — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć.
    
    Opcja dostępna tylko po wybraniu protokołu HTTPS jako protokołu proxy.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

Przykład hybrydowych węzłów zabezpieczeń danych i serwera proxy

Ten diagram przedstawia przykładowe połączenie między hybrid data security, siecią i serwerem proxy. W przypadku opcji przezroczystego serwera proxy inspekcji i jawnego sprawdzania HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach Hybrid Data Security.

Zablokowany tryb zewnętrznego rozpoznawania DNS (jawne konfiguracje serwera proxy)

Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. We wdrożeniach z jawnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzne rozpoznawanie DNS dla klientów wewnętrznych, jeśli węzeł nie może wysłać kwerendy do serwerów DNS, automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.

Przygotuj swoje środowisko

Wymagania dotyczące hybrydowego bezpieczeństwa danych

Wymagania licencyjne Cisco Webex

Aby wdrożyć hybrydowe zabezpieczenia danych:

Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub. (patrz https://www.cisco.com/go/pro-pack.)

Docker Wymagania pulpitowe

Przed zainstalowaniem węzłów HDS potrzebny jest Docker Desktop do uruchomienia programu konfiguracji. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop.Your organization might require a paid subscription for Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis na blogu Platformy Docker " Docker aktualizuje i rozszerza nasze subskrypcje produktów".

Wymagania dotyczące certyfikatu X.509

Łańcuch certyfikatów musi spełniać następujące wymagania:

Tabela 1. X.509 Wymagania dotyczące certyfikatów dla wdrażania hybrydowego zabezpieczenia danych
Wymaganie	Szczegóły
Podpisany przez zaufany urząd certyfikacji (CA)	Domyślnie ufamy urzędnikom na liście Mozilla (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs.
Nazwa domeny wspólnej nazwy (CN) identyfikująca wdrożenie hybrydowego zabezpieczenia danych Nie jest certyfikatem wieloznacznych kart	CN nie musi być osiągalne ani hostem na żywo. Zalecamy używanie nazwy odzwierciedlającej organizację, na przykład `hds.company.com`. CN nie może zawierać * (wildcard). CN służy do weryfikacji węzłów hybrydowych zabezpieczeń danych dla klientów aplikacji Webex. Wszystkie węzły hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. System KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie obsługujemy zmiany nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych.
Podpis inny niż SHA1	Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu weryfikacji połączeń z KMSs innych organizacji.
Formatowany jako plik PKCS #12 chroniony hasłem Użyj przyjaznej nazwy `kms-private-key` , aby oznaczyć certyfikat, klucz prywatny i wszelkie certyfikaty pośrednie do przesłania.	Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Po uruchomieniu narzędzia konfiguracji usługi HDS należy wprowadzić hasło.

Oprogramowanie KMS nie wymusza użycia klucza ani nie nakłada dodatkowych ograniczeń w jego używaniu. Niektóre organy certyfikatów wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia użycia kluczy, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.

Wymagania dotyczące wirtualnego prowadzącego

Wirtualne hosty skonfigurowane jako węzły hybrydowego zabezpieczenia danych w klastrze mają następujące wymagania:

Co najmniej dwa osobne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych
Oprogramowanie VMware ESXi 6.5 (lub nowsze) zostało zainstalowane i uruchomione.

Jeśli masz wcześniejszą wersję ESXi, musisz ją uaktualnić.
Minimum 4 procesory vCPUs, 8-GB pamięci głównej, 30-GB lokalnego miejsca na dysk twardy na serwer

Wymagania serwera bazy danych

Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych.

Istnieją dwie opcje dla serwera bazy danych. Wymagania dla każdego z nich są następujące:

Tabela 2. Wymagania serwera bazy danych według typu bazy danych

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 lub 16, zainstalowany i uruchomiony.

Zainstalowano program SQL Server 2016, 2017 lub 2019 (Enterprise lub Standard).

SQL Server 2016 wymaga pakietu usług 2 i zbiorczej aktualizacji 2 lub nowszej.

Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci)

Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:

PostgreSQL

Microsoft SQL Server

Postgres JDBC kierowca 42.2.5

SQL Server JDBC sterownik 4.6

Ta wersja sterownika obsługuje program SQL Server Always On (Always On Failover Cluster Instances oraz Always On availability groups).

Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w usłudze Microsoft SQL Server

Jeśli chcesz, aby węzły HDS używały uwierzytelniania w systemie Windows, aby uzyskać dostęp do bazy danych keystore na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w swoim środowisku:

Węzły HDS, infrastruktura Active Directory i MS SQL Server muszą być synchronizowane z NTP.
Konto systemu Windows dla węzłów HDS musi mieć dostęp do bazy danych do odczytu/zapisu.
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozwiązać klucz centrum dystrybucji (KDC).
Wystąpienie bazy danych HDS można zarejestrować na serwerze Microsoft SQL Server jako główną nazwę usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.

Narzędzie do konfigurowania HDS, uruchamianie HDS i lokalne KMS muszą używać uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych keystore. Używają szczegółów z konfiguracji ISO do budowy SPN podczas żądania dostępu z uwierzytelnianiem Kerberos.

Wymagania dotyczące połączeń zewnętrznych

Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:

Aplikacja	Protokół	Port	Polecenie z aplikacji	Miejsce docelowe
Węzły hybrydowego zabezpieczenia danych	TCP	443	Zewnętrzne HTTPS i WSS	Serwery Webex: .wbx2.com .ciscospark.com Wszystkie hosty Common Identity Inne adresy URL wymienione dla hybrydowych zabezpieczeń danych w tabeli Dodatkowe adresy URL dla usług hybrydowych Webex zawierającej wymagania sieciowe dla usług Webex
Narzędzie do konfigurowania HDS	TCP	443	Zewnętrzny protokół HTTPS	*.wbx2.com Wszystkie hosty Common Identity hub.docker.com

Węzły hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub za zaporą, o ile NAT lub zapora zezwala na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują dostępu do węzłów hybrydowych zabezpieczeń danych w portach TCP 443 i 22 do celów administracyjnych.

Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Są to bieżące hosty CI:

Region	Wspólne adresy URL prowadzącego tożsamości
Ameryka	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Unia Europejska	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Wymagania dotyczące serwera proxy

Oficjalnie obsługujemy następujące rozwiązania proxy, które można zintegrować z węzłami Hybrid Data Security.

Przezroczysty serwer proxy — Cisco Web Security Appliance (WSA).

Jawny serwer proxy — Squid.

Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS mogą zakłócać tworzenie połączeń websocket (wss:). Aby rozwiązać ten problem, zobacz Configure Squid Proxies for Hybrid Data Security.

Obsługujemy następujące kombinacje typów uwierzytelniania dla jawnych serwerów proxy:
- Brak uwierzytelniania za pomocą protokołu HTTP lub HTTPS
- Uwierzytelnianie podstawowe za pomocą protokołu HTTP lub HTTPS
- Uwierzytelnianie szyfrowane tylko przy użyciu protokołu HTTPS
W przypadku przezroczystego serwera proxy inspekcji lub jawnego serwera proxy HTTPS musisz mieć kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania w tym przewodniku informają, jak przekazać kopię do magazynów zaufania węzłów hybrid Data Security.
Sieć obsługująca węzły HDS musi być skonfigurowana tak, aby wymuszała kierowanie wychodzącego ruchu TCP na porcie 443 przez serwer proxy.
Serwery proxy, które sprawdzają ruch sieci web, mogą zakłócać połączenia gniazd internetowych. Jeśli ten problem wystąpi, ominięcie (nie inspekcja) ruchu do wbx2.com i ciscospark.com rozwiąże problem.

Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych

Użyj tej listy kontrolnej, aby upewnić się, że jesteś gotowy do zainstalowania i skonfigurowania klastra hybrydowego bezpieczeństwa danych.

1

Upewnij się, że Twoja organizacja Webex jest włączona dla pakietu Pro Pack dla Cisco Webex Control Hub i uzyskaj poświadczenia konta z pełnymi prawami administratora organizacji. Aby uzyskać pomoc w tym procesie, skontaktuj się z partnerem firmy Cisco lub menedżerem konta.

2

Wybierz nazwę domeny dla wdrożenia HDS (na przykład hds.company.com) i uzyskaj łańcuch certyfikatów zawierający certyfikat X.509, klucz prywatny i wszelkie certyfikaty pośrednie. Łańcuch certyfikatów musi spełniać wymagania określone w X.509 Certificate Requirements.

3

Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły hybrydowego zabezpieczenia danych w klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych, które spełniają wymagania w Wymagania wirtualnego hosta.

4

Przygotuj serwer bazy danych, który będzie działał jako kluczowy magazyn danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być zestawiony w bezpiecznym centrum danych z wirtualnymi hostami.

Utwórz bazę danych do przechowywania kluczy. (Musisz utworzyć tę bazę danych — nie używaj domyślnej bazy danych. Aplikacje HDS, po zainstalowaniu, tworzą schemat bazy danych.)
Zbierz szczegóły używane przez węzły do komunikacji z serwerem bazy danych:
- nazwę prowadzącego lub adres IP (prowadzącego) i port
- nazwa bazy danych (dbname) do przechowywania kluczy
- nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych magazynu kluczy

5

W celu szybkiego odzyskiwania danych po awarii należy skonfigurować środowisko tworzenia kopii zapasowych w innym centrum danych. Środowisko tworzenia kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i zapasowego serwera bazy danych. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne.

6

Skonfiguruj hosta dziennika systemowego, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemowego (domyślnie jest to UDP 514).

7

Utwórz bezpieczne zasady tworzenia kopii zapasowych węzłów hybrydowych zabezpieczeń danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec niemożliwej do odzyskania utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów hybrydowych zabezpieczeń danych.

Ponieważ węzły hybrydowego zabezpieczenia danych przechowują klucze używane do szyfrowania i odszyfrowywania zawartości, brak utrzymania operacyjnego wdrożenia spowoduje NIEZBĘDNĄ STRATĘ tej zawartości.

Klienci aplikacji Webex przechowują klucze w pamięci podręcznej, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się widoczna. Chociaż tymczasowe przerwy są niemożliwe do zapobieżenia, są one do odzyskania. Jednak całkowita utrata (brak kopii zapasowych) bazy danych lub pliku konfiguracyjnego ISO spowoduje niemożliwy do odzyskania dane klienta. Oczekuje się, że operatorzy węzłów hybrydowego bezpieczeństwa danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowy centrum danych hybrydowego bezpieczeństwa danych w przypadku wystąpienia katastrofalnej awarii.

8

Upewnij się, że konfiguracja zapory umożliwia dostęp do łączności w węzłach hybrydowych zabezpieczeń danych, jak opisano w Zewnętrznych wymogach dotyczących łączności.

9

Zainstaluj Docker ( https://www.docker.com) na dowolnej lokalnej maszynie z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080.

Za pomocą wystąpienia Docker można pobrać i uruchomić narzędzie konfiguracji HDS, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów hybrydowych zabezpieczeń danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania Dotyczące Pulpitu Dockera.

Aby zainstalować i uruchomić narzędzie do konfiguracji HDS, lokalna maszyna musi mieć łączność opisaną w Zewnętrznych wymaganiach dotyczących łączności.

10

Jeśli integrujesz serwer proxy z hybrydowymi zabezpieczeniami danych, upewnij się, że spełnia on wymagania serwera proxy.

11

Jeśli organizacja korzysta z synchronizacji katalogu, utwórz grupę w usłudze Active Directory o nazwie HdsTrialGroup i dodaj użytkowników pilotażowych. Grupa próbna może mieć do 250 użytkowników. Obiekt HdsTrialGroup musi być zsynchronizowany z chmurą przed rozpoczęciem próby w organizacji. Aby zsynchronizować obiekt grupowy, wybierz go w menu Konfiguracja łącznika usług katalogowych > Wybór obiektu . (Szczegółowe instrukcje można znaleźć w przewodniku wdrażania Cisco Directory Connector.).

Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Wybierając użytkowników pilotażowych, należy pamiętać, że jeśli zdecydujesz się na trwałą dezaktywację wdrożenia hybrydowego zabezpieczenia danych, wszyscy użytkownicy utracą dostęp do treści w obszarach utworzonych przez użytkowników pilotażowych. Strata staje się widoczna, gdy aplikacje użytkowników odświeżą swoje kopie w pamięci podręcznej treści.

Konfigurowanie hybrydowego klastra bezpieczeństwa danych

Hybrid Data Security Deployment Task Flow

Przed rozpoczęciem

Download Installation Files

1

Download the OVA file to your local machine for later use.

2

Create a Configuration ISO for the HDS Hosts

Use the HDS Setup Tool to create an ISO configuration file for the Hybrid Data Security nodes.

3

Install the HDS Host OVA

Create a virtual machine from the OVA file and perform initial configuration, such as network settings.

The option to configure network settings during OVA deployment has been tested with ESXi 6.5. The option may not be available in earlier versions.

4

Set up the Hybrid Data Security VM

Sign in to the VM console and set the sign-in credentials. Configure the network settings for the node if you didn't configure them at the time of OVA deployment.

5

Upload and Mount the HDS Configuration ISO

Configure the VM from the ISO configuration file that you created with the HDS Setup Tool.

6

Konfigurowanie węzła HDS do integracji z serwerem proxy

If the network environment requires proxy configuration, specify the type of proxy that you will use for the node, and add the proxy certificate to the trust store if needed.

7

Register the First Node in the Cluster

Register the VM with the Cisco Webex cloud as a Hybrid Data Security node.

8

Create and Register More Nodes

Complete the cluster setup.

9

Run a Trial and Move to Production (next chapter)

Until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.

Download Installation Files

In this task, you download an OVA file to your machine (not to the servers you set up as Hybrid Data Security nodes). You use this file later in the installation process.

1

Sign in to https://admin.webex.com, and then click Services.

2

In the Hybrid Services section, find the Hybrid Data Security card, and then click Set up.

If the card is disabled or you don’t see it, contact your account team or your partner organization. Give them your account number and ask to enable your organization for Hybrid Data Security. To find the account number, click the gear at the top right, next to your organization name.

You can also download the OVA at any time from the Help section on the Settings page. On the Hybrid Data Security card, click Edit settings to open the page. Then, click Download Hybrid Data Security software in the Help section.

Older versions of the software package (OVA) will not be compatible with the latest Hybrid Data Security upgrades. This can result in issues while upgrading the application. Make sure you download the latest version of the OVA file.

3

Select No to indicate that you haven’t set up the node yet, and then click Next.

The OVA file automatically begins to download. Save the file to a location on your machine.

4

Optionally, click Open Deployment Guide to check if there’s a later version of this guide available.

Create a Configuration ISO for the HDS Hosts

The Hybrid Data Security setup process creates an ISO file. You then use the ISO to configure your Hybrid Data Security host.

Przed rozpoczęciem

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora w organizacji.

If the HDS Setup tool runs behind a proxy in your environment, provide the proxy settings (server, port, credentials) through Docker environment variables when bringing up the Docker container in step 5. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

The configuration ISO file that you generate contains the master key encrypting the PostgreSQL or Microsoft SQL Server database. You need the latest copy of this file anytime you make configuration changes, like these:
- Database credentials
- Certificate updates
- Changes to authorization policy
If you plan to encrypt database connections, set up your PostgreSQL or SQL Server deployment for TLS.

1

W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

W zwykłych środowiskach:

docker rmi ciscocitg/hds-setup:stable

W środowiskach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

2

Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:

docker login -u hdscustomersro

3

Po wyświetleniu monitu o hasło wprowadź ten skrót:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Pobierz najnowszy stabilny obraz dla swojego środowiska:

W zwykłych środowiskach:

docker pull ciscocitg/hds-setup:stable

W środowiskach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

5

Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska:

W zwykłych środowiskach bez proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

W zwykłych środowiskach z proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

In regular environments with an HTTPS proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

W środowiskach FedRAMP bez proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

6

The Setup tool does not support connecting to localhost through http://localhost:8080. Use http://127.0.0.1:8080 to connect to localhost.

Use a web browser to go to the localhost, http://127.0.0.1:8080, and enter customer admin username for Control Hub at the prompt.

The tool uses this first entry of the username to set the proper environment for that account. The tool then displays the standard sign-in prompt.

7

When prompted, enter your Control Hub customer admin sign-in credentials, and then click Log in to allow access to the required services for Hybrid Data Security.

8

On the Setup Tool overview page, click Get Started.

9

On the ISO Import page, you have these options:

No—If you’re creating your first HDS node, you don't have an ISO file to upload.
Yes—If you already created HDS nodes, then you select your ISO file in the browse and upload it.

10

Check that your X.509 certificate meets the requirements in X.509 Certificate Requirements.

If you never uploaded a certificate before, upload the X.509 certificate, enter the password, and click Continue.
If your certificate is OK, click Continue.
If your certificate has expired or you want to replace it, select No for Continue using HDS certificate chain and private key from previous ISO?. Upload a new X.509 certificate, enter the password, and click Continue.

11

Enter the database address and account for HDS to access your key datastore:

Select your Database Type (PostgreSQL or Microsoft SQL Server).

If you choose Microsoft SQL Server, you get an Authentication Type field.
(Microsoft SQL Server only) Select your Authentication Type:
- Basic Authentication: You need a local SQL Server account name in the Username field.
- Windows Authentication: You need a Windows account in the format username@DOMAIN in the Username field.
Enter the database server address in the form <hostname>:<port> or <IP-address>:<port>.

Przykład:
dbhost.example.org:1433 or 198.51.100.17:1433

You can use an IP address for basic authentication, if the nodes can't use DNS to resolve the hostname.

If you are using Windows authentication, you must enter a Fully Qualified Domain Name in the format dbhost.example.org:1433
Enter the Database Name.
Enter the Username and Password of a user with all privileges on the key storage database.

12

Select a TLS Database Connection Mode:

Tryb

Opis

Prefer TLS (default option)

Węzły HDS nie wymagają protokołu TLS do łączenia się z serwerem bazy danych. If you enable TLS on the database server, the nodes attempt an encrypted connection.

Wymagaj tlS

Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS.

Wymagaj protokołu TLS i weryfikuj sygnatariusza certyfikatu

This mode isn’t applicable for SQL Server databases.

Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS.
After establishing a TLS connection, the node compares the signer of the certificate from the database server to the certificate authority in the Database root certificate. Jeśli nie są zgodne, węzeł przerywa połączenie.

Użyj kontrolki certyfikatu głównego bazy danych poniżej listy rozwijanej, aby przekazać certyfikat główny dla tej opcji.

Wymagaj protokołu TLS i weryfikuj sygnatariusza certyfikatu oraz nazwę hosta

Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS.
After establishing a TLS connection, the node compares the signer of the certificate from the database server to the certificate authority in the Database root certificate. Jeśli nie są zgodne, węzeł przerywa połączenie.
The nodes also verify that the hostname in the server certificate matches the hostname in the Database host and port field. Nazwy muszą być dokładnie zgodne, w przeciwnym razie węzeł przerywa połączenie.

Użyj kontrolki certyfikatu głównego bazy danych poniżej listy rozwijanej, aby przekazać certyfikat główny dla tej opcji.

When you upload the root certificate (if necessary) and click Continue, the HDS Setup Tool tests the TLS connection to the database server. Narzędzie weryfikuje również sygnatariusza certyfikatu i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Because of connectivity differences, the HDS nodes might be able to establish the TLS connection even if the HDS Setup Tool machine can't successfully test it.)

13

On the System Logs page, configure your Syslogd server:

Enter the syslog server URL.

If the server isn’t DNS-resolvable from the nodes for your HDS cluster, use an IP address in the URL.

Przykład:
udp://10.92.43.23:514 indicates logging to Syslogd host 10.92.43.23 on UDP port 514.
If you set up your server to use TLS encryption, check Is your syslog server configured for SSL encryption?.

If you check this check box, make sure you enter a TCP URL such as tcp://10.92.43.23:514.
From the Choose syslog record termination drop-down, choose the appropriate setting for your ISO file: Choose or Newline is used for Graylog and Rsyslog TCP
- Null byte -- \x00
- Newline -- \n—Select this choice for Graylog and Rsyslog TCP.
Kliknij przycisk Kontynuuj.

14

(Optional) You can change the default value for some database connection parameters in Advanced Settings. Generally, this parameter is the only one that you might want to change:

app_datasource_connection_pool_maxRozmiar: 10

15

Click Continue on the Reset Service Accounts Password screen.

Service account passwords have a nine-month lifespan. Use this screen when your passwords are nearing expiry or you want to reset them to invalidate previous ISO files.

16

Click Download ISO File. Save the file in a location that's easy to find.

17

Make a backup copy of the ISO file on your local system.

Keep the backup copy secure. This file contains a master encryption key for the database contents. Restrict access to only those Hybrid Data Security administrators who should make configuration changes.

18

To shut down the Setup tool, type CTRL+C.

Co zrobić dalej

Back up the configuration ISO file. You need it to create more nodes for recovery, or to make configuration changes. If you lose all copies of the ISO file, you've also lost the master key. Recovering the keys from your PostgreSQL or Microsoft SQL Server database isn't possible.

We never have a copy of this key and can't help if you lose it.

Install the HDS Host OVA

Use this procedure to create a virtual machine from the OVA file.

1

Use the VMware vSphere client on your computer to log into the ESXi virtual host.

2

Select File > Deploy OVF Template.

3

In the wizard, specify the location of the OVA file that you downloaded earlier, and then click Next.

4

On the Select a name and folder page, enter a Virtual machine name for the node (for example, "HDS_Node_1"), choose a location where the virtual machine node deployment can reside, and then click Next.

5

On the Select a compute resource page, choose the destination compute resource, and then click Next.

A validation check runs. After it finishes, the template details appear.

6

Verify the template details and then click Next.

7

If you are asked to choose the resource configuration on the Configuration page, click 4 CPU and then click Next.

8

On the Select storage page, click Next to accept the default disk format and VM storage policy.

9

On the Select networks page, choose the network option from the list of entries to provide the desired connectivity to the VM.

10

On the Customize template page, configure the following network settings:

Hostname—Enter the FQDN (hostname and domain) or a single word hostname for the node.

You do not need to set the domain to match the domain that you used to obtain the X.509 certificate.
To ensure a successful registration to the cloud, use only lowercase characters in the FQDN or hostname that you set for the node. Kapitalizacja nie jest obecnie obsługiwana.
The total length of the FQDN must not exceed 64 characters.

IP Address— Enter the IP address for the internal interface of the node.

Your node should have an internal IP address and DNS name. DHCP is not supported.
Mask—Enter the subnet mask address in dot-decimal notation. For example, 255.255.255.0.
Gateway—Enter the gateway IP address. A gateway is a network node that serves as an access point to another network.
DNS Servers—Enter a comma-separated list of DNS servers, which handle translating domain names to numeric IP addresses. (Up to 4 DNS entries are allowed.)
NTP Servers—Enter your organization's NTP server or another external NTP server that can be used in your organization. The default NTP servers may not work for all enterprises. You can also use a comma-separated list to enter multiple NTP servers.

Deploy all the nodes on the same subnet or VLAN, so that all nodes in a cluster are reachable from clients in your network for administrative purposes.

If preferred, you can skip the network setting configuration and follow the steps in Set up the Hybrid Data Security VM to configure the settings from the node console.

The option to configure network settings during OVA deployment has been tested with ESXi 6.5. The option may not be available in earlier versions.

11

Right-click the node VM, and then choose Power > Power On.

The Hybrid Data Security software is installed as a guest on the VM Host. You are now ready to sign in to the console and configure the node.

Wskazówki dotyczące rozwiązywania problemów

You may experience a delay of a few minutes before the node containers come up. A bridge firewall message appears on the console during first boot, during which you can't sign in.

Set up the Hybrid Data Security VM

Use this procedure to sign in to the Hybrid Data Security node VM console for the first time and set the sign-in credentials. You can also use the console to configure the network settings for the node if you didn't configure them at the time of OVA deployment.

1	In the VMware vSphere client, select your Hybrid Data Security node VM and select the Console tab. The VM boots up and a login prompt appears. If the login prompt does not display, press Enter.
2	Use the following default login and password to sign in and change the credentials: Login: `administrator` Hasło: `cisco` Since you are signing in to your VM for the first time, you are required to change the administrator password.
3	If you already configured the network settings in Install the HDS Host OVA, skip the rest of this procedure. Otherwise, in the main menu, select the Edit Configuration option.
4	Set up a static configuration with IP address, Mask, Gateway and DNS information. Your node should have an internal IP address and DNS name. DHCP is not supported.
5	(Optional) Change the hostname, domain or NTP server(s), if needed to match your network policy. You do not need to set the domain to match the domain that you used to obtain the X.509 certificate.
6	Save the network configuration and reboot the VM so that the changes take effect.

Upload and Mount the HDS Configuration ISO

Use this procedure to configure the virtual machine from the ISO file that you created with the HDS Setup Tool.

Przed rozpoczęciem

Because the ISO file holds the master key, it should only be exposed on a "need to know" basis, for access by the Hybrid Data Security VMs and any administrators who might need to make changes. Make sure that only those administrators can access the datastore.

1

Upload the ISO file from your computer:

In the VMware vSphere client's left navigation pane, click on the ESXi server.
On the Configuration tab's Hardware list, click Storage.
In the Datastores list, right-click on the datastore for your VMs and click Browse Datastore.
Click on the Upload Files icon, and then click Upload File.
Browse to the location where you downloaded the ISO file on your computer and click Open.
Click Yes to accept the upload/download operation warning, and close the datastore dialog.

2

Mount the ISO file:

W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.
Click OK to accept the restricted edit options warning.
Click CD/DVD Drive 1, select the option to mount from a datastore ISO file, and browse to the location where you uploaded the configuration ISO file.
Check Connected and Connect at power on.
Save your changes and reboot the virtual machine.

Co zrobić dalej

If your IT policy requires, you can optionally unmount the ISO file after all your nodes pick up the configuration changes. See (Optional) Unmount ISO After HDS Configuration for details.

Konfigurowanie węzła HDS do integracji z serwerem proxy

Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z hybrid Data Security. Jeśli wybierzesz przezroczysty serwer proxy inspekcji lub jawny serwer proxy HTTPS, możesz użyć interfejsu węzła do przekazania i zainstalowania certyfikatu głównego. Możesz także sprawdzić połączenie proxy z poziomu interfejsu i rozwiązać wszelkie potencjalne problemy.

Przed rozpoczęciem

Zobacz Obsługa serwera proxy, aby zapoznać się z omówieniem obsługiwanych opcji serwera proxy.
Wymagania dotyczące serwera proxy

1	Wprowadź adres URL konfiguracji węzła HDS `https://[HDS Node IP or FQDN]/setup` w przeglądarce sieci Web, wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj.
2	Przejdź do pozycji Sklep zaufania i serwer proxy, a następnie wybierz opcję: No Proxy—The default option before you integrate a proxy. Aktualizacja certyfikatu nie jest wymagana. Transparent Non-Inspecting Proxy—Nodes are not configured to use a specific proxy server address and should not require any changes to work with a non-inspecting proxy. Aktualizacja certyfikatu nie jest wymagana. Transparent Inspecting Proxy—Nodes are not configured to use a specific proxy server address. We wdrożeniu Hybrid Data Security nie są konieczne żadne zmiany konfiguracji protokołu HTTPS, jednak węzły HDS potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Inspekcja serwerów proxy jest zwykle używana przez IT do egzekwowania zasad, na których można odwiedzać witryny internetowe, a które nie są dozwolone. Ten typ serwera proxy odszyfrowuje cały ruch (nawet HTTPS). Explicit Proxy—With explicit proxy, you tell the client (HDS nodes) which proxy server to use, and this option supports several authentication types. Po wybraniu tej opcji należy wprowadzić następujące informacje: Proxy IP/FQDN—Address that can be used to reach the proxy machine. Proxy Port—A port number that the proxy uses to listen for proxied traffic. Proxy Protocol—Choose http (views and controls all requests that are received from the client) or https (provides a channel to the server and the client receives and validates the server's certificate). Wybierz opcję na podstawie tego, co obsługuje Twój serwer proxy. Authentication Type—Choose from among the following authentication types: None—No further authentication is required. Dostępne dla serwerów proxy HTTP lub HTTPS. Basic—Used for an HTTP User Agent to provide a user name and password when making a request. Używa kodowania Base64. Dostępne dla serwerów proxy HTTP lub HTTPS. W przypadku wybrania tej opcji należy również wprowadzić nazwę użytkownika i hasło. Digest—Used to confirm the account before sending sensitive information. Stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć. Dostępne tylko dla serwerów proxy HTTPS. W przypadku wybrania tej opcji należy również wprowadzić nazwę użytkownika i hasło. Wykonaj kolejne kroki, aby uzyskać przezroczysty serwer proxy inspekcji, jawny serwer proxy HTTP z uwierzytelnianiem podstawowym lub jawny serwer proxy HTTPS.
3	Kliknij przycisk Przekaż certyfikat główny lub Certyfikat jednostkikońcowej , a następnie przejdź do wybierz certyfikat główny dla serwera proxy. Certyfikat został przekazany, ale nie został jeszcze zainstalowany, ponieważ należy ponownie uruchomić węzeł, aby zainstalować certyfikat. Kliknij strzałkę cudzysłów ostrokątnych przy nazwie wystawcy certyfikatu, aby uzyskać więcej szczegółów, lub kliknij przycisk Usuń, jeśli popełnisz błąd i chcesz ponownie przesłać plik.
4	Kliknij przycisk Sprawdź połączenie z serwerem proxy, aby przetestować łączność sieciową między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, zostanie wyświetlony komunikat o błędzie z przyczyną i sposobem rozwiązania problemu. Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie może połączyć się z serwerem DNS. Ten warunek jest oczekiwany w wielu jawnych konfiguracjach proxy. You can continue with the setup, and the node will function in Blocked External DNS Resolution mode. If you think this is an error, complete these steps, and then see Turn off Blocked External DNS Resolution Mode.
5	Po przejściu testu połączenia, dla jawnego serwera proxy ustawionego tylko na https, włącz przełącznik na Kieruj wszystkie żądania https portu 443/444 z tego węzła za pośrednictwem jawnego serwera proxy. To ustawienie wymaga 15 sekund, aby zostało wprowadzone.
6	Kliknij opcję Zainstaluj wszystkie certyfikaty w magazynie zaufania (pojawia się w przypadku jawnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawia się w przypadku jawnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij przycisk Zainstaluj, jeśli wszystko jest gotowe. Węzeł uruchomi się ponownie w ciągu kilku minut.
7	Po ponownym uruchomieniu węzła zaloguj się ponownie, jeśli to konieczne, a następnie otwórz stronę Przegląd, aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie są w stanie zielonym. Sprawdzanie połączenia proxy testuje tylko subdomenę webex.com. Jeśli występują problemy z łącznością, typowym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy.

Register the First Node in the Cluster

This task takes the generic node that you created in the Set up the Hybrid Data Security VM, registers the node with the Webex cloud, and turns it into a Hybrid Data Security node.

When you register your first node, you create a cluster to which the node is assigned. A cluster contains one or more nodes deployed to provide redundancy.

Przed rozpoczęciem

Once you begin registration of a node, you must complete it within 60 minutes or you have to start over.
Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.

1	Zaloguj się w https://admin.webex.com.
2	From the menu on the left side of the screen, select Services.
3	In the Hybrid Services section, find Hybrid Data Security and click Set up. The Register Hybrid Data Security Node page appears.
4	Select Yes to indicate that you have set up the node and are ready to register it, and then click Next.
5	In the first field, enter a name for the cluster to which you want to assign your Hybrid Data Security node. We recommend that you name a cluster based on where the nodes of the cluster are located geographically. Examples: "San Francisco" or "New York" or "Dallas"
6	In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next. This IP address or FQDN should match the IP address or hostname and domain that you used in Set up the Hybrid Data Security VM. A message appears indicating you can register your node to the Webex.
7	Click Go to Node.
8	Click Continue in the warning message. After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your Webex organization to access your node.
9	Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue. Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud.
10	Click the link or close the tab to go back to the Control Hub Hybrid Data Security page. On the Hybrid Data Security page, the new cluster containing the node that you registered is displayed. The node will automatically download the latest software from the cloud.

Create and Register More Nodes

To add additional nodes to your cluster, you simply create additional VMs and mount the same configuration ISO file, then register the node. We recommend that you have at least 3 nodes.

At this time, the backup VMs that you created in Complete the Prerequisites for Hybrid Data Security are standby hosts which are only used in the event of disaster recovery; they are not registered with the system until then. For details, see Disaster Recovery using Standby Data Center.

Przed rozpoczęciem

Once you begin registration of a node, you must complete it within 60 minutes or you have to start over.
Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.

1	Create a new virtual machine from the OVA, repeating the steps in Install the HDS Host OVA.
2	Set up the initial configuration on the new VM, repeating the steps in Set up the Hybrid Data Security VM.
3	On the new VM, repeat the steps in Upload and Mount the HDS Configuration ISO.
4	If you are setting up a proxy for your deployment, repeat the steps in Configure the HDS Node for Proxy Integration as needed for the new node.
5	Register the node. In https://admin.webex.com, select Services from the menu on the left side of the screen. In the Hybrid Services section, find the Hybrid Data Security card and click Resources. The Hybrid Data Security Resources page appears. Click Add Resource. In the first field, select the name of your existing cluster. In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next. A message appears indicating you can register your node to the Webex cloud. Click Go to Node. After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your organization to access your node. Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue. Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud. Click the link or close the tab to go back to the Control Hub Hybrid Data Security page. Your node is registered. Note that until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.

Co zrobić dalej

Run a Trial and Move to Production (next chapter)

Uruchom wersję próbną i przejdź do produkcji

Przepływ próby do zadania produkcyjnego

Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.

Przed rozpoczęciem

Konfigurowanie hybrydowego klastra bezpieczeństwa danych

1	Jeśli dotyczy, zsynchronizuj obiekt grupowy `HdsTrialGroup` . Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, przed rozpoczęciem próby należy wybrać obiekt grupowy `HdsTrialGroup` do synchronizacji z chmurą. Instrukcje można znaleźć w przewodniku wdrażania Cisco Directory Connector.
2	Aktywuj wersję próbną Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana.
3	Przetestuj wdrożenie hybrydowego zabezpieczenia danych Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.
4	Monitorowanie stanu hybrydowego bezpieczeństwa danych Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów.
5	Dodawanie lub usuwanie użytkowników z wersji próbnej
6	Zakończ fazę próbną, wykonując jedną z następujących czynności: Przeniesienie z wersji próbnej do produkcji Zakończ wersję próbną bez przejścia do produkcji

Aktywuj wersję próbną

Przed rozpoczęciem

Jeśli Twoja organizacja używa synchronizacji katalogów dla użytkowników, przed rozpoczęciem próby w organizacji należy wybrać obiekt grupowy HdsTrialGroup do synchronizacji z chmurą. Instrukcje można znaleźć w przewodniku wdrażania Cisco Directory Connector.

1	Zaloguj się do https://admin.webex.com, a następnie wybierz Usługi.
2	W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.
3	W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną. Stan usługi zmienia się w tryb próbny.
4	Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług. (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, `HdsTrialGroup`).

Przetestuj wdrożenie hybrydowego zabezpieczenia danych

Użyj tej procedury, aby przetestować scenariusze szyfrowania hybrydowych zabezpieczeń danych.

Przed rozpoczęciem

Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.
Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.

1

Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.

Jeśli dezaktywujesz wdrożenie hybrydowego zabezpieczenia danych, zawartość w obszarach tworzonych przez użytkowników pilotażowych nie jest już dostępna po wymianie kopii kluczy szyfrowania w pamięci podręcznej klienta.

2

Wysyłaj wiadomości do nowego obszaru.

3

Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych.

Aby sprawdzić, czy użytkownik najpierw ustanawia bezpieczny kanał do KMS, filtruj na kms.data.method=create and kms.data.type=EPHEMERAL_KEY_COLLECTION:

Należy znaleźć wpis taki jak następujący (identyfikatory skrócone dla czytelności):

2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] otrzymane, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=utwórz, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KLUCZ_ZBIERANIE, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Aby sprawdzić, czy użytkownik żąda istniejącego klucza z KMS, filtruj na kms.data.method=retrieve i kms.data.type=KEY:

Należy znaleźć wpis taki jak:

2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] otrzymane, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Aby sprawdzić, czy użytkownik prosi o utworzenie nowego klucza KMS, filtruj na kms.data.method=create i kms.data.type=KEY_COLLECTION:

Należy znaleźć wpis taki jak:

2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] otrzymane, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KOLEKCJA_KLUCZOWA, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Aby sprawdzić, czy użytkownik wnioskujący o utworzenie nowego obiektu zasobów KMS (KRO) podczas tworzenia obszaru lub innego chronionego zasobu jest filtrowany na kms.data.method=create and kms.data.type=RESOURCE_COLLECTION:

Należy znaleźć wpis taki jak:

2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] otrzymane, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorowanie stanu hybrydowego bezpieczeństwa danych

Wskaźnik stanu w Control Hub pokazuje, czy wszystko jest dobrze we wdrożeniu hybrydowego zabezpieczenia danych. Aby uzyskać bardziej proaktywne alerty, zapisz się do powiadomień e-mail. Otrzymasz powiadomienie o alarmach lub aktualizacjach oprogramowania mających wpływ na usługę.

1	W Control Hub wybierz Usługi z menu po lewej stronie ekranu.
2	W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij Ustawienia. Zostanie wyświetlona strona Ustawienia zabezpieczeń danych hybrydowych.
3	W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij przycisk Enter.

Dodawanie lub usuwanie użytkowników z wersji próbnej

Po aktywacji wersji próbnej i dodaniu początkowego zestawu użytkowników wersji próbnej można dodać lub usunąć członków wersji próbnej w dowolnym momencie, gdy wersja próbna jest aktywna.

Jeśli usuniesz użytkownika z wersji próbnej, klient poprosi go o utworzenie kluczy i kluczy z chmury KMS zamiast Twojego KMS. Jeśli klient potrzebuje klucza przechowywanego w KMS, Cloud KMS pobierze go w imieniu użytkownika.

Jeśli Twoja organizacja używa synchronizacji katalogu, użyj Active Directory (zamiast tej procedury) do zarządzania grupą próbną, HdsTrialGroup; możesz wyświetlać członków grupy w Control Hub, ale nie możesz ich dodawać ani usuwać.

1	Zaloguj się do Control Hub, a następnie wybierz Usługi.
2	W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.
3	W sekcji Tryby wersji próbnej w obszarze Stan usługi kliknij przycisk Dodaj użytkowników lub kliknij widok i edytuj , aby usunąć użytkowników z wersji próbnej.
4	Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania lub kliknij przycisk X identyfikatorem użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij przycisk Zapisz.

Przeniesienie z wersji próbnej do produkcji

Gdy jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych, możesz przejść do produkcji. Po przeniesieniu do produkcji wszyscy użytkownicy w organizacji będą korzystać z lokalnej domeny hybrydowego zabezpieczenia danych w celu szyfrowania kluczy i innych usług w dziedzinie zabezpieczeń. Nie można wrócić do trybu próbnego z produkcji, chyba że dezaktywujesz usługę w ramach odzyskiwania awaryjnego. Reaktywacja usługi wymaga skonfigurowania nowej wersji próbnej.

1	Zaloguj się do Control Hub, a następnie wybierz Usługi.
2	W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.
3	W sekcji Stan usługi kliknij opcję Przenieś do produkcji.
4	Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji.

Zakończ wersję próbną bez przejścia do produkcji

Jeśli podczas okresu próbnego zdecydujesz się nie kontynuować wdrażania hybrydowego zabezpieczenia danych, możesz dezaktywować hybrydowe zabezpieczenia danych, które kończą okres próbny i przenoszą użytkowników wersji próbnej z powrotem do usług zabezpieczeń danych w chmurze. Użytkownicy próbni stracą dostęp do danych zaszyfrowanych podczas badania.

1	Zaloguj się do Control Hub, a następnie wybierz Usługi.
2	W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.
3	W sekcji Dezaktywuj kliknij przycisk Dezaktywuj.
4	Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny.

Zarządzanie wdrożeniem HDS

Użyj opisanych tutaj zadań do zarządzania wdrożeniem hybrydowego zabezpieczenia danych.

Ustaw harmonogram uaktualniania klastra

Aktualizacje oprogramowania Hybrid Data Security są wykonywane automatycznie na poziomie klastra, co zapewnia, że wszystkie węzły zawsze korzystają z tej samej wersji oprogramowania. Uaktualnienia są wykonywane zgodnie z harmonogramem uaktualniania klastra. Po udostępnieniu uaktualnienia oprogramowania można ręcznie uaktualnić klaster przed zaplanowaną godziną uaktualnienia. Można ustawić określony harmonogram uaktualniania lub użyć domyślnego harmonogramu 3:00 rano Daily Stany Zjednoczone: Ameryka/Los Angeles. W razie potrzeby można również odłożyć nadchodzące uaktualnienie.

Aby ustawić harmonogram uaktualniania:

1	Zaloguj się do Centrum sterowania.
2	Na stronie Przegląd w obszarze Usługi hybrydowe wybierz opcję Hybrid Data Security.
3	Na stronie Zasoby zabezpieczeń danych hybrydowych wybierz klaster.
4	W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra.
5	Na stronie Ustawienia w obszarze Uaktualnianie wybierz godzinę i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest następna dostępna data i godzina aktualizacji. W razie potrzeby można odroczyć uaktualnienie do następnego dnia, klikając opcję Odłóż.

Zmień konfigurację węzła

Czasami może być konieczna zmiana konfiguracji węzła Hybrid Data Security z takiego powodu, jak:

Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.

Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do rejestracji klastra.

Aktualizacja ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.

Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.

Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.

Ponadto ze względów bezpieczeństwa usługa Hybrid Data Security używa haseł do kont usług, które mają dziewięciomiesięczny okres użytkowania. Gdy narzędzie HdS Setup wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO. Gdy hasła Twojej organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex o zresetowaniu hasła do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj interfejsu API konta komputera, aby zaktualizować hasło”). Jeśli Twoje hasła jeszcze nie wygasły, narzędzie oferuje dwie opcje:

Delikatne resetowanie — stare i nowe hasła działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
Twarde resetowanie — stare hasła natychmiast przestają działać.

Jeśli hasła wygasną bez resetowania, ma to wpływ na usługę HDS, wymagając natychmiastowego twardego resetu i wymiany pliku ISO na wszystkich węzłach.

Użyj tej procedury, aby wygenerować nowy konfiguracyjny plik ISO i zastosować go do klastra.

Przed rozpoczęciem

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora w organizacji.

Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas przywoływania kontenera Docker w 1.e. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBAL_AGENT_HTTPS_PROXY=http://NAZWA UŻYTKOWNIKA:HASŁO@SERVER_IP:PORT`

Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO. ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.

1

Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie HDS Setup Tool.

W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

W zwykłych środowiskach:

docker rmi ciscocitg/hds konfiguracja: stabilny

W środowiskach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp: stabilny

Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:
```
logowanie do dokera -u hdscustomersro
```
Po wyświetleniu monitu o hasło wprowadź ten skrót:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIO
```

Pobierz najnowszy stabilny obraz dla swojego środowiska:

W zwykłych środowiskach:

docker pull ciscocitg/hds konfiguracja: stabilny

W środowiskach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp: stabilny

Upewnij się, że pobierasz najnowsze narzędzie instalacyjne dla tej procedury. Wersje narzędzia utworzone przed 22 lutego 2018 r. nie mają ekranów resetowania hasła.

Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska:

W zwykłych środowiskach bez proxy:

docker run -p 8080:8080 --rm -to ciscocitg/hds konfiguracja:stabilny

W zwykłych środowiskach z proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds setup:stable

W zwykłych środowiskach z HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds setup:stable

W środowiskach FedRAMP bez proxy:

docker run -p 8080:8080 --rm -to ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Gdy kontener jest uruchomiony, widzisz "Serwer ekspresowy nasłuchujący na porcie 8080".

Użyj przeglądarki, aby połączyć się z hostem lokalnym, http://127.0.0.1:8080.

Narzędzie Konfiguracja nie obsługuje łączenia się z localhost przez http://localhost:8080. Użyj http://127.0.0.1:8080 do nawiązania połączenia z hostem lokalizacji.

Po wyświetleniu monitu wprowadź poświadczenia logowania klienta Control Hub, a następnie kliknij przycisk Akceptuj , aby kontynuować.
Zaimportuj bieżący konfiguracyjny plik ISO.
Postępuj zgodnie z instrukcjami, aby ukończyć narzędzie i pobrać zaktualizowany plik.

Aby wyłączyć narzędzie konfiguracji, wpisz CTRL+C.
Utwórz kopię zapasową zaktualizowanego pliku w innym centrum danych.

2

Jeśli jest uruchomiony tylko jeden węzeł HDS, utwórz nowy węzeł hybrydowego zabezpieczenia danych VM i zarejestruj go przy użyciu nowego pliku ISO konfiguracji. Aby uzyskać bardziej szczegółowe instrukcje, zobacz temat Tworzenie i rejestrowanie większej liczby węzłów.

Zainstaluj OVA hosta HDS.
Skonfiguruj maszynę wirtualną HDS.
Zamontuj zaktualizowany plik konfiguracyjny.
Zarejestruj nowy węzeł w centrum sterowania.

3

W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO. Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła:

Wyłącz maszynę wirtualną.
W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.
Kliknij pozycję Napęd CD/DVD 1, wybierz opcję instalacji z pliku ISO i przejdź do lokalizacji, do której pobrano nowy plik konfiguracyjny ISO.
Zaznacz Połącz przy włączeniu.
Zapisz zmiany i włącz maszynę wirtualną.

4

Powtórz krok 3, aby zastąpić konfigurację na każdym pozostałym węźle, na którym działa stara konfiguracja.

Wyłączanie trybu zablokowanego zewnętrznego rozpoznawania DNS

Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS.

Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, ponownie uruchamiając test połączenia proxy w każdym węźle.

Przed rozpoczęciem

Upewnij się, że wewnętrzne serwery DNS mogą rozpoznawać publiczne nazwy DNS i że węzły mogą się z nimi komunikować.

1	W przeglądarce sieci Web otwórz interfejs węzła Hybrid Data Security (na przykład adres IP/konfiguracja https://192.0.2.0/setup), wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj.
2	Przejdź do Przegląd (strona domyślna). Gdy ta opcja jest włączona, opcja Zablokowane zewnętrzne rozpoznawanie DNS jest ustawiona na Tak.
3	Przejdź do strony Trust Store & Proxy.
4	Kliknij przycisk Sprawdź połączenie proxy. Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie mógł połączyć się z serwerem DNS i pozostanie w tym trybie. W przeciwnym razie, po ponownym uruchomieniu węzła i powrocie do strony Przegląd, Zablokowane zewnętrzne rozpoznawanie DNS powinno być ustawione na nie.

Co dalej?

Powtórz test połączenia proxy dla każdego węzła w klastrze hybrid Data Security.

Usuń węzeł

Użyj tej procedury, aby usunąć węzeł hybrydowego zabezpieczenia danych z chmury Webex. Po usunięciu węzła z klastra usuń maszynę wirtualną, aby zapobiec dalszemu dostępowi do danych zabezpieczeń.

1

Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi i wyłączyć maszynę wirtualną.

2

Usuń węzeł:

Zaloguj się do Control Hub, a następnie wybierz Usługi.
Na karcie hybrydowe zabezpieczenia danych kliknij przycisk Wyświetl wszystkie , aby wyświetlić stronę zasobów hybrydowych zabezpieczeń danych.
Wybierz klaster, aby wyświetlić jego panel Przegląd.
Kliknij listę Otwórz węzły.
Na karcie Węzły wybierz węzeł, który chcesz usunąć.
Kliknij Akcje > węzeł Deregister.

3

W kliencie vSphere usuń maszynę wirtualną. (W lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij przycisk Usuń.)

Jeśli nie usuniesz VM, pamiętaj o usunięciu pliku ISO konfiguracji. Bez pliku ISO nie można użyć maszyny wirtualnej, aby uzyskać dostęp do danych bezpieczeństwa.

Odzyskiwanie po awarii za pomocą Standby Data Center

Najbardziej krytyczną usługą oferowaną przez klaster hybrydowego bezpieczeństwa danych jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji przypisanego do hybrydowego zabezpieczenia danych nowe żądania tworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za przywrócenie kluczy, które został utworzony do wszystkich użytkowników upoważnionych do ich odzyskania, na przykład członków obszaru konwersacji.

Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby utrzymywały się odpowiednie kopie zapasowe. Utrata bazy danych hybrydowych zabezpieczeń danych lub układu ISO konfiguracji stosowanego dla schematu spowoduje NIEZBĘDNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, konieczne są następujące praktyki:

Jeśli awaria spowoduje, że wdrożenie HDS w głównym centrum danych stanie się niedostępne, postępuj zgodnie z tą procedurą, aby ręcznie przełączyć się na standby centrum danych.

1

Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.

2

Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane

3

Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń konfigurację PassiveMode , aby węzeł był aktywny. Węzeł może obsługiwać ruch po skonfigurowaniu.

 PassiveMode: "fałszywy"

4

Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia.

5

Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

6

W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia..

7

Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.

Upewnij się, że Connected and Connect at power on (Podłączono) są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły wejść w życie po uruchomieniu węzłów.

8

Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.

9

Powtórz proces dla każdego węzła w centrum danych standby.

Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy węzły centrum danych standby nie są w trybie pasywnym. „KMS skonfigurowany w trybie pasywnym” nie powinien być wyświetlany w dziennikach syslog.

Co zrobić dalej

Po przełączeniu awaryjnym, jeśli główne centrum danych stanie się ponownie aktywne, ponownie umieść centrum danych standby w trybie pasywnym, wykonując czynności opisane w Ustawieniu Standby Data Center dla odzyskiwania awarii.

(Opcjonalnie) Odmontować ISO Po Konfiguracji HDS

Standardowa konfiguracja HDS działa z zamontowanym ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale zamontowanych. Plik ISO można odmontować po odebraniu nowej konfiguracji przez wszystkie węzły HDS.

Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego ISO lub aktualizacji ISO za pomocą narzędzia konfiguracyjnego należy zamontować zaktualizowany ISO na wszystkich węzłach HDS. Po odebraniu zmian konfiguracji przez wszystkie węzły można ponownie rozmontować ISO za pomocą tej procedury.

Przed rozpoczęciem

Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.

1	Zamknij jeden z węzłów HDS.
2	W urządzeniu VCenter Server Appliance wybierz węzeł HDS.
3	Wybierz Edytuj ustawienia > Napęd CD/DVD i usuń zaznaczenie pliku Datastore ISO.
4	Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut.
5	Powtórz kolejno dla każdego węzła HDS.

Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych

Wyświetlanie alertów i rozwiązywania problemów

Wdrożenie hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że wymaga przekroczenia czasu. Jeśli użytkownicy nie mogą skontaktować się z klastrem hybrydowego zabezpieczenia danych, mogą wystąpić następujące objawy:

Nie można utworzyć nowych obszarów (nie można utworzyć nowych kluczy)
Wiadomości i tytuły przestrzeni nie można odszyfrować dla:
- Dodano nowych użytkowników do obszaru (nie można pobrać kluczy)
- Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze będą z powodzeniem działać tak długo, jak ich klienci będą mieli pamięć podręczną kluczy szyfrowania

Ważne jest, aby odpowiednio monitorować klaster hybrydowego zabezpieczenia danych i szybko zwracać się do wszystkich alertów, aby uniknąć zakłóceń w obsłudze.

Alerty

Jeśli występuje problem z konfiguracją hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.

Tabela 1. Wspólne problemy i kroki mające na celu ich rozwiązanie
Alert	Czynność
Błąd dostępu do lokalnej bazy danych.	Sprawdź, czy występują błędy w bazie danych lub problemy z siecią lokalną.
Niepowodzenie połączenia z lokalną bazą danych.	Sprawdź, czy serwer bazy danych jest dostępny, a w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi.
Niepowodzenie dostępu do usługi w chmurze.	Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z wymaganiami Zewnętrznej łączności.
Odnowienie rejestracji usług w chmurze.	Zrezygnowano z rejestracji na usługi w chmurze. Trwa przedłużenie rejestracji.
Rejestracja usług w chmurze została odrzucona.	Rejestracja na usługi w chmurze została zakończona. Usługa jest wyłączona.
Usługa jeszcze nie została aktywowana.	Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do produkcji.
Skonfigurowana domena nie odpowiada certyfikatowi serwera.	Upewnij się, że certyfikat serwera jest zgodny z skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że certyfikat CN został ostatnio zmieniony i jest teraz inny niż CN, który był używany podczas początkowej konfiguracji.
Uwierzytelnianie usług w chmurze nie powiodło się.	Kontrola poprawności i ewentualnego wygaśnięcia poświadczeń konta usługi.
Nie można otworzyć lokalnego pliku keystore.	Sprawdź integralność i dokładność hasła w lokalnym pliku keystore.
Certyfikat lokalnego serwera jest nieprawidłowy.	Sprawdź datę ważności certyfikatu serwera i potwierdź, że został on wydany przez zaufany urząd certyfikacji.
Nie można publikować metryk.	Sprawdź dostęp sieci lokalnej do zewnętrznych usług w chmurze.
/media/configdrive/hds katalog nie istnieje.	Sprawdź konfigurację montażu ISO na wirtualnym hostze. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu na ponownym uruchomieniu i czy został pomyślnie zainstalowany.

Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych

Podczas rozwiązywania problemów z hybrydowymi zabezpieczeniami danych należy stosować następujące ogólne wytyczne.

1	Przejrzyj Control Hub dla wszystkich alertów i naprawić wszystkie znalezione tam elementy.
2	Przejrzyj wyjście serwera dziennika systemowego pod kątem aktywności z wdrożenia hybrydowego zabezpieczenia danych.
3	Skontaktuj się z pomocą techniczną Cisco.

Inne uwagi

Znane problemy dotyczące hybrydowego bezpieczeństwa danych

Jeśli zamkniesz klaster hybrydowego bezpieczeństwa danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych keystore, użytkownicy aplikacji Webex nie będą mogli już korzystać z obszarów na liście osób utworzonych za pomocą kluczy z KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia ani rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłudze aktywnych kont użytkowników.
Klient z istniejącym połączeniem ECDH z KMS utrzymuje to połączenie przez pewien czas (prawdopodobnie godzinę). Gdy użytkownik staje się członkiem próby hybrydowego zabezpieczenia danych, klient użytkownika nadal korzysta z istniejącego połączenia ECDH do czasu jego wyłączenia. Alternatywnie, użytkownik może wylogować się i wrócić do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w przypadku kluczy szyfrowania.

To samo zachowanie występuje podczas przenoszenia próby do produkcji dla organizacji. Wszyscy użytkownicy spoza wersji próbnej posiadający istniejące połączenia ECDH z poprzednimi służbami bezpieczeństwa danych będą nadal korzystać z tych usług do czasu renegocjacji połączenia ECDH (poprzez limit czasu lub poprzez wylogowanie i powrót).

Użyj protokołu OpenSSL do generowania pliku PKCS12

Przed rozpoczęciem

OpenSSL jest jednym z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do ładowania w narzędziu konfiguracji HDS. Istnieją inne sposoby, aby to zrobić, a my nie popieramy ani nie promujemy jednej drogi nad drugą.
Jeśli zdecydujesz się korzystać z OpenSSL, zapewniamy tę procedurę jako wytyczną, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatów X.509. Zrozum te wymagania, zanim przejdziesz dalej.
Zainstaluj OpenSSL w obsługiwanym środowisku. Patrz https://www.openssl.org oprogramowanie i dokumentacja.
Utwórz klucz prywatny.
Procedurę tę należy rozpocząć po otrzymaniu certyfikatu serwera od urzędu certyfikacji.

1	Po otrzymaniu certyfikatu serwera od urzędu certyfikacji zapisz go jako `hdsnode.pem`.
2	Wyświetl certyfikat jako tekst i zweryfikuj szczegóły. `openssl x509 -text -noout -in hdsnode.pem`
3	Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie `hdsnode-bundle.pem`. Plik pakietu musi zawierać certyfikat serwera, wszystkie pośrednie certyfikaty urzędu certyfikacji oraz podstawowe certyfikaty urzędu certyfikacji w formacie poniżej: `----- ZACZĄĆ CERTYFIKAT----- ### Certyfikat serwera. ### ----- ZAKOŃCZ CERTYFIKAT-------- ROZPOCZĄĆ CERTYFIKAT----- ### Pośredni certyfikat urzędu certyfikacji. ### ----- ZAKOŃCZ CERTYFIKAT-------- ROZPOCZĄĆ CERTYFIKAT----- ### Certyfikat głównego urzędu certyfikacji. ### ----- ZAKOŃCZ CERTYFIKAT-----`
4	Utwórz plik .p12 za pomocą przyjaznej nazwy `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Sprawdź szczegóły certyfikatu serwera. `openssl pkcs12 -w hdsnode.p12` Wprowadź hasło po wyświetleniu monitu, aby zaszyfrować klucz prywatny w taki sposób, aby był wyświetlany na wyjściu. Następnie sprawdź, czy klucz prywatny i pierwszy certyfikat zawierają linie `friendlyName: kms-klucz prywatny`. Przykład: bash$ openssl pkcs12 -in hdsnode.p12 Wprowadź hasło importu: MAC zweryfikował atrybuty OK Bag friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Atrybuty kluczowe: Wprowadź wyrażenie przelewu PEM: Weryfikowanie – Wprowadź frazę przekazywania PEM: ----- ROZPOCZĄĆ SZYFROWANY KLUCZ PRYWATNY----- ----- ZAKOŃCZ SZYFROWANY KLUCZ PRYWATNY-------- Atrybuty toreNazwa przyjaźni: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ----- ROZPOCZĘCIE CERTYFIKATU----- ------ ZAKOŃCZENIE CERTYFIKATU------ Atrybuty friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ----- ROZPOCZĄĆ CERTYFIKAT----- ----- ZAKOŃCZ CERTYFIKAT-----

Co zrobić dalej

Powróć, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych. Plik hdsnode.p12 i ustawione dla niego hasło będą używane w Utwórz ISO konfiguracji hostów HDS.

Możesz ponownie użyć tych plików, aby poprosić o nowy certyfikat po wygaśnięciu oryginalnego certyfikatu.

Ruch między węzłami HDS a chmurą

Ruch zbierania metryk wychodzących

Węzły hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dla maks. stosu, stosowanego stosu, obciążenia procesora i liczenia wątków; metryki na wątkach synchronicznych i asynchronicznych; metryki na alertach obejmujące próg połączeń szyfrowania, opóźnienie lub długość kolejki żądań; metryki na zbiorniku danych; oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał poza pasmem (oddzielony od żądania).

Ruch przychodzący

Węzły hybrydowego zabezpieczenia danych otrzymują następujące typy ruchu przychodzącego z chmury Webex:

Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania
Aktualizacja do oprogramowania węzła

Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych

Websocket nie może połączyć się przez Squid Proxy

Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS, mogą zakłócać tworzenie połączeń typu websocket (wss:), których wymaga Hybrid Data Security. Te sekcje dają wskazówki, jak skonfigurować różne wersje Squid ignorować wss: ruch w celu prawidłowego funkcjonowania usług.

Kalmary 4 i 5

Dodać on_unsupported_protocol dyrektywę do squid.conf:

on_unsupported_protocol tunel wszystkie

Kalmary 3.5.27

Z powodzeniem przetestowaliśmy Hybrid Data Security z następującymi regułami dodanymi do squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizowania chmury Webex.

acl wssMercuryConnection ssl::server_name_regex rtęciowe połączenie ssl_bump splice wssMercuryPołączenie acl krok1 at_step SslBump1 acl krok2 at_step SslBump2 acl krok3 at_step SslBump3 ssl_bump rzut oka krok1 wszystkie ssl_bump stare krok2 wszystkie ssl_bump bump krok3 wszystko

Przedmowa

Nowe i zmienione informacje

Data

Zmiany

20 października 2023 r.

Zaktualizowane informacje w wymaganiach serwera bazy danych.
Dodano konfigurację Centrum danych w trybie gotowości do odzyskiwania awarii.
Zaktualizowane informacje w Standby Data Center for Disaster Recovery and Disaster Recovery using Standby Data Center.

07 sierpnia 2023 r.

Dodano notatkę w sekcji Pobierz pliki instalacyjne.
Dodano notatkę w Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła.

23 maja 2023 r.

Usunięto informacje z wymagań serwera bazy danych , żądając włączenia funkcji przez skontaktowanie się z zespołem kont.
Zaktualizowano informacje dotyczące zewnętrznych wymagań dotyczących łączności i dodano Kanadę do tabeli hostów CI.
Dodano uwagę w oczekiwaniach dotyczących wdrażania hybrydowego zabezpieczenia danych w odniesieniu do niedostępności mechanizmów przenoszenia kluczy z powrotem do chmury.

06 grudnia 2022 r.

Obrazy narzędzia konfiguracji HDS są teraz hostowane w ciscocitg repozytorium dockerhub.
Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień tematy konfiguracji węzła , aby przywrócić zmiany w poleceniach.

23 listopada 2022 r.

Węzły HDS mogą teraz używać uwierzytelniania systemu Windows w usłudze Microsoft SQL Server.

Zaktualizowano temat wymagań serwera bazy danych z dodatkowymi wymaganiami dla tego trybu uwierzytelniania.

Zaktualizowano Utwórz ISO konfiguracji hostów HDS z procedurą konfigurowania uwierzytelniania systemu Windows w węzłach.
Zaktualizowano temat wymagań serwera bazy danych o nowe minimalne wymagane wersje (PostgreSQL 10).

13 października 2021 r.

Docker Desktop musi uruchomić program konfiguracji przed zainstalowaniem węzłów HDS. Zobacz Wymagania Dotyczące Pulpitu Docker.

24 czerwca 2021 r.

Pamiętaj, że możesz ponownie użyć pliku klucza prywatnego i CSR, aby poprosić o inny certyfikat. Aby uzyskać szczegółowe informacje, zobacz Użyj OpenSSL, aby wygenerować plik PKCS12.

30 kwietnia 2021 r.

Zmieniono wymaganie VM dla lokalnego miejsca na dysku twardym na 30 GB. Szczegółowe informacje można znaleźć w sekcji Wymagania wirtualnego prowadzącego.

24 lutego 2021 r.

Narzędzie konfiguracji usługi HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie ISO konfiguracji hostów HDS.

2 lutego 2021 r.

HDS może teraz działać bez zamontowanego pliku ISO. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.

11 stycznia 2021 r.

Dodano informacje o narzędziu do konfiguracji HDS i pełnomocnikach, aby utworzyć ISO konfiguracji dla prowadzących HDS.

13 października 2020 r.

Zaktualizowano Pobierz pliki instalacyjne.

8 października 2020 r.

Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP.

14 sierpnia 2020 r.

Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła ze zmianami w procesie logowania.

5 sierpnia 2020 r.

Zaktualizowano testowanie wdrażania hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika.

Zaktualizowano wymagania hosta wirtualnego , aby usunąć maksymalną liczbę hostów.

16 czerwca 2020 r.

Zaktualizowano Usuwanie węzła pod kątem zmian w interfejsie interfejsu Control Hub.

4 czerwca 2020 r.

Zaktualizowano Tworzenie ISO konfiguracji dla hostów HDS w celu wprowadzenia zmian w ustawieniach zaawansowanych, które można ustawić.

29 maja 2020 r.

Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami interfejsu użytkownika i innymi wyjaśnieniami.

5 maja 2020 r.

Zaktualizowano wymagania hosta wirtualnego , aby pokazać nowe wymagania ESXi 6.5.

21 kwietnia 2020 r.

Zaktualizowane wymagania dotyczące łączności zewnętrznej z nowymi hostami CI Americas.

1 kwietnia 2020 r.

Zaktualizowane wymagania dotyczące łączności zewnętrznej z informacjami na temat regionalnych prowadzących CI.

20 lutego 2020 r. Zaktualizowano Utwórz ISO konfiguracji hostów HDS z informacjami na nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu do konfiguracji HDS.

4 lutego 2020 r. Zaktualizowano wymagania serwera proxy.

16 grudnia 2019 r. Wyjaśnione wymagania dotyczące zablokowanego zewnętrznego trybu rozdzielczości DNS do pracy w wymaganiach serwera proxy.

19 listopada 2019 r.

Dodano informacje o zablokowanym zewnętrznym trybie rozpoznawania DNS w następujących sekcjach:

Obsługa serwera proxy
Konfigurowanie węzła HDS dla integracji serwera proxy
Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS

8 listopada 2019 r.

Teraz można skonfigurować ustawienia sieciowe węzła podczas wdrażania OVA, a nie później.

Zaktualizowano odpowiednio następujące sekcje:

Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych
Instalowanie OVA hosta HDS
Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych

Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

6 września 2019 r.

Dodano SQL Server Standard do wymagań serwera bazy danych.

29 sierpnia 2019 r. Dodano Configure Squid Proxies for Hybrid Data Security appendix z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu zignorowania ruchu websocket w celu prawidłowej obsługi.

20 sierpnia 2019 r.

Dodano i zaktualizowano sekcje, aby objąć obsługę proxy komunikacji węzła hybrydowego bezpieczeństwa danych z chmurą Webex.

Obsługa serwera proxy
Wymagania serwera proxy
Konfigurowanie węzła HDS dla integracji serwera proxy

Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł pomocy Proxy Support for Hybrid Data Security i Webex Video Mesh .

13 czerwca 2019 r. Zaktualizowano próbny do przepływu zadań produkcyjnych z przypomnieniem o synchronizacji HdsTrialGroup obiekt grupowy przed rozpoczęciem próby, jeśli Twoja organizacja korzysta z synchronizacji katalogu.

6 marca 2019 r.

Przeniesione wymagania i wymagania wstępne do oddzielnego rozdziału, Przygotuj Swoje Środowisko.
Dodano przegląd przepływu zadań wdrażania zabezpieczeń danych hybrydowych w rozdziale Skonfiguruj klaster zabezpieczeń danych hybrydowych.

Zauważono, że do momentu rozpoczęcia próby (przy użyciu instrukcji w następnym rozdziale) węzły generują alarm wskazujący, że usługa nie jest jeszcze aktywowana.
Dodano Test do przepływu zadań produkcyjnych w rozdziale Uruchom wersję próbną i przejdź do produkcji.

28 lutego 2019 r.

Skorygowano ilość lokalnego miejsca na dysku twardym na serwer, którą należy odłożyć podczas przygotowywania wirtualnych hostów, które stają się węzłami hybrydowego zabezpieczenia danych, z 50 GB do 20 GB, aby odzwierciedlić rozmiar dysku, który tworzy OVA.

26 lutego 2019 r.

Węzły hybrydowego zabezpieczenia danych obsługują teraz szyfrowane połączenia z serwerami bazy danych PostgreSQL i szyfrowane połączenia rejestrowania z serwerem dziennika systemowego obsługującym protokół TLS. Zaktualizowano Tworzenie ISO konfiguracji dla prowadzących HDS z instrukcjami.
Usunięto adresy URL docelowe z tabeli „Wymagania dotyczące łączności internetowej dla hybrydowych węzłów bezpieczeństwa danych”. Tabela odnosi się teraz do listy utrzymywanej w tabeli „Dodatkowe adresy URL usług hybrydowych Webex Teams” dotyczącej wymagań sieciowych dla usług Webex Teams.

24 stycznia 2019 r.

Hybrid Data Security obsługuje teraz Microsoft SQL Server jako bazę danych. Serwer SQL Always On (Klastry Always On Failover i grupy Always On Availability) jest obsługiwany przez sterowniki JDBC używane w hybrydowych zabezpieczeniach danych. Dodano zawartość związaną z wdrożeniem z programem SQL Server.

Obsługa rozwiązania Microsoft SQL Server jest przeznaczona tylko dla nowych wdrożeń hybrydowych zabezpieczeń danych. Obecnie nie obsługujemy migracji danych z serwera PostgreSQL na serwer Microsoft SQL Server w istniejącym wdrożeniu.

5 listopada 2018 r.

Dodano wstępny krok w celu wyczyszczenia wszystkich istniejących wystąpień dokera w Utwórz ISO konfiguracji dla prowadzących HDS i Zmień konfigurację węzła.
Zaktualizowano kluczowy krok poziomu dostępu w Utwórz ISO konfiguracji hostów HDS w celu dopasowania do interfejsu.

19 października 2018 r.

Podziel informacje o połączeniu zapory na wymagania węzłów i wymagania maszyny konfiguracyjnej ISO w Zakończ wymagania wstępne dotyczące hybrydowego zabezpieczenia danych.

31 lipca 2018 r.

Dodano port 22 (dostęp SSH) oraz informacje o połączeniach NAT i zapory, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych.

21 maja 2018 r.

Zmieniona terminologia odzwierciedlająca zmianę marki Cisco Spark:

Cisco Spark Hybrid Data Security jest teraz Hybrid Data Security.
Aplikacja Cisco Spark jest teraz aplikacją Webex.
Cisco Collaboraton Cloud jest teraz chmurą Webex.

11 kwietnia 2018 r.

Dodano Standby Data Center for Disaster Recovery (Centrum danych w trybie gotowości do przywracania po awarii).
Zaktualizowano Uzupełnij wymagania wstępne dla hybrydowego zabezpieczenia danych , aby określić, że środowisko tworzenia kopii zapasowych powinno znajdować się w innym centrum danych.
Zaktualizowano przywracanie po awarii za pomocą Standby Data Center.

22 lutego 2018 r.

Dodano informacje o 9-miesięcznej długości życia konta usługi i użyciu narzędzia do konfiguracji HDS do zresetowania haseł konta usługi, w Utwórz ISO konfiguracji dla prowadzących HDS i Zmień konfigurację węzła.

Luty 15, 2018

W tabeli Wymagania dotyczące certyfikatów X.509 określono, że certyfikat nie może być certyfikatem z wieloznacznymi kartami i że KMS używa domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3.

Styczeń 18, 2018

Dodano załącznik, Ruch między węzłami HDS a chmurą.
Usunięto rozwiązany problem ze znanymi problemami dotyczącymi hybrydowego bezpieczeństwa danych.
Zmieniono index.docker.io na *.docker.io i dodano *.cloudfront.net do listy wymagań łączności TCP dla węzłów HDS w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych.
Zaktualizowano Utwórz ISO konfiguracji hostów HDS w celu wskazania, że jeśli host bazy danych i serwer Syslogd nie są rozwiązywalne dla DNS z węzłów HDS, należy je skonfigurować za pomocą adresów IP.

2 listopada 2017 r.

Skrócona synchronizacja katalogu grupy HdsTrialGroup.
Stałe instrukcje dotyczące przesyłania pliku konfiguracyjnego ISO w celu zamontowania go w węzłach VM.

18 sierpnia 2017 r.

Pierwsza publikacja

Rozpocznij pracę z Hybrid Data Security

Przegląd zabezpieczeń danych hybrydowych

Od pierwszego dnia bezpieczeństwo danych było głównym celem projektowania aplikacji Webex. Podstawą tego bezpieczeństwa jest kompleksowe szyfrowanie zawartości, włączone przez klientów aplikacji Webex współpracujących z usługą Key Management Service (KMS). KMS odpowiada za tworzenie i zarządzanie kluczami kryptograficznymi, których klienci używają do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików.

Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS w obszarze bezpieczeństwa firmy Cisco. Hybrid Data Security przenosi KMS i inne funkcje związane z zabezpieczeniami do centrum danych przedsiębiorstwa, więc nikt oprócz Ciebie nie posiada kluczy do zaszyfrowanej zawartości.

Architektura domeny zabezpieczeń

Architektura chmury Webex oddziela różne rodzaje usług od osobnych domen lub domen zaufania, jak przedstawiono poniżej.

Aby lepiej zrozumieć hybrydowe zabezpieczenia danych, spójrzmy najpierw na ten przypadek czystej chmury, w którym firma Cisco zapewnia wszystkie funkcje w swoich domenach w chmurze. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od domeny bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od domeny, w której ostatecznie przechowywana jest zaszyfrowana zawartość, w centrum danych C.

Na tym schemacie klient to aplikacja Webex działająca na laptopie użytkownika i uwierzytelniona za pomocą usługi tożsamości. Gdy użytkownik komponuje wiadomość do wysłania do obszaru, wykonywane są następujące czynności:

Klient ustanawia bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie prosi o klucz do szyfrowania wiadomości. Bezpieczne połączenie korzysta z ECDH, a KMS szyfruje klucz przy użyciu klucza głównego AES-256.
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła go do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniach zawartości.
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w domenie przechowywania.

Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze, które składają się na usługę Webex (w tym pamięć masowa tożsamości i zawartości), pozostają w domenach Cisco.

Współpraca z innymi organizacjami

Użytkownicy w organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników prosi o klucz do obszaru należącego do organizacji (ponieważ został on utworzony przez jednego z użytkowników), KMS wysyła klucz do klienta za pośrednictwem kanału zabezpieczonego ECDH. Jednak gdy inna organizacja jest właścicielem klucza dla obszaru, system KMS kieruje żądanie do chmury Webex przez osobny kanał ECDH, aby uzyskać klucz z odpowiedniego systemu KMS, a następnie zwraca go do użytkownika na oryginalnym kanale.

Usługa KMS działająca na Org A weryfikuje połączenia z KMSs w innych organizacjach za pomocą certyfikatów PKI x.509. Aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użytku z wdrożeniem hybrydowego zabezpieczenia danych, zobacz Prepare Your Environment (Przygotowanie środowiska).

Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych

Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klienta i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.

Aby wdrożyć hybrydowe zabezpieczenia danych, należy zapewnić:

Bezpieczne centrum danych w kraju, który jest obsługiwaną lokalizacją dla planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w punkcie Przygotowanie środowiska.

Kompletna utrata konfiguracji ISO utworzonej dla hybrydowego zabezpieczenia danych lub dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:

Zarządzanie kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.
Przygotuj się do szybkiego odzyskiwania awaryjnego w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub awaria centrum danych.

Nie ma mechanizmu przenoszenia kluczy z powrotem do chmury po wdrożeniu HDS.

Proces konfiguracji na wysokim poziomie

Niniejszy dokument obejmuje konfigurację i zarządzanie wdrożeniem hybrydowego zabezpieczenia danych:

Skonfiguruj hybrydowe zabezpieczenia danych— obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, testowanie wdrożenia z podzbiorem użytkowników w trybie próbnym oraz, po zakończeniu testów, przejście do produkcji. Spowoduje to konwertowanie całej organizacji do używania klastra Hybrid Data Security dla funkcji zabezpieczeń.
Etapy konfiguracji, prób i produkcji zostały szczegółowo omówione w kolejnych trzech rozdziałach.
Utrzymuj wdrożenie hybrydowego zabezpieczenia danych— chmura Webex automatycznie zapewnia trwające uaktualnienia. Dział IT może zapewnić wsparcie poziomu pierwszego dla tego wdrożenia i zaangażować wsparcie Cisco w razie potrzeby. Możesz korzystać z powiadomień na ekranie i konfigurować alerty oparte na wiadomościach e-mail w Control Hub.
Zrozumienie wspólnych alertów, kroków rozwiązywania problemów i znanych problemów— w przypadku wystąpienia problemów z wdrożeniem lub użyciem hybrydowego zabezpieczenia danych ostatni rozdział niniejszego przewodnika i dodatku do Znanych problemów może pomóc w określeniu i rozwiązaniu problemu.

Hybrydowy model wdrażania zabezpieczeń danych

W centrum danych przedsiębiorstwa wdrażasz hybrydowe zabezpieczenia danych jako jeden klaster węzłów na osobnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych websocketów i bezpiecznego protokołu HTTP.

Podczas procesu instalacji dostarczamy Ci plik OVA do skonfigurowania urządzenia wirtualnego na dostarczonych maszynach wirtualnych. Narzędzie konfiguracyjne HDS służy do tworzenia niestandardowego pliku ISO konfiguracji klastra, który jest montowany w każdym węźle. Klaster Hybrid Data Security korzysta z dostarczonego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu konfiguracji HDS).

Hybrydowy model wdrażania zabezpieczeń danych

Minimalna liczba węzłów w klastrze to dwa. Zalecamy co najmniej trzy, a możesz mieć do pięciu. Posiadanie wielu węzłów zapewnia, że usługa nie zostanie przerwana podczas uaktualniania oprogramowania lub innej czynności konserwacyjnej w węźle. (Chmura Webex aktualizuje tylko jeden węzeł naraz).

Wszystkie węzły w klastrze mają dostęp do tego samego rekordu danych klucza i aktywności dziennika na tym samym serwerze dziennika systemowego. Same węzły są bezpaństwowe i obsługują żądania kluczy w sposób okrągły, zgodnie z zaleceniami chmury.

Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby usunąć pojedynczy węzeł z usługi, można go wyrejestrować, a następnie ponownie wyrejestrować w razie potrzeby.

Obsługujemy tylko jeden klaster na organizację.

Tryb próbny zabezpieczeń danych hybrydowych

Po skonfigurowaniu wdrożenia hybrydowego zabezpieczenia danych spróbuj go najpierw z zestawem użytkowników pilotażowych. W okresie próbnym użytkownicy ci wykorzystują lokalną domenę hybrydowego zabezpieczenia danych do szyfrowania kluczy i innych usług domeny zabezpieczeń. Inni użytkownicy nadal korzystają ze sfery zabezpieczeń w chmurze.

Jeśli zdecydujesz się nie kontynuować wdrażania podczas wersji próbnej i dezaktywować usługi, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi współpracowali, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zostanie wyświetlony komunikat „Nie można odszyfrować tej wiadomości” w aplikacji Webex.

Jeśli jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych i jesteś gotowy do rozszerzenia hybrydowego zabezpieczenia danych na wszystkich użytkowników, przenosisz wdrożenie do produkcji. Użytkownicy pilotażowi nadal mają dostęp do kluczy, które były używane podczas próby. Nie można jednak poruszać się w tę i z powrotem między trybem produkcji a oryginalnym testem. Jeśli musisz dezaktywować usługę, na przykład w celu przeprowadzenia odzyskiwania po awarii, po ponownej aktywacji musisz rozpocząć nową wersję próbną i skonfigurować zestaw użytkowników pilotażowych dla nowej wersji próbnej przed powrotem do trybu produkcji. To, czy użytkownicy zachowują w tym momencie dostęp do danych, zależy od tego, czy udało się zachować kopie zapasowe kluczowego magazynu danych i pliku konfiguracyjnego ISO dla węzłów hybrydowych zabezpieczeń danych w klastrze.

Standby Data Center for Disaster Recovery

Podczas wdrażania skonfigurowano bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie anulować wdrożenie do centrum danych w trybie gotowości.

Bazy danych aktywnych i standby centrów danych są ze sobą zsynchronizowane, co zminimalizuje czas potrzebny na wykonanie przełącznika awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają rejestrację węzłów w organizacji, ale nie obsługują ruchu. Stąd węzły standby data center zawsze pozostają aktualne z najnowszą wersją oprogramowania HDS.

Aktywne węzły hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych.

Konfiguracja Standby Data Center do odzyskiwania awarii

Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:

Przed rozpoczęciem

Centrum danych w stanie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych oraz zapasową bazę danych PostgreSQL lub Microsoft SQL Server. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne (zobacz Standby Data Center for Disaster Recovery , aby zapoznać się z tym modelem failover).
Upewnij się, że synchronizacja bazy danych jest włączona między bazą danych aktywnych i pasywnych węzłów klastra.

1

Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.

Plik ISO musi być kopią oryginalnego pliku ISO głównego centrum danych, na którym mają być dokonywane następujące aktualizacje konfiguracji.

2

Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane

3

Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwał żadnego ruchu.


passiveMode: 'true'

4

Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia.

5

Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

6

W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia..

7

Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.

Upewnij się, że Connected and Connect at power on (Podłączono) są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły wejść w życie po uruchomieniu węzłów.

8

Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.

9

Powtórz proces dla każdego węzła w centrum danych standby.

Sprawdź dzienniki syslog, aby sprawdzić, czy węzły są w trybie pasywnym. W dziennikach syslog należy mieć możliwość wyświetlania komunikatu „KMS skonfigurowany w trybie pasywnym”.

Co zrobić dalej

Po skonfigurowaniu passiveMode w pliku ISO i zapisanie go można utworzyć inną kopię pliku ISO bez passiveMode konfigurację i zapisanie w bezpiecznym miejscu. Ta kopia pliku ISO bez passiveMode skonfigurowany może pomóc w szybkim procesie awaryjnym podczas odzyskiwania po awarii. Aby zapoznać się ze szczegółową procedurą przywracania awaryjnego za pomocą Standby Data Center (Centrum danych gotowości).

Obsługa serwera proxy

Hybrydowe zabezpieczenia danych obsługują jednoznaczne, przejrzyste inspekcje i nieinspekcje serwerów proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby można było zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejs administratora platformy w węzłach służy do zarządzania certyfikatami oraz do sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.

Węzły hybrydowego zabezpieczenia danych obsługują następujące opcje serwera proxy:

Brak serwera proxy — ustawienie domyślne, jeśli w celu zintegrowania serwera proxy nie jest używane do konfiguracji węzła HDS Trust Store & Proxy. Nie jest wymagana aktualizacja certyfikatu.
Przejrzysty serwer proxy niekontrolowany — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z serwerem proxy niekontrolowanym. Nie jest wymagana aktualizacja certyfikatu.
Przejrzyste tunelowanie lub sprawdzanie serwera proxy — węzły nie są skonfigurowane do korzystania z określonego adresu serwera proxy. W węzłach nie są konieczne zmiany konfiguracji protokołu HTTP ani protokołu HTTPS. Węzły potrzebują jednak certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).
Wyraźny serwer proxy — w przypadku wyraźnego serwera proxy należy wskazać węzły HDS, których serwer proxy i schemat uwierzytelniania należy używać. Aby skonfigurować wyraźny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
1. Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.
2. Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.
3. Protokół proxy— w zależności od tego, co obsługuje serwer proxy, wybierz między następującymi protokołami:
  - HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
  - HTTPS — udostępnia kanał do serwera. Klient odbiera i weryfikuje certyfikat serwera.
4. Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:
  - Brak — dalsze uwierzytelnianie nie jest wymagane.
    
    Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
  - Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.
    
    Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
  - Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.
    
    Dostępne tylko po wybraniu protokołu HTTPS jako protokołu proxy.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

Przykład węzłów hybrydowych zabezpieczeń danych i serwera proxy

Na tym wykresie przedstawiono przykładowe połączenie między hybrydowym zabezpieczeniem danych, siecią i serwerem proxy. W przypadku opcji przejrzystej inspekcji i jawnej inspekcji serwera proxy HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach hybrydowych zabezpieczeń danych.

Zablokowany zewnętrzny tryb rozpoznawania DNS (wyraźne konfiguracje serwera proxy)

Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. W przypadku wdrożeń z wyraźnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzną rozdzielczość DNS dla klientów wewnętrznych, jeśli węzeł nie może wyszukiwać serwerów DNS, automatycznie przechodzi on w tryb Zablokowanej zewnętrznej rozdzielczości DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.

Przygotuj swoje środowisko

Wymagania dotyczące hybrydowego bezpieczeństwa danych

Wymagania licencyjne Cisco Webex

Aby wdrożyć hybrydowe zabezpieczenia danych:

Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub (patrz https://www.cisco.com/go/pro-pack).

Docker Wymagania pulpitowe

Przed zainstalowaniem węzłów HDS potrzebny jest Docker Desktop do uruchomienia programu konfiguracji. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji programu Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz post na blogu Docker, " Docker jest aktualizowanie i rozszerzanie naszych subskrypcji produktów".

Wymagania dotyczące certyfikatu X.509

Łańcuch certyfikatów musi spełniać następujące wymagania:

Tabela 1. X.509 Wymagania dotyczące certyfikatów dla wdrażania hybrydowego zabezpieczenia danych
Wymaganie	Szczegóły
Podpisany przez zaufany urząd certyfikacji (CA)	Domyślnie ufamy urzędnikom na liście Mozilla (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs.
Nazwa domeny wspólnej nazwy (CN) identyfikująca wdrożenie hybrydowego zabezpieczenia danych Nie jest certyfikatem wieloznacznych kart	CN nie musi być osiągalne ani hostem na żywo. Zalecamy używanie nazwy odzwierciedlającej np. organizację, `hds.company.com`. CN nie może zawierać * (wildcard). CN służy do weryfikacji węzłów hybrydowych zabezpieczeń danych dla klientów aplikacji Webex. Wszystkie węzły hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. System KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie obsługujemy zmiany nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych.
Podpis inny niż SHA1	Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu weryfikacji połączeń z KMSs innych organizacji.
Formatowany jako plik PKCS #12 chroniony hasłem Użyj przyjaznej nazwy `kms-private-key` aby oznaczyć certyfikat, klucz prywatny i wszelkie certyfikaty pośrednie do przesłania.	Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Po uruchomieniu narzędzia konfiguracji usługi HDS należy wprowadzić hasło.

Oprogramowanie KMS nie wymusza użycia klucza ani nie nakłada dodatkowych ograniczeń w jego używaniu. Niektóre organy certyfikatów wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia użycia kluczy, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.

Wymagania dotyczące wirtualnego prowadzącego

Wirtualne hosty skonfigurowane jako węzły hybrydowego zabezpieczenia danych w klastrze mają następujące wymagania:

Co najmniej dwa osobne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych
Oprogramowanie VMware ESXi 6.5 (lub nowsze) zostało zainstalowane i uruchomione.

Jeśli masz wcześniejszą wersję ESXi, musisz ją uaktualnić.
Minimum 4 procesory vCPUs, 8-GB pamięci głównej, 30-GB lokalnego miejsca na dysk twardy na serwer

Wymagania serwera bazy danych

Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych.

Istnieją dwie opcje dla serwera bazy danych. Wymagania dla każdego z nich są następujące:

Tabela 2. Wymagania serwera bazy danych według typu bazy danych

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 lub 16, zainstalowany i uruchomiony.

Zainstalowano program SQL Server 2016, 2017 lub 2019 (Enterprise lub Standard).

SQL Server 2016 wymaga pakietu usług 2 i zbiorczej aktualizacji 2 lub nowszej.

Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci)

Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:

PostgreSQL

Microsoft SQL Server

Postgres JDBC kierowca 42.2.5

SQL Server JDBC sterownik 4.6

Ta wersja sterownika obsługuje program SQL Server Always On (Always On Failover Cluster Instances oraz Always On availability groups).

Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w usłudze Microsoft SQL Server

Jeśli chcesz, aby węzły HDS używały uwierzytelniania w systemie Windows, aby uzyskać dostęp do bazy danych keystore na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w swoim środowisku:

Węzły HDS, infrastruktura Active Directory i MS SQL Server muszą być synchronizowane z NTP.
Konto systemu Windows dla węzłów HDS musi mieć dostęp do bazy danych do odczytu/zapisu.
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozwiązać klucz centrum dystrybucji (KDC).
Wystąpienie bazy danych HDS można zarejestrować na serwerze Microsoft SQL Server jako główną nazwę usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.

Narzędzie do konfigurowania HDS, uruchamianie HDS i lokalne KMS muszą używać uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych keystore. Używają szczegółów z konfiguracji ISO do skonstruowania SPN podczas żądania dostępu z uwierzytelnianiem Kerberos.

Wymagania dotyczące połączeń zewnętrznych

Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:

Aplikacja	Protokół	Port	Polecenie z aplikacji	Miejsce docelowe
Węzły hybrydowego zabezpieczenia danych	TCP	443	Zewnętrzne HTTPS i WSS	Serwery Webex: .wbx2.com .ciscospark.com Wszystkie hosty Common Identity Inne adresy URL wymienione dla hybrydowych zabezpieczeń danych w tabeli Dodatkowe adresy URL dla usług hybrydowych Webex zawierającej wymagania sieciowe dla usług Webex
Narzędzie do konfigurowania HDS	TCP	443	Zewnętrzny protokół HTTPS	*.wbx2.com Wszystkie hosty Common Identity hub.docker.com

Węzły hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub za zaporą, o ile NAT lub zapora zezwala na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują dostępu do węzłów hybrydowych zabezpieczeń danych w portach TCP 443 i 22 do celów administracyjnych.

Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Są to bieżące hosty CI:

Region	Wspólne adresy URL prowadzącego tożsamości
Ameryka	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Unia Europejska	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Wymagania serwera proxy

Oficjalnie obsługujemy następujące rozwiązania proxy, które mogą integrować się z węzłami hybrydowego zabezpieczenia danych.

Przejrzysty serwer proxy — Cisco Web Security Appliance (WSA).

Wyraźny serwer proxy — Squid.

Proxies Squid, które sprawdzają ruch HTTPS może kolidować z ustanowieniem websocket (wss:) połączeń. Aby rozwiązać ten problem, zobacz Configure Squid Proxies for Hybrid Data Security.

Obsługujemy następujące kombinacje typów uwierzytelniania dla serwerów proxy:
- Brak uwierzytelniania przy użyciu protokołu HTTP lub HTTPS
- Uwierzytelnianie podstawowe przy użyciu protokołu HTTP lub HTTPS
- Uwierzytelnianie przy użyciu protokołu HTTPS
W przypadku przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS należy posiadać kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania zawarte w tym przewodniku informują o sposobie przesłania kopii do sklepów zaufania węzłów hybrydowych zabezpieczeń danych.
Sieć hostująca węzły HDS musi być skonfigurowana tak, aby wymuszać wychodzący ruch TCP na porcie 443 na trasę przez serwer proxy.
Błędy kontrolne ruchu sieciowego mogą zakłócać połączenia z gniazdem sieciowym. Jeśli wystąpi ten problem, omijając (nie kontrolując) ruch do wbx2.com i ciscospark.com rozwiąże problem.

Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych

Użyj tej listy kontrolnej, aby upewnić się, że jesteś gotowy do zainstalowania i skonfigurowania klastra hybrydowego bezpieczeństwa danych.

1

Upewnij się, że Twoja organizacja Webex jest włączona dla pakietu Pro Pack dla Cisco Webex Control Hub i uzyskaj poświadczenia konta z pełnymi prawami administratora organizacji. Aby uzyskać pomoc w tym procesie, skontaktuj się z partnerem firmy Cisco lub menedżerem konta.

2

Wybierz nazwę domeny dla wdrożenia HDS (na przykład hds.company.com) i uzyskać łańcuch certyfikatów zawierający certyfikat X.509, klucz prywatny i wszelkie certyfikaty pośrednie. Łańcuch certyfikatów musi spełniać wymagania określone w X.509 Certificate Requirements.

3

Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły hybrydowego zabezpieczenia danych w klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych, które spełniają wymagania w Wymagania wirtualnego hosta.

4

Przygotuj serwer bazy danych, który będzie działał jako kluczowy magazyn danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być zestawiony w bezpiecznym centrum danych z wirtualnymi hostami.

Utwórz bazę danych do przechowywania kluczy. (Musisz utworzyć tę bazę danych — nie używaj domyślnej bazy danych. Aplikacje HDS, po zainstalowaniu, tworzą schemat bazy danych.)
Zbierz szczegóły używane przez węzły do komunikacji z serwerem bazy danych:
- nazwę prowadzącego lub adres IP (prowadzącego) i port
- nazwa bazy danych (dbname) do przechowywania kluczy
- nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych magazynu kluczy

5

W celu szybkiego odzyskiwania danych po awarii należy skonfigurować środowisko tworzenia kopii zapasowych w innym centrum danych. Środowisko tworzenia kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i zapasowego serwera bazy danych. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne.

6

Skonfiguruj hosta dziennika systemowego, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemowego (domyślnie jest to UDP 514).

7

Utwórz bezpieczne zasady tworzenia kopii zapasowych węzłów hybrydowych zabezpieczeń danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec niemożliwej do odzyskania utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów hybrydowych zabezpieczeń danych.

Ponieważ węzły hybrydowego zabezpieczenia danych przechowują klucze używane do szyfrowania i odszyfrowywania treści, brak utrzymania operacyjnego wdrożenia spowoduje NIEZBĘDNĄ STRATĘ tej zawartości.

Klienci aplikacji Webex przechowują klucze w pamięci podręcznej, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się widoczna. Chociaż tymczasowe przerwy są niemożliwe do zapobieżenia, są one do odzyskania. Jednak całkowita utrata (brak kopii zapasowych) bazy danych lub pliku konfiguracyjnego ISO spowoduje niemożliwy do odzyskania dane klienta. Oczekuje się, że operatorzy węzłów hybrydowego bezpieczeństwa danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowy centrum danych hybrydowego bezpieczeństwa danych w przypadku wystąpienia katastrofalnej awarii.

8

Upewnij się, że konfiguracja zapory umożliwia dostęp do łączności w węzłach hybrydowych zabezpieczeń danych, jak opisano w Zewnętrznych wymogach dotyczących łączności.

9

Zainstaluj Docker ( https://www.docker.com) na każdej maszynie lokalnej z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080.

Za pomocą wystąpienia Docker można pobrać i uruchomić narzędzie konfiguracji HDS, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów hybrydowych zabezpieczeń danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania Dotyczące Pulpitu Dockera.

Aby zainstalować i uruchomić narzędzie do konfiguracji HDS, lokalna maszyna musi mieć łączność opisaną w Zewnętrznych wymaganiach dotyczących łączności.

10

Jeśli integrujesz serwer proxy z hybrydowymi zabezpieczeniami danych, upewnij się, że spełnia on wymagania serwera proxy.

11

Jeśli Twoja organizacja używa synchronizacji katalogu, utwórz grupę w usłudze Active Directory o nazwie HdsTrialGroup, i dodać użytkowników pilotażowych. Grupa próbna może mieć do 250 użytkowników. Plik HdsTrialGroup obiekt musi być zsynchronizowany z chmurą przed rozpoczęciem próby dla organizacji. Aby zsynchronizować obiekt grupowy, wybierz go w łączniku usług katalogowych Konfiguracja > Menu Wybór obiektu. (Szczegółowe instrukcje można znaleźć w Podręczniku wdrażania Cisco Directory Connector.)

Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Wybierając użytkowników pilotażowych, należy pamiętać, że jeśli zdecydujesz się na trwałą dezaktywację wdrożenia hybrydowego zabezpieczenia danych, wszyscy użytkownicy utracą dostęp do treści w obszarach utworzonych przez użytkowników pilotażowych. Strata staje się widoczna, gdy aplikacje użytkowników odświeżą swoje kopie w pamięci podręcznej treści.

Konfigurowanie hybrydowego klastra bezpieczeństwa danych

Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych

Przed rozpoczęciem

1

Pobierz plik OVA do lokalnego komputera, aby później go użyć.

2

Za pomocą narzędzia konfiguracyjnego HDS można utworzyć plik konfiguracyjny ISO dla węzłów hybrydowych zabezpieczeń danych.

3

Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych

Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe.

Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

4

Zaloguj się na konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.

5

Konfigurowanie węzła HDS dla integracji serwera proxy

Skonfiguruj VM z pliku konfiguracyjnego ISO utworzonego za pomocą narzędzia do konfiguracji HDS.

6

Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, którego użyjesz dla węzła, i w razie potrzeby dodaj certyfikat serwera proxy do sklepu zaufania.

7

Zarejestruj maszynę wirtualną za pomocą chmury Cisco Webex jako węzeł hybrydowego zabezpieczenia danych.

8

Konfigurowanie hybrydowego klastra bezpieczeństwa danych

Zakończ konfigurację klastra.

9

Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział)

Do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana.

Pobierz pliki instalacyjne

W tym zadaniu pobierz plik OVA do swojego komputera (nie do serwerów skonfigurowanych jako węzły hybrydowego zabezpieczenia danych). Ten plik jest używany później w procesie instalacji.

1

Zaloguj się do https://admin.webex.com, a następnie kliknij opcję Usługi.

2

W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych, a następnie kliknij przycisk Skonfiguruj.

Jeśli karta jest wyłączona lub jej nie widzisz, skontaktuj się z zespołem ds. kont lub organizacją partnerską. Podaj im numer konta i poproś o włączenie organizacji Hybrid Data Security. Aby znaleźć numer konta, kliknij bieg w prawym górnym rogu obok nazwy organizacji.

OVA można również pobrać w dowolnym momencie z sekcji Pomoc na stronie Ustawienia . Na karcie Hybrid Data Security kliknij opcję Edytuj ustawienia, aby otworzyć stronę. Następnie kliknij opcję Pobierz oprogramowanie hybrydowego zabezpieczenia danych w sekcji Pomoc .

Starsze wersje pakietu oprogramowania (OVA) nie będą kompatybilne z najnowszymi aktualizacjami Hybrid Data Security. Może to spowodować problemy podczas uaktualniania aplikacji. Upewnij się, że pobierz najnowszą wersję pliku OVA.

3

Wybierz Nie , aby wskazać, że węzeł nie został jeszcze skonfigurowany, a następnie kliknij przycisk Dalej.

Plik OVA automatycznie zaczyna się pobierać. Zapisz plik w lokalizacji na komputerze.

4

Opcjonalnie kliknij Open Deployment Guide (Otwórz przewodnik wdrażania), aby sprawdzić, czy dostępna jest późniejsza wersja tego przewodnika.

Tworzenie ISO konfiguracji dla prowadzących HDS

Proces konfiguracji hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie należy użyć ISO do skonfigurowania hosta hybrydowego bezpieczeństwa danych.

Przed rozpoczęciem

Narzędzie HDS Setup działa jako kontener Docker na lokalnej maszynie. Aby uzyskać do niego dostęp, uruchom Docker na tej maszynie. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi prawami administratora dla Twojej organizacji.

Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas podnoszenia kontenera Docker w kroku 5. Ta tabela zawiera pewne możliwe zmienne środowiskowe:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Wygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Potrzebna jest najnowsza kopia tego pliku, gdy wprowadzasz zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatów
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrowanie połączeń z bazą danych, skonfiguruj wdrożenie programu PostgreSQL lub SQL Server dla TLS.

1

W wierszu poleceń maszyny wprowadź odpowiednie polecenie dla środowiska:

W normalnych warunkach:

docker rmi ciscocitg/hds-setup:stable

W środowiskach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ten krok oczyszcza poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

2

Aby zalogować się do rejestru obrazów Docker, wprowadź następujące informacje:

docker login -u hdscustomersro

3

Po wyświetleniu monitu o hasło wprowadź następujący tekst:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Pobierz najnowszy stabilny obraz środowiska:

W normalnych warunkach:

docker pull ciscocitg/hds-setup:stable

W środowiskach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

5

Po zakończeniu ciągnięcia wprowadź odpowiednie polecenie dla środowiska:

W normalnych środowiskach bez serwera proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

W normalnych środowiskach z serwerem proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

W normalnych środowiskach z serwerem proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

W środowiskach FedRAMP bez serwera proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z serwerem proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z serwerem proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Gdy kontener jest uruchomiony, widzisz "Serwer ekspresowy słuchający na porcie 8080".

6

Narzędzie Konfiguracja nie obsługuje łączenia się z localhost za pośrednictwem http://localhost:8080. Użyj http://127.0.0.1:8080, aby połączyć się z hostem lokalizacji.

Użyj przeglądarki internetowej, aby przejść do hosta lokalizacji, http://127.0.0.1:8080, i wprowadź nazwę użytkownika administratora klienta dla Control Hub po wyświetleniu monitu.

Narzędzie używa tego pierwszego wpisu nazwy użytkownika, aby ustawić odpowiednie środowisko dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.

7

Po wyświetleniu monitu wprowadź poświadczenia logowania administratora klienta Control Hub, a następnie kliknij przycisk Zaloguj się , aby zezwolić na dostęp do wymaganych usług Hybrid Data Security.

8

Na stronie Przegląd narzędzia konfiguracyjnego kliknij Rozpocznij.

9

Na stronie ISO Import dostępne są następujące opcje:

Nie— jeśli tworzysz swój pierwszy węzeł HDS, nie masz pliku ISO do przesłania.
Tak— jeśli utworzono już węzły HDS, należy wybrać plik ISO podczas przeglądania i przesyłania go.

10

Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatów X.509.

Jeśli nigdy wcześniej nie przesłałeś certyfikatu, prześlij certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.
Jeśli certyfikat jest prawidłowy, kliknij przycisk Kontynuuj.
Jeśli certyfikat wygasł lub chcesz go zastąpić, wybierz opcję Nie , aby Kontynuować korzystanie z łańcucha certyfikatów HDS i klucza prywatnego z poprzedniego ISO?. Prześlij nowy certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.

11

Wprowadź adres bazy danych i konto HDS, aby uzyskać dostęp do klucza danych:

Wybierz typ bazy danych (PostgreSQL lub Microsoft SQL Server).

Jeśli wybierzesz program Microsoft SQL Server, otrzymasz pole Typ uwierzytelniania.
(tylko Microsoft SQL Server) Wybierz Typ uwierzytelniania:
- Uwierzytelnianie podstawowe: W polu Nazwa użytkownika potrzebna jest lokalna nazwa konta SQL Server.
- Uwierzytelnianie systemu Windows: Potrzebujesz konta Windows w formacie username@DOMAIN w polu Nazwa użytkownika.
Wprowadź adres serwera bazy danych w formularzu <hostname>:<port> lub <IP-address>:<port>.

Przykład:
dbhost.example.org:1433 lub 198.51.100.17:1433

Do podstawowego uwierzytelniania można użyć adresu IP, jeśli węzły nie mogą używać DNS do rozpoznawania nazwy hosta.

Jeśli używasz uwierzytelniania systemu Windows, musisz wprowadzić w pełni kwalifikowaną nazwę domeny w formacie dbhost.example.org:1433
Wprowadź nazwę bazy danych.
Wprowadź nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych magazynu kluczy.

12

Wybierz tryb połączenia z bazą danych TLS:

Tryb

Opis

Preferuj TLS(opcja domyślna)

Węzły HDS nie wymagają połączenia TLS z serwerem bazy danych. Jeśli włączysz protokół TLS na serwerze bazy danych, węzły spróbują zaszyfrowanego połączenia.

Wymagaj TLS

Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS.

Wymagaj protokołu TLS i zweryfikuj sygnaturę certyfikatu

Ten tryb nie ma zastosowania do baz danych SQL Server.

Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS.
Po nawiązaniu połączenia TLS węzeł porównuje sygnera certyfikatu z serwera bazy danych z organem certyfikatu w certyfikacie głównym bazy danych. Jeśli nie pasują, węzeł zrzuca połączenie.

Użyj kontroli certyfikatu głównego bazy danych poniżej listy rozwijanej, aby przesłać certyfikat główny dla tej opcji.

Wymagaj protokołu TLS i zweryfikuj sygnaturę certyfikatu i nazwę hosta

Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS.
Po nawiązaniu połączenia TLS węzeł porównuje sygnera certyfikatu z serwera bazy danych z organem certyfikatu w certyfikacie głównym bazy danych. Jeśli nie pasują, węzeł zrzuca połączenie.
Węzły sprawdzają również, czy nazwa hosta w certyfikacie serwera jest zgodna z nazwą hosta w polu Baza danych i port . Nazwy muszą dokładnie pasować, albo węzeł zrzuca połączenie.

Użyj kontroli certyfikatu głównego bazy danych poniżej listy rozwijanej, aby przesłać certyfikat główny dla tej opcji.

Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracji HDS testuje połączenie TLS z serwerem bazy danych. W stosownych przypadkach narzędzie weryfikuje również sygnaturę certyfikatu i nazwę hosta. Jeśli test nie powiedzie się, narzędzie wyświetli komunikat o błędzie opisujący problem. Można wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w połączeniach węzły HDS mogą być w stanie nawiązać połączenie TLS, nawet jeśli maszyna narzędziowa HDS Setup Tool nie jest w stanie go przetestować).

13

Na stronie Dzienniki systemu skonfiguruj serwer Syslogd:

Wprowadź adres URL serwera dziennika systemowego.

Jeśli serwer nie jest w stanie rozwiązać DNS z węzłów klastra HDS, użyj adresu IP w adresie URL.

Przykład:
udp://10.92.43.23:514 wskazuje logowanie do hosta Syslogd 10.92.43.23 w porcie UDP 514.
Jeśli skonfigurujesz serwer, aby używał szyfrowania TLS, sprawdź, czy serwer dziennika systemowego jest skonfigurowany do szyfrowania SSL?.

Jeśli zaznaczysz to pole wyboru, upewnij się, że wprowadzasz adres URL TCP, taki jak: tcp://10.92.43.23:514.
Z listy rozwijanej Wybierz zakończenie rekordu dziennika systemowego wybierz odpowiednie ustawienie dla pliku ISO: Wybierz lub Newline są używane do Graylog i Rsyslog TCP
- Byte czajnika -- \x00
- Newline -- \n — Wybierz ten wybór dla aplikacji Graylog i Rsyslog TCP.
Kliknij przycisk Kontynuuj.

14

(Opcjonalnie) W ustawieniach zaawansowanych można zmienić wartość domyślną niektórych parametrów połączenia z bazą danych. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić:

app_datasource_connection_pool_maxSize: 10

15

Kliknij przycisk Kontynuuj na ekranie Resetuj hasło konta usługi .

Hasła konta serwisowego mają okres dziewięciu miesięcy. Użyj tego ekranu, gdy hasła zbliżają się do wygaśnięcia lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO.

16

Kliknij opcję Pobierz plik ISO. Zapisz plik w lokalizacji, którą łatwo znaleźć.

17 17 17

Wykonaj kopię zapasową pliku ISO w lokalnym systemie.

Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

18

Aby zamknąć narzędzie konfiguracji, wpisz CTRL+C.

Co zrobić dalej

Kopia zapasowa pliku ISO konfiguracji. Musisz utworzyć więcej węzłów do odzyskiwania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Odzyskiwanie kluczy z bazy danych PostgreSQL lub Microsoft SQL Server nie jest możliwe.

Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz.

Instalowanie OVA hosta HDS

Użyj tej procedury, aby utworzyć maszynę wirtualną z pliku OVA.

1

Aby zalogować się do wirtualnego hosta ESXi, użyj klienta VMware vSphere na komputerze.

2

Wybierz Plik > Wdrożenie szablonu OVF.

3

W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij Następny.

4

Na ekranie Wybierz nazwę i folder strona, wprowadź Nazwa maszyny wirtualnej dla węzła (na przykład „HDS_Node_1”) wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Następny.

5

Na ekranie Wybierz zasób obliczeniowy strona, wybierz docelowy zasób obliczeniowy, a następnie kliknij Następny.

Trwa kontrola walidacji. Po jego zakończeniu pojawiają się szczegóły szablonu.

6

Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej.

7

Jeśli zostaniesz poproszony o wybranie konfiguracji zasobów na stronie Konfiguracja strona, kliknij 4 CPU a następnie kliknij Następny.

8

Na ekranie Wybierz miejsce strona, kliknij Następny aby zaakceptować domyślny format dysku i zasady przechowywania VM.

9

Na ekranie Wybierz sieci na stronie wybierz opcję sieci z listy pozycji, aby zapewnić żądaną łączność z maszyną wirtualną.

10

Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieci:

Nazwa hosta — wprowadź nazwę hosta FQDN (nazwa hosta i domena) lub nazwę hosta pojedynczego słowa dla węzła.

Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509.
Aby zapewnić pomyślną rejestrację w chmurze, użyj tylko znaków z małymi literami w nazwie FQDN lub nazwie hosta ustawionej dla węzła. W tym momencie kapitalizacja nie jest obsługiwana.
Całkowita długość FQDN nie może przekraczać 64 znaków.

Adres IP— wprowadź adres IP interfejsu wewnętrznego węzła.

Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany.
Maska— wprowadź adres maski podsieci w notacji dot-dziesiętnej. Na przykład: 255.255.255.0.
Brama — wprowadź adres IP bramy. Brama to węzeł sieciowy, który służy jako punkt dostępu do innej sieci.
Serwery DNS— wprowadź oddzieloną przecinkami listę serwerów DNS, które obsługują tłumaczenie nazw domen na numeryczne adresy IP. (Dozwolone są do 4 wpisy DNS).
Serwery NTP — wprowadź serwer NTP swojej organizacji lub inny zewnętrzny serwer NTP, który może być używany w Twojej organizacji. Domyślne serwery NTP mogą nie działać dla wszystkich przedsiębiorstw. Można również użyć listy rozdzielonej przecinkami, aby wprowadzić wiele serwerów NTP.

Wdrożenie wszystkich węzłów w tej samej podsieci lub sieci VLAN, tak aby wszystkie węzły w klastrze były dostępne dla klientów w sieci do celów administracyjnych.

Jeśli jest to preferowane, można pominąć konfigurację ustawień sieci i wykonać czynności opisane w punkcie Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych w celu skonfigurowania ustawień z konsoli węzła.

Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

11

Kliknij prawym przyciskiem myszy węzeł VM, a następnie wybierz Zasilanie > Włączanie zasilania.

Oprogramowanie Hybrid Data Security jest instalowane jako gość w hostu VM. Teraz możesz zalogować się na konsoli i skonfigurować węzeł.

Wskazówki dotyczące rozwiązywania problemów

Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzła. Podczas pierwszego uruchamiania na konsoli pojawi się komunikat zapory mostowej, podczas którego nie można się zalogować.

Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych

Użyj tej procedury, aby po raz pierwszy zalogować się na konsoli VM węzła hybrydowego zabezpieczenia danych i ustawić poświadczenia logowania. Konsola może również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.

1	W kliencie VMware vSphere wybierz węzeł VM Hybrid Data Security i kartę Console . Maszyna zostanie uruchomiona i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie nie jest wyświetlany, naciśnij przycisk Enter.
2	Aby się zalogować i zmienić poświadczenia, należy użyć następującego domyślnego loginu i hasła: Logowanie: `admin` Hasło: `cisco` Ponieważ logujesz się do VM po raz pierwszy, musisz zmienić hasło administratora.
3	Jeśli ustawienia sieci zostały już skonfigurowane w Instalowaniu OVA hosta usługi HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację.
4	Skonfiguruj statyczną konfigurację z adresem IP, maską, bramą i informacjami DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany.
5	(Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne do dopasowania do zasad sieci. Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509.
6	Zapisz konfigurację sieci i uruchom ponownie VM, aby zmiany weszły w życie.

Prześlij i zamontuj ISO konfiguracji HDS

Ta procedura służy do konfigurowania maszyny wirtualnej z pliku ISO utworzonego za pomocą narzędzia konfiguracji HDS.

Przed rozpoczęciem

Ponieważ plik ISO zawiera klucz główny, powinien on być narażony tylko na „potrzebę wiedzy”, aby uzyskać dostęp do hybrydowych maszyn wirtualnych ds. bezpieczeństwa danych i wszystkich administratorów, którzy mogą wymagać wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mogą uzyskać dostęp do bazy danych.

1

Prześlij plik ISO z komputera:

W lewym okienku nawigacyjnym klienta VMware vSphere kliknij na serwer ESXi.
Na liście Sprzętu na karcie Konfiguracja kliknij przycisk Przechowywanie.
Na liście Datastores kliknij prawym przyciskiem myszy katalog danych dla swoich maszyn wirtualnych i kliknij opcję Przeglądaj Datastore.
Kliknij ikonę Prześlij pliki, a następnie kliknij Prześlij plik.
Przejdź do lokalizacji, w której pobrałeś plik ISO na komputerze i kliknij przycisk Otwórz.
Kliknij przycisk Tak, aby zaakceptować ostrzeżenie o operacji przesyłania/pobierania i zamknąć okno dialogowe z listą danych.

2

Montaż pliku ISO:

W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.
Kliknij przycisk OK, aby zaakceptować ostrzeżenie o opcjach edycji ograniczonej.
Kliknij CD/DVD Drive 1, wybierz opcję montażu z pliku ISO w zbiorniku danych i przejdź do lokalizacji, w której przesłano plik ISO konfiguracji.
Sprawdzić Podłączono i Podłączono przy włączonym zasilaniu.
Zapisz zmiany i uruchom ponownie maszynę wirtualną.

Co zrobić dalej

Jeśli polityka IT wymaga, możesz opcjonalnie odmontować plik ISO po tym, jak wszystkie węzły podniosą zmiany w konfiguracji. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.

Konfigurowanie węzła HDS dla integracji serwera proxy

Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z Hybrid Data Security. Po wybraniu przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS można użyć interfejsu węzła do przesłania i zainstalowania certyfikatu głównego. Możesz również sprawdzić połączenie serwera proxy z poziomu interfejsu i rozwiązać ewentualne problemy.

Przed rozpoczęciem

Aby zapoznać się z opcjami obsługiwanego serwera proxy, zobacz Obsługa serwera proxy.
Wymagania serwera proxy

1	Wprowadź adres URL konfiguracji węzła HDS `https://[HDS Node IP or FQDN]/setup` w przeglądarce internetowej wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj się.
2	Przejdź do sklepu Trust Store & Proxy, a następnie wybierz opcję: Brak serwera proxy — opcja domyślna przed integracją serwera proxy. Nie jest wymagana aktualizacja certyfikatu. Transparent Non-Inspecting Proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z niekontrolowanym serwerem proxy. Nie jest wymagana aktualizacja certyfikatu. Transparent Inspecting Proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy. W przypadku wdrożenia hybrydowego zabezpieczenia danych nie są konieczne zmiany konfiguracji protokołu HTTPS, jednak węzły HDS potrzebują certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS). Explicit Proxy— w przypadku wyraźnego serwera proxy należy poinformować klienta (węzły HDS), którego serwera proxy ma używać, a ta opcja obsługuje kilka typów uwierzytelniania. Po wybraniu tej opcji należy wprowadzić następujące informacje: Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy. Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy. Protokół proxy — wybierz http (wyświetla i kontroluje wszystkie żądania otrzymane od klienta) lub https (dostarcza kanał do serwera, a klient odbiera i weryfikuje certyfikat serwera). Wybierz opcję na podstawie tego, co obsługuje serwer proxy. Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania: Brak — dalsze uwierzytelnianie nie jest wymagane. Dostępne dla serwerów proxy HTTP lub HTTPS. Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64. Dostępne dla serwerów proxy HTTP lub HTTPS. Jeśli wybierzesz tę opcję, musisz również wprowadzić nazwę użytkownika i hasło. Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem. Dostępne tylko dla serwerów proxy HTTPS. Jeśli wybierzesz tę opcję, musisz również wprowadzić nazwę użytkownika i hasło. Postępuj zgodnie z kolejnymi krokami w celu przejrzystego kontrolowania serwera proxy, bezpośredniego serwera proxy HTTP z uwierzytelnianiem podstawowym lub bezpośredniego serwera proxy HTTPS.
3	Kliknij opcję Prześlij certyfikat główny lub certyfikat jednostki końcowej, a następnie przejdź do opcji Wybierz certyfikat główny serwera proxy. Certyfikat jest przesyłany, ale jeszcze nie został zainstalowany, ponieważ aby zainstalować certyfikat, należy ponownie uruchomić węzeł. Aby uzyskać więcej szczegółów, kliknij strzałkę chevron po nazwie emitenta certyfikatu lub kliknij opcję Usuń, jeśli popełniłeś błąd i chcesz ponownie przesłać plik.
4	Kliknij Check Proxy Connection (Sprawdź połączenie proxy), aby sprawdzić połączenie sieciowe między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, pojawi się komunikat o błędzie przedstawiający przyczynę i sposób naprawienia problemu. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS. Warunek ten jest oczekiwany w wielu wyraźnych konfiguracjach serwera proxy. Możesz kontynuować konfigurację, a węzeł będzie działał w trybie Zablokowanej Zewnętrznej Rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj poniższe czynności, a następnie zobacz Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS.
5	Po przejściu testu połączenia, w przypadku wyraźnego serwera proxy ustawionego tylko na https, włącz przełącznik do Trasowania wszystkich żądań portu 443/444 https z tego węzła za pomocą wyraźnego serwera proxy. To ustawienie wymaga 15 sekund działania.
6	Kliknij Instaluj Wszystkie Certyfikaty W Sklepie Zaufania (pojawi się dla wyraźnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawi się dla wyraźnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij opcję Instaluj , jeśli jesteś gotowy. Węzeł zostanie uruchomiony ponownie w ciągu kilku minut.
7	Po ponownym uruchomieniu węzła zaloguj się ponownie w razie potrzeby, a następnie otwórz stronę Przegląd , aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie mają zielony status. Kontrola połączenia z serwerem proxy sprawdza tylko poddomenę webex.com. Jeśli występują problemy z łącznością, powszechnym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy.

Zarejestruj pierwszy węzeł w klastrze

To zadanie przejmuje ogólny węzeł utworzony w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych, rejestruje węzeł w chmurze Webex i zamienia go w węzeł hybrydowego bezpieczeństwa danych.

Po zarejestrowaniu pierwszego węzła utwórz klaster, do którego jest przypisany węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia zwolnień.

Przed rozpoczęciem

Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.

1	Zaloguj się w https://admin.webex.com.
2	W menu po lewej stronie ekranu wybierz opcję Usługi.
3	W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij przycisk Skonfiguruj. Zostanie wyświetlona strona węzła Zarejestruj hybrydowe zabezpieczenia danych.
4	Wybierz Tak, aby wskazać, że węzeł został skonfigurowany i chcesz go zarejestrować, a następnie kliknij przycisk Dalej.
5	W pierwszym polu wprowadź nazwę klastra, do którego chcesz przypisać węzeł hybrydowego zabezpieczenia danych. Zalecamy nazwanie klastra na podstawie lokalizacji węzłów klastra. Przykłady: "San Francisco", "Nowy Jork" czy "Dallas"
6	W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej. Ten adres IP lub nazwa FQDN powinny być zgodne z adresem IP lub nazwą hosta i domeną używaną podczas konfigurowania hybrydowej maszyny wirtualnej ds. bezpieczeństwa danych. Pojawi się komunikat informujący, że można zarejestrować węzeł w usłudze Webex.
7	Kliknij przycisk Przejdź do węzła.
8	Kliknij przycisk Kontynuuj w komunikacie ostrzegawczym. Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji Webex, aby uzyskać dostęp do węzła.
9	Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
10	Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub. Na stronie Hybrid Data Security jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.

Tworzenie i rejestrowanie większej liczby węzłów

Aby dodać dodatkowe węzły do klastra, wystarczy utworzyć dodatkowe numery VMs i zamontować ten sam plik ISO konfiguracji, a następnie zarejestrować węzeł. Zalecamy posiadanie co najmniej 3 węzłów.

W tym czasie zapasowe maszyny wirtualne utworzone w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych są hostami gotowymi, które są używane tylko w przypadku odzyskiwania po awarii; do tego czasu nie są rejestrowane w systemie. Aby uzyskać szczegółowe informacje, patrz Przywracanie systemu po awarii za pomocą Standby Data Center.

Przed rozpoczęciem

Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.

1	Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Instalowaniu OVA hosta HDS.
2	Skonfiguruj konfigurację początkową na nowej maszynie wirtualnej, powtarzając kroki w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych.
3	W nowej maszynie wirtualnej wykonaj ponownie czynności opisane w polu Prześlij i zamontuj ISO konfiguracji HDS.
4	Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w Konfigurowaniu węzła HDS dla integracji serwera proxy zgodnie z potrzebami nowego węzła.
5	Zarejestruj węzeł. W https://admin.webex.com wybierz Usługi z menu po lewej stronie ekranu. W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych i kliknij opcję Zasoby. Pojawi się strona Hybrid Data Security Resources (Zasoby zabezpieczeń danych hybrydowych). Kliknij przycisk Dodaj zasób. W pierwszym polu wybierz nazwę istniejącego klastra. W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej. Pojawi się komunikat informujący, że można zarejestrować węzeł w chmurze Webex. Kliknij przycisk Przejdź do węzła. Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji, aby uzyskać dostęp do węzła. Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex. Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub. Twój węzeł jest zarejestrowany. Należy pamiętać, że do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie jest jeszcze aktywowana.

Co zrobić dalej

Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział)

Uruchom wersję próbną i przejdź do produkcji

Przepływ próby do zadania produkcyjnego

Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.

Przed rozpoczęciem

1	Jeśli dotyczy, zsynchronizuj `HdsTrialGroup` obiekt grupowy. Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać `HdsTrialGroup` obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.
2	Aktywuj wersję próbną Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana.
3	Przetestuj wdrożenie hybrydowego zabezpieczenia danych Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.
4	Monitorowanie stanu hybrydowego bezpieczeństwa danych Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów.
5	Dodawanie lub usuwanie użytkowników z wersji próbnej
6	Zakończ fazę próbną, wykonując jedną z następujących czynności: Przeniesienie z wersji próbnej do produkcji Zakończ wersję próbną bez przejścia do produkcji

Aktywuj wersję próbną

Przed rozpoczęciem

Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby dla organizacji. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.

1	Zaloguj się do https://admin.webex.com, a następnie wybierz opcję Usługi.
2	W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.
3	W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną. Stan usługi zmienia się w tryb próbny.
4	Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług. (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, `HdsTrialGroup`.)

Przetestuj wdrożenie hybrydowego zabezpieczenia danych

Użyj tej procedury, aby przetestować scenariusze szyfrowania hybrydowych zabezpieczeń danych.

Przed rozpoczęciem

Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.
Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.

1

Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.

Jeśli dezaktywujesz wdrożenie hybrydowego zabezpieczenia danych, zawartość w obszarach tworzonych przez użytkowników pilotażowych nie jest już dostępna po wymianie kopii kluczy szyfrowania w pamięci podręcznej klienta.

2

Wysyłaj wiadomości do nowego obszaru.

3

Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych.

Aby sprawdzić, czy użytkownik najpierw ustanawia bezpieczny kanał w systemie KMS, filtruj go kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

Należy znaleźć wpis taki jak następujący (identyfikatory skrócone dla czytelności):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Aby sprawdzić, czy użytkownik żądający istniejącego klucza z KMS, filtruj na kms.data.method=retrieve i kms.data.type=KEY:

Należy znaleźć wpis taki jak:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Aby sprawdzić, czy użytkownik wnioskuje o utworzenie nowego klucza KMS, filtruj kms.data.method=create i kms.data.type=KEY_COLLECTION:

Należy znaleźć wpis taki jak:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Aby sprawdzić, czy użytkownik prosi o utworzenie nowego obiektu zasobów KMS (KRO) podczas tworzenia obszaru lub innego chronionego zasobu, filtruj kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

Należy znaleźć wpis taki jak:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorowanie stanu hybrydowego bezpieczeństwa danych

Wskaźnik stanu w Control Hub pokazuje, czy wszystko jest dobrze we wdrożeniu hybrydowego zabezpieczenia danych. Aby uzyskać bardziej proaktywne alerty, zapisz się do powiadomień e-mail. Otrzymasz powiadomienie o alarmach lub aktualizacjach oprogramowania mających wpływ na usługę.

1	W Control Hub wybierz Usługi z menu po lewej stronie ekranu.
2	W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij Ustawienia. Zostanie wyświetlona strona Ustawienia zabezpieczeń danych hybrydowych.
3	W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij przycisk Enter.

Dodawanie lub usuwanie użytkowników z wersji próbnej

Po aktywacji wersji próbnej i dodaniu początkowego zestawu użytkowników wersji próbnej można dodać lub usunąć członków wersji próbnej w dowolnym momencie, gdy wersja próbna jest aktywna.

Jeśli usuniesz użytkownika z wersji próbnej, klient poprosi go o utworzenie kluczy i klawiszy z chmury KMS zamiast Twojego KMS. Jeśli klient potrzebuje klucza przechowywanego w KMS, Cloud KMS pobierze go w imieniu użytkownika.

Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory (zamiast tej procedury) do zarządzania grupą próbną, HdsTrialGroup; można wyświetlać członków grupy w Control Hub, ale nie można ich dodawać ani usuwać.

1	Zaloguj się do Control Hub, a następnie wybierz Usługi.
2	W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.
3	W sekcji Tryby wersji próbnej w obszarze Stan usługi kliknij przycisk Dodaj użytkowników lub kliknij widok i edytuj , aby usunąć użytkowników z wersji próbnej.
4	Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania lub kliknij przycisk X identyfikatorem użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij przycisk Zapisz.

Przeniesienie z wersji próbnej do produkcji

Gdy jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych, możesz przejść do produkcji. Po przeniesieniu do produkcji wszyscy użytkownicy w organizacji będą korzystać z lokalnej domeny hybrydowego zabezpieczenia danych w celu szyfrowania kluczy i innych usług w dziedzinie zabezpieczeń. Nie można wrócić do trybu próbnego z produkcji, chyba że dezaktywujesz usługę w ramach odzyskiwania awaryjnego. Reaktywacja usługi wymaga skonfigurowania nowej wersji próbnej.

1	Zaloguj się do Control Hub, a następnie wybierz Usługi.
2	W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.
3	W sekcji Stan usługi kliknij opcję Przenieś do produkcji.
4	Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji.

Zakończ wersję próbną bez przejścia do produkcji

Jeśli podczas okresu próbnego zdecydujesz się nie kontynuować wdrażania hybrydowego zabezpieczenia danych, możesz dezaktywować hybrydowe zabezpieczenia danych, które kończą okres próbny i przenoszą użytkowników wersji próbnej z powrotem do usług zabezpieczeń danych w chmurze. Użytkownicy próbni stracą dostęp do danych zaszyfrowanych podczas badania.

1	Zaloguj się do Control Hub, a następnie wybierz Usługi.
2	W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.
3	W sekcji Dezaktywuj kliknij przycisk Dezaktywuj.
4	Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny.

Zarządzanie wdrożeniem HDS

Użyj opisanych tutaj zadań do zarządzania wdrożeniem hybrydowego zabezpieczenia danych.

Ustaw harmonogram uaktualniania klastra

Aktualizacje oprogramowania Hybrid Data Security są wykonywane automatycznie na poziomie klastra, co zapewnia, że wszystkie węzły zawsze korzystają z tej samej wersji oprogramowania. Uaktualnienia są wykonywane zgodnie z harmonogramem uaktualniania klastra. Po udostępnieniu uaktualnienia oprogramowania można ręcznie uaktualnić klaster przed zaplanowaną godziną uaktualnienia. Można ustawić określony harmonogram uaktualniania lub użyć domyślnego harmonogramu 3:00 rano Daily Stany Zjednoczone: Ameryka/Los Angeles. W razie potrzeby można również odłożyć nadchodzące uaktualnienie.

Aby ustawić harmonogram uaktualniania:

1	Zaloguj się do Control Hub.
2	Na stronie Przegląd w obszarze Usługi hybrydowe wybierz opcję Hybrid Data Security.
3	Na stronie Zasoby zabezpieczeń danych hybrydowych wybierz klaster.
4	W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra.
5	Na stronie Ustawienia w obszarze Uaktualnianie wybierz godzinę i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest następna dostępna data i godzina aktualizacji. W razie potrzeby można odroczyć uaktualnienie do następnego dnia, klikając opcję Odłóż.

Zmień konfigurację węzła

Czasami może być konieczna zmiana konfiguracji węzła Hybrid Data Security z następujących powodów:

Zmiana certyfikatów x.509 z powodu wygaśnięcia lub innych przyczyn.

Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną używaną do rejestracji klastra.

Aktualizowanie ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.

Nie obsługujemy migracji danych z programu PostgreSQL do programu Microsoft SQL Server ani odwrotnie. Aby zmienić środowisko bazy danych, rozpocznij nowe wdrożenie hybrydowego zabezpieczenia danych.

Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.

Ponadto, ze względów bezpieczeństwa, hybrydowe zabezpieczenia danych używają haseł konta usługi, które mają dziewięciomiesięczną żywotność. Po wygenerowaniu tych haseł przez narzędzie konfiguracji HDS są one wdrażane do każdego węzła HDS w pliku konfiguracyjnym ISO. Gdy hasła Twojej organizacji zbliżają się do wygaśnięcia, otrzymasz od zespołu Webex powiadomienie o konieczności zresetowania hasła do Twojego konta maszyny. (Wiadomość e-mail zawiera tekst „Użyj interfejsu API konta maszynowego, aby zaktualizować hasło.”) Jeśli Twoje hasła jeszcze nie wygasły, narzędzie daje dwie opcje:

Delikatne resetowanie — stare i nowe hasła działają przez maksymalnie 10 dni. Ten okres służy do stopniowego zastępowania pliku ISO w węzłach.
Twardy reset— stare hasła przestają działać natychmiast.

Jeśli Twoje hasła wygasną bez zresetowania, ma to wpływ na usługę HDS, wymagającą natychmiastowego, twardego zresetowania i wymiany pliku ISO na wszystkich węzłach.

Użyj tej procedury, aby wygenerować nowy plik ISO konfiguracji i zastosować go do klastra.

Przed rozpoczęciem

Narzędzie HDS Setup działa jako kontener Docker na lokalnej maszynie. Aby uzyskać do niego dostęp, uruchom Docker na tej maszynie. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi prawami administratora dla Twojej organizacji.

Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas przywoływania kontenera Docker w 1.e. Ta tabela zawiera pewne możliwe zmienne środowiskowe:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego pliku ISO konfiguracji. ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Podczas wprowadzania zmian w konfiguracji wymagany jest certyfikat ISO, w tym poświadczenia bazy danych, aktualizacje certyfikatów lub zmiany zasad autoryzacji.

1

Korzystając z programu Docker na maszynie lokalnej, uruchom narzędzie konfiguracji HDS.

W wierszu poleceń maszyny wprowadź odpowiednie polecenie dla środowiska:

W normalnych warunkach:

docker rmi ciscocitg/hds-setup:stable

W środowiskach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ten krok oczyszcza poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

Aby zalogować się do rejestru obrazów Docker, wprowadź następujące informacje:
```
docker login -u hdscustomersro
```
Po wyświetleniu monitu o hasło wprowadź następujący tekst:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Pobierz najnowszy stabilny obraz środowiska:

W normalnych warunkach:

docker pull ciscocitg/hds-setup:stable

W środowiskach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Upewnij się, że dla tej procedury używasz najnowszego narzędzia konfiguracyjnego. Wersje narzędzia utworzonego przed 22 lutego 2018 r. nie mają ekranów resetowania hasła.

Po zakończeniu ciągnięcia wprowadź odpowiednie polecenie dla środowiska:

W normalnych środowiskach bez serwera proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

W normalnych środowiskach z serwerem proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

W normalnych środowiskach z serwerem HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

W środowiskach FedRAMP bez serwera proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z serwerem proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z serwerem proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Gdy kontener jest uruchomiony, widzisz "Serwer ekspresowy słuchający na porcie 8080".

Użyj przeglądarki, aby połączyć się z hostem lokalizacji, http://127.0.0.1:8080.

Narzędzie Konfiguracja nie obsługuje łączenia się z localhost za pośrednictwem http://localhost:8080. Użyj http://127.0.0.1:8080, aby połączyć się z hostem lokalizacji.

Po wyświetleniu monitu wprowadź poświadczenia logowania klienta Control Hub, a następnie kliknij przycisk Akceptuj, aby kontynuować.
Importuj bieżący plik ISO konfiguracji.
Postępuj zgodnie z instrukcjami, aby ukończyć narzędzie i pobrać zaktualizowany plik.

Aby zamknąć narzędzie konfiguracji, wpisz CTRL+C.
Utwórz kopię zapasową zaktualizowanego pliku w innym centrum danych.

2

Jeśli jest uruchomiony tylko jeden węzeł HDS, utwórz nowy węzeł hybrydowego zabezpieczenia danych VM i zarejestruj go przy użyciu nowego pliku ISO konfiguracji. Aby uzyskać bardziej szczegółowe instrukcje, zobacz temat Tworzenie i rejestrowanie większej liczby węzłów.

Zainstaluj OVA hosta HDS.
Skonfiguruj maszynę wirtualną HDS.
Zamontuj zaktualizowany plik konfiguracyjny.
Zarejestruj nowy węzeł w Control Hub.

3

W przypadku istniejących węzłów HDS z starszym plikiem konfiguracyjnym zamontuj plik ISO. Wykonaj następującą procedurę na każdym węźle z kolei, aktualizując każdy węzeł przed wyłączeniem kolejnego węzła:

Wyłączyć maszynę wirtualną.
W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.
Kliknij CD/DVD Drive 1, wybierz opcję montażu z pliku ISO i przejdź do lokalizacji, w której pobrano nowy plik ISO konfiguracji.
Sprawdzić Połącz przy włączonym zasilaniu.
Zapisz zmiany i zasilanie maszyny wirtualnej.

4

Powtórz krok 3, aby zastąpić konfigurację w każdym pozostałym węźle z uruchomioną starą konfiguracją.

Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS

Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznawać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb Zablokowanej zewnętrznej rozdzielczości DNS.

Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, uruchamiając ponownie test połączenia serwera proxy w każdym węźle.

Przed rozpoczęciem

Upewnij się, że wewnętrzne serwery DNS mogą rozpoznawać publiczne nazwy DNS oraz że węzły mogą się z nimi komunikować.

1	W przeglądarce internetowej otwórz interfejs węzła hybrydowego zabezpieczenia danych (adres IP/konfiguracja, na przykład https://192.0.2.0/setup), wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się.
2	Przejdź do Przegląd (strona domyślna). Po włączeniu tej opcji Zablokowana zewnętrzna rozdzielczość DNS jest ustawiona na Tak.
3	Przejdź do strony Trust Store & Proxy.
4	Kliknij przycisk Sprawdź połączenie z serwerem proxy. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS i pozostanie w tym trybie. W przeciwnym razie po ponownym uruchomieniu węzła i powrocie na stronę Przegląd zablokowana zewnętrzna rozdzielczość DNS powinna być ustawiona na nr.

Co zrobić dalej

Powtórz test połączenia z serwerem proxy dla każdego węzła w klastrze hybrydowego zabezpieczenia danych.

Usuń węzeł

Użyj tej procedury, aby usunąć węzeł hybrydowego zabezpieczenia danych z chmury Webex. Po usunięciu węzła z klastra usuń maszynę wirtualną, aby zapobiec dalszemu dostępowi do danych zabezpieczeń.

1

Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi i wyłączyć maszynę wirtualną.

2

Usuń węzeł:

Zaloguj się do Control Hub, a następnie wybierz Usługi.
Na karcie hybrydowe zabezpieczenia danych kliknij przycisk Wyświetl wszystkie , aby wyświetlić stronę zasobów hybrydowych zabezpieczeń danych.
Wybierz klaster, aby wyświetlić jego panel Przegląd.
Kliknij listę Otwórz węzły.
Na karcie Węzły wybierz węzeł, który chcesz usunąć.
Kliknij przycisk Akcje > węzeł Deregister.

3

W kliencie vSphere usuń maszynę wirtualną (w lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij polecenie Usuń).

Jeśli nie usuniesz VM, pamiętaj o usunięciu pliku ISO konfiguracji. Bez pliku ISO nie można użyć maszyny wirtualnej, aby uzyskać dostęp do danych bezpieczeństwa.

Odzyskiwanie po awarii za pomocą Standby Data Center

Najbardziej krytyczną usługą oferowaną przez klaster Hybrid Data Security jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji przypisanego do hybrydowego zabezpieczenia danych nowe żądania tworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za przywrócenie kluczy, które został utworzony do wszystkich użytkowników upoważnionych do ich odzyskania, na przykład członków obszaru konwersacji.

Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby utrzymywały się odpowiednie kopie zapasowe. Utrata bazy danych hybrydowych zabezpieczeń danych lub układu ISO konfiguracji stosowanego dla schematu spowoduje NIEZBĘDNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, konieczne są następujące praktyki:

Jeśli awaria spowoduje, że wdrożenie HDS w głównym centrum danych stanie się niedostępne, postępuj zgodnie z tą procedurą, aby ręcznie przełączyć się na standby centrum danych.

1

Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.

2

Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane

3

Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń passiveMode konfiguracja, aby węzeł był aktywny. Węzeł może obsługiwać ruch po skonfigurowaniu.


passiveMode: 'false'

4

Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia.

5

Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

6

W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia..

7

Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.

Upewnij się, że Connected and Connect at power on (Podłączono) są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły wejść w życie po uruchomieniu węzłów.

8

Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.

9

Powtórz proces dla każdego węzła w centrum danych standby.

Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy węzły centrum danych standby nie są w trybie pasywnym. „KMS skonfigurowany w trybie pasywnym” nie powinien być wyświetlany w dziennikach syslog.

Co zrobić dalej

Po przełączeniu awaryjnym, jeśli główne centrum danych stanie się ponownie aktywne, ponownie umieść centrum danych standby w trybie pasywnym, wykonując czynności opisane w Ustawieniu Standby Data Center dla odzyskiwania awarii.

(Opcjonalnie) Odmontować ISO Po Konfiguracji HDS

Standardowa konfiguracja HDS działa z zamontowanym ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale zamontowanych. Plik ISO można odmontować po odebraniu nowej konfiguracji przez wszystkie węzły HDS.

Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego ISO lub aktualizacji ISO za pomocą narzędzia konfiguracyjnego należy zamontować zaktualizowany ISO na wszystkich węzłach HDS. Po odebraniu zmian konfiguracji przez wszystkie węzły można ponownie rozmontować ISO za pomocą tej procedury.

Przed rozpoczęciem

Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.

1	Zamknij jeden z węzłów HDS.
2	W urządzeniu VCenter Server Appliance wybierz węzeł HDS.
3	Wybierz Edytuj ustawienia > Napęd CD/DVD i usuń zaznaczenie pliku Datastore ISO.
4	Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut.
5	Powtórz kolejno dla każdego węzła HDS.

Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych

Wyświetlanie alertów i rozwiązywania problemów

Wdrożenie hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że wymaga przekroczenia czasu. Jeśli użytkownicy nie mogą skontaktować się z klastrem hybrydowego zabezpieczenia danych, mogą wystąpić następujące objawy:

Nie można utworzyć nowych obszarów (nie można utworzyć nowych kluczy)
Wiadomości i tytuły przestrzeni nie można odszyfrować dla:
- Dodano nowych użytkowników do obszaru (nie można pobrać kluczy)
- Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze będą z powodzeniem działać tak długo, jak ich klienci będą mieli pamięć podręczną kluczy szyfrowania

Ważne jest, aby odpowiednio monitorować klaster hybrydowego zabezpieczenia danych i szybko zwracać się do wszystkich alertów, aby uniknąć zakłóceń w obsłudze.

Alerty

Jeśli występuje problem z konfiguracją hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.

Tabela 1. Wspólne problemy i kroki mające na celu ich rozwiązanie
Alert	Czynność
Niepowodzenie dostępu do lokalnej bazy danych.	Sprawdź, czy występują błędy w bazie danych lub problemy z siecią lokalną.
Niepowodzenie połączenia z lokalną bazą danych.	Sprawdź, czy serwer bazy danych jest dostępny, a w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi.
Niepowodzenie dostępu do usługi w chmurze.	Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z wymaganiami Zewnętrznej łączności.
Odnowienie rejestracji usług w chmurze.	Zrezygnowano z rejestracji na usługi w chmurze. Trwa przedłużenie rejestracji.
Rejestracja usług w chmurze została odrzucona.	Rejestracja na usługi w chmurze została zakończona. Usługa jest wyłączona.
Usługa jeszcze nie została aktywowana.	Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do produkcji.
Skonfigurowana domena nie odpowiada certyfikatowi serwera.	Upewnij się, że certyfikat serwera jest zgodny z skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że certyfikat CN został ostatnio zmieniony i jest teraz inny niż CN, który był używany podczas początkowej konfiguracji.
Nie można uwierzytelnić usług w chmurze.	Kontrola poprawności i ewentualnego wygaśnięcia poświadczeń konta usługi.
Nie można otworzyć lokalnego pliku keystore.	Sprawdź integralność i dokładność hasła w lokalnym pliku keystore.
Certyfikat lokalnego serwera jest nieprawidłowy.	Sprawdź datę ważności certyfikatu serwera i potwierdź, że został on wydany przez zaufany urząd certyfikacji.
Nie można publikować metryk.	Sprawdź dostęp sieci lokalnej do zewnętrznych usług w chmurze.
/media/configdrive/hds katalog nie istnieje.	Sprawdź konfigurację montażu ISO na wirtualnym hostze. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu na ponownym uruchomieniu i czy został pomyślnie zainstalowany.

Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych

Podczas rozwiązywania problemów z hybrydowymi zabezpieczeniami danych należy stosować następujące ogólne wytyczne.

1	Przejrzyj Control Hub dla wszystkich alertów i naprawić wszystkie znalezione tam elementy.
2	Przejrzyj wyjście serwera dziennika systemowego pod kątem aktywności z wdrożenia hybrydowego zabezpieczenia danych.
3	Skontaktuj się z pomocą techniczną Cisco.

Inne uwagi

Znane problemy dotyczące hybrydowych zabezpieczeń danych

Jeśli zamkniesz klaster hybrydowego zabezpieczenia danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych keystore, użytkownicy aplikacji Webex nie będą mogli już korzystać ze spacji na liście Osoby utworzonej za pomocą kluczy z KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia ani rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłudze aktywnych kont użytkowników.
Klient z istniejącym połączeniem ECDH z KMS utrzymuje to połączenie przez pewien czas (prawdopodobnie godzinę). Gdy użytkownik staje się członkiem próby hybrydowego zabezpieczenia danych, klient użytkownika nadal korzysta z istniejącego połączenia ECDH do czasu jego wyłączenia. Alternatywnie, użytkownik może wylogować się i wrócić do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w przypadku kluczy szyfrowania.

To samo zachowanie występuje podczas przenoszenia próby do produkcji dla organizacji. Wszyscy niedoświadczeni użytkownicy z istniejącymi połączeniami ECDH z poprzednimi usługami bezpieczeństwa danych będą nadal korzystać z tych usług do czasu renegocjacji połączenia ECDH (poprzez limit czasu lub poprzez wylogowanie i powrót).

Użyj protokołu OpenSSL, aby wygenerować plik PKCS12

Przed rozpoczęciem

OpenSSL jest jednym z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do ładowania w narzędziu konfiguracji HDS. Istnieją inne sposoby, aby to zrobić, a my nie popieramy ani nie promujemy jednej drogi nad drugą.
Jeśli zdecydujesz się korzystać z OpenSSL, zapewniamy tę procedurę jako wytyczną, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatów X.509. Zrozum te wymagania, zanim przejdziesz dalej.
Zainstaluj OpenSSL w obsługiwanym środowisku. Patrz https://www.openssl.org oprogramowanie i dokumentacja.
Utwórz klucz prywatny.
Procedurę tę należy rozpocząć po otrzymaniu certyfikatu serwera od urzędu certyfikacji.

1	Po otrzymaniu certyfikatu serwera z urzędu certyfikacji zapisz go jako `hdsnode.pem`.
2	Wyświetl certyfikat jako tekst i zweryfikuj szczegóły. `openssl x509 -text -noout -in hdsnode.pem`
3	Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie `hdsnode-bundle.pem`. Plik pakietu musi zawierać certyfikat serwera, wszystkie pośrednie certyfikaty urzędu certyfikacji oraz podstawowe certyfikaty urzędu certyfikacji w formacie poniżej: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Utwórz plik .p12 o przyjaznej nazwie `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Sprawdź szczegóły certyfikatu serwera. `openssl pkcs12 -in hdsnode.p12` Wprowadź hasło po wyświetleniu monitu, aby zaszyfrować klucz prywatny w taki sposób, aby był wyświetlany na wyjściu. Następnie sprawdź, czy klucz prywatny i pierwszy certyfikat zawierają linie `friendlyName: kms-private-key`. Przykład: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Co zrobić dalej

Powróć, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych. Korzystasz z hdsnode.p12 plik i ustawione dla niego hasło w Utwórz ISO konfiguracji dla prowadzących HDS.

Możesz ponownie użyć tych plików, aby poprosić o nowy certyfikat po wygaśnięciu oryginalnego certyfikatu.

Ruch między węzłami HDS a chmurą

Ruch zbierania metryk wychodzących

Węzły hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dla maks. stosu, stosowanego stosu, obciążenia procesora i liczenia wątków; metryki na wątkach synchronicznych i asynchronicznych; metryki na alertach obejmujące próg połączeń szyfrowania, opóźnienie lub długość kolejki żądań; metryki na zbiorniku danych; oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał poza pasmem (oddzielony od żądania).

Ruch przychodzący

Węzły hybrydowego zabezpieczenia danych otrzymują następujące typy ruchu przychodzącego z chmury Webex:

Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania
Aktualizacja do oprogramowania węzła

Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych

Websocket Nie Można Połączyć Za Pomocą Proxy Squid

Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS, mogą ingerować w tworzenie websocket ( wss:) połączenia, których wymaga Hybrid Data Security. Sekcje te zawierają wskazówki dotyczące konfigurowania różnych wersji Squid do ignorowania wss: ruch w celu prawidłowego funkcjonowania usług.

Squid 4 i 5

Dodaj on_unsupported_protocol dyrektywa do squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

Z powodzeniem przetestowaliśmy hybrydowe zabezpieczenia danych, dodając następujące zasady squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizacji chmury Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Przedmowa

Nowe i zmienione informacje

Data	Wprowadzone zmiany
20 października 2023 r.	Zaktualizowano informacje w wymaganiach serwera bazy danych. Dodano Konfigurowanie centrum danych w trybie gotowości do odzyskiwania po awarii. Zaktualizowano informacje w Centrum danych trybu gotowości dla odzyskiwania po awarii i Odzyskiwanie po awarii przy użyciu centrum danych trybu gotowości.
07 sierpnia 2023 r.	Dodano notatkę w sekcji Pobierz pliki instalacyjne. Dodano uwagę w tematach Tworzenie ISO konfiguracji dla hostów HDS i Zmiana konfiguracji węzła.
23 maja 2023 r.	Usunięto informacje z wymagań serwera bazy danych z prośbą o włączenie funkcji przez skontaktowanie się z zespołem ds. konta. Zaktualizowano informacje w sekcji Wymagania dotyczące łączności zewnętrznej i dodano Kanadę do tabeli prowadzących CI. Dodano uwagę w części Oczekiwania dotyczące wdrożenia hybrydowego zabezpieczenia danych dotyczącą niedostępności mechanizmów przenoszenia kluczy z powrotem do chmury.
6 grudnia 2022 r.	Obrazy narzędzia konfiguracji HDS są teraz hostowane w repozytorium `ciscocitg` dockerhub. Zaktualizowano tematy Utwórz ISO konfiguracji dla hostów HDS i Zmień konfigurację węzła , aby uwzględnić zmiany w poleceniach.
23 listopada 2022 r.	Węzły HDS mogą teraz korzystać z uwierzytelniania systemu Windows w systemie Microsoft SQL Server. Zaktualizowano temat Wymagania serwera bazy danych o dodatkowe wymagania dotyczące tego trybu uwierzytelniania. Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS z procedurą skonfigurowania uwierzytelniania systemu Windows w węzłach. Zaktualizowano temat Wymagania serwera bazy danych o nowe minimalne wymagane wersje (PostgreSQL 10).
13 października, 2021	Przed zainstalowaniem węzłów HDS program konfiguracyjny musi zostać uruchomiony. Zobacz Wymagania dotyczące pulpitu Docker.
Czerwiec 24, 2021	Zwrócono uwagę, że możesz ponownie użyć pliku klucza prywatnego i żądania CSR, aby zażądać innego certyfikatu. Szczegółowe informacje zawiera temat Używanie OpenSSL do generowania pliku PKCS12 .
30 kwietnia 2021 r.	Zmieniono wymaganie maszyn wirtualnych dotyczące lokalnego dysku twardego na 30 GB. Szczegółowe informacje zawiera temat Wymagania dotyczące hosta wirtualnego .
24 lutego, 2021	Narzędzie konfiguracji usług HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie certyfikatu ISO konfiguracji dla hostów HDS .
2 lutego 2021 r	Obecnie system HDS może działać bez zamontowanego pliku ISO. Szczegółowe informacje zawiera temat (Opcjonalnie) Odmontowywanie certyfikatu ISO po konfiguracji HDS .
11 stycznia 2021 r.	Dodano informacje o narzędziu konfiguracji HDS i serwerach proxy w celu utworzenia certyfikatu ISO konfiguracji dla hostów HDS.
13 października, 2020	Zaktualizowano plik Pobierz pliki instalacyjne.
8 października 2020 r.	Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS i Zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP.
14 sierpnia, 2020	Zaktualizowano tematy Utwórz ISO konfiguracji dla hostów HDS i Zmień konfigurację węzła ze zmianami w procesie logowania.
5 sierpnia 2020 r.	Zaktualizowano artykuł Przetestuj wdrożenie usługi hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika. Zaktualizowano wymagania dotyczące hosta wirtualnego , aby usunąć maksymalną liczbę hostów.
16 czerwca 2020 r.	Zaktualizowano opcję Usuń węzeł ze względu na zmiany w interfejsie użytkownika Control Hub.
4 czerwca 2020 r.	Zaktualizowano temat Utwórz ISO konfiguracji dla hostów HDS dla zmian w ustawieniach zaawansowanych, które można ustawić.
29 maja 2020 r.	Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami w interfejsie użytkownika i innymi wyjaśnieniami.
5 maja 2020 r.	Zaktualizowano wymagania dotyczące hosta wirtualnego , aby wyświetlić nowy wymóg ESXi 6.5.
21 kwietnia 2020 r.	Zaktualizowano wymagania dotyczące łączności zewnętrznej o nowe hosty CI dla obu Ameryk.
1 kwietnia 2020 r.	Zaktualizowano wymagania dotyczące łączności zewnętrznej o informacje o regionalnych hostach CI.
20 lutego, 2020	Zaktualizowano temat Utwórz ISO konfiguracji dla hostów HDS z informacjami o nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu konfiguracji HDS.
12 lutego 2020 r.	Zaktualizowano wymagania serwera proxy.
16 grudnia 2019 r.	Wyjaśniono wymóg działania zablokowanego zewnętrznego trybu rozdzielczości DNS w wymaganiach serwera proxy.
19 listopada, 2019	Dodano informacje o zablokowanym zewnętrznym trybie rozdzielczości DNS w następujących sekcjach: Obsługa serwera proxy Konfigurowanie węzła HDS do integracji z serwerem proxy Wyłączanie trybu zablokowanego zewnętrznego rozpoznawania DNS
8 listopada, 2019	Teraz można skonfigurować ustawienia sieciowe dla węzła podczas wdrażania OVA, a nie później. Zaktualizowano odpowiednio następujące sekcje: Przepływ zadań wdrażania hybrydowego zabezpieczenia danych Zainstaluj OVA hosta HDS Skonfiguruj VM usługi hybrydowego zabezpieczenia danych Opcja konfiguracji ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi w wersji 6.5. Opcja może być niedostępna we wcześniejszych wersjach.
Wrzesień 6, 2019	Dodano SQL Server Standard do wymagań serwera bazy danych.
29 sierpnia 2019 r.	Dodano dodatek Konfiguracja serwerów proxy Squid dla hybrydowego zabezpieczenia danych z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu ignorowania ruchu WebSocket dla prawidłowej pracy.
Sierpień 20, 2019	Dodano i zaktualizowano sekcje dotyczące obsługi serwera proxy dla komunikacji węzła usługi hybrydowego zabezpieczenia danych z chmurą Webex. Obsługa serwera proxy Wymagania dotyczące serwera proxy Konfigurowanie węzła HDS do integracji z serwerem proxy Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł Obsługa serwera proxy dla hybrydowego zabezpieczenia danych i siatki wideo Webex .
13 czerwca 2019 r.	Zaktualizowano Przepływ zadań w wersji próbnej z przypomnieniem o zsynchronizowaniu obiektu grupy `HdsTrialGroup` przed rozpoczęciem wersji próbnej, jeśli Twoja organizacja korzysta z synchronizacji katalogów.
6 marca 2019 r.	Przenieś wymagania i wymagania wstępne do oddzielnego rozdziału w sekcji Przygotuj środowisko. Dodano Przepływ zadań wdrażania hybrydowego zabezpieczenia danych przegląd w rozdziale Skonfiguruj klaster usługi hybrydowego zabezpieczenia danych. Należy zauważyć, że do czasu rozpoczęcia wersji próbnej (zgodnie z instrukcjami w następnym rozdziale) węzły generują alarm informujący, że usługa nie została jeszcze aktywowana. Dodano Wersję próbną do przepływu zadań produkcyjnych w rozdziale Uruchom wersję próbną i przenieś do produkcji.
28 lutego 2019 r.	Poprawiono ilość lokalnego miejsca na dysku twardym na serwer, które należy pozostawić podczas przygotowywania wirtualnych hostów, które stają się węzłami usługi hybrydowego zabezpieczenia danych, z 50 GB do 20 GB, aby odzwierciedlić rozmiar dysku tworzonego przez OVA.
26 lutego 2019 r.	Węzły hybrydowego zabezpieczenia danych obsługują teraz szyfrowane połączenia z serwerami baz danych PostgreSQL oraz szyfrowane połączenia rejestrowania z serwerem dziennika systemowego obsługującym protokół TLS. Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS z instrukcjami. Usunięto docelowe adresy URL z tabeli „Wymagania łączności internetowej dla maszyn wirtualnych węzłów usługi hybrydowego zabezpieczenia danych”. Tabela odwołuje się teraz do listy prowadzonej w tabeli „Dodatkowe adresy URL dla usług hybrydowych Webex Teams” Wymagania sieciowe dla usług Webex Teams.
Styczeń 24, 2019	Hybrydowe zabezpieczenia danych obsługują teraz bazę danych Microsoft SQL Server. Funkcja SQL Server Always On (zawsze włączone klastry przełączenia awaryjnego i zawsze włączone grupy dostępności) jest obsługiwana przez sterowniki JDBC używane w usłudze hybrydowego zabezpieczenia danych. Dodano treści związane z wdrażaniem z programem SQL Server. Obsługa rozwiązania Microsoft SQL Server jest przeznaczona tylko dla nowych wdrożeń hybrydowych zabezpieczeń danych. Obecnie nie obsługujemy migracji danych z serwera PostgreSQL na serwer Microsoft SQL Server w istniejącym wdrożeniu.
5 listopada 2018 r.	Dodano krok wstępny do czyszczenia wszystkich istniejących wystąpień hds docker w sekcji Utwórz konfigurację ISO dla hostów HDS i Zmień konfigurację węzła. Zaktualizowano krok poziomu dostępu klucza w sekcji Utwórz konfigurację ISO dla hostów HDS , aby pasował do interfejsu.
19 października 2018 r.	W części Spełnij wymagania wstępne dotyczące usługi hybrydowego zabezpieczenia danych podziel informacje o połączeniu zapory na wymagania węzła i wymagania maszyny konfiguracyjnej ISO.
31 lipca 2018 r.	Dodano port 22 (dostęp SSH) oraz informacje o połączeniach NAT i zapory, aby Spełnić Wymagania Wstępne usługi hybrydowego zabezpieczenia danych.
21 maja 2018 r.	Zmieniono terminologię w celu odzwierciedlenia rebrandingu aplikacji Cisco Spark: Hybrydowe zabezpieczenia danych Cisco Spark to teraz hybrydowe zabezpieczenia danych. Aplikacja Cisco Spark to teraz aplikacja Webex. Chmura Cisco Collaboraton to teraz chmura Webex.
11 kwietnia 2018 r.	Dodano Centrum danych trybu gotowości do odzyskiwania po awarii. Zaktualizowano Wymagania wstępne dotyczące usługi hybrydowego zabezpieczenia danych , aby określić, że środowisko tworzenia kopii zapasowych powinno znajdować się w innym centrum danych. Zaktualizowano Odzyskiwanie po awarii przy użyciu centrum danych w trybie gotowości.
Luty 22, 2018	Dodano informacje o 9-miesięcznym okresie ważności hasła do konta usługi oraz o wykorzystaniu narzędzia konfiguracji HDS do resetowania haseł do konta usługi w sekcji Tworzenie konfiguracji ISO dla hostów HDS i Zmiana konfiguracji węzła.
Luty 15, 2018	W tabeli Wymagania certyfikatu X.509 określono, że certyfikat nie może być certyfikatem z symbolami wieloznacznymi oraz że serwer KMS używa domeny CN, a nie żadnej domeny zdefiniowanej w polach sieci SAN x.509v3.
Styczeń 18, 2018	Dodano dodatek Ruch między węzłami HDS a chmurą. Usunięto rozwiązany problem z sekcji Znane problemy dotyczące usługi hybrydowego zabezpieczenia danych. Zmieniono indeks.docker.io na .docker.io i dodano ciąg .cloudfront.net do listy wymagań łączności TCP dla węzłów HDS w części Spełnij wymagania wstępne dla usługi hybrydowego zabezpieczenia danych. Zaktualizowano Utwórz certyfikat ISO konfiguracji dla hostów usługi HDS , aby wskazać, że jeśli host bazy danych i serwer Syslogd nie są możliwe do rozwiązania DNS z węzłów usługi HDS, należy skonfigurować je przy użyciu adresów IP.
2 listopada 2017 r.	Wyjaśniona synchronizacja katalogu HdsTrialGroup. Poprawiono instrukcje dotyczące przesyłania pliku konfiguracyjnego ISO w celu montażu w węzłach maszyn wirtualnych.
18 sierpnia 2017 r.	Opublikowano po raz pierwszy

Wprowadzenie do usługi hybrydowego zabezpieczenia danych

Omówienie hybrydowego zabezpieczenia danych

Od pierwszego dnia bezpieczeństwo danych było głównym celem podczas projektowania aplikacji Webex. Podstawą tego zabezpieczenia jest kompleksowe szyfrowanie treści, które umożliwiają klienci aplikacji Webex współpracujący z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.

Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS, w sferze bezpieczeństwa Cisco. Hybrid Data Security przenosi KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie posiada kluczy do zaszyfrowanej zawartości.

Architektura Security Realm

Architektura chmury Webex dzieli różne typy usług na oddzielne domeny lub domeny zaufania, jak pokazano poniżej.

***Obszary separacji (bez usługi hybrydowego zabezpieczenia danych)***

Aby lepiej zrozumieć usługę hybrydowego zabezpieczenia danych, przyjrzyjmy się najpierw tej czystej chmurze, w której firma Cisco udostępnia wszystkie funkcje w swoich domenach chmury. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani z ich danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od obszaru bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od obszaru, w którym docelowo przechowywana jest zaszyfrowana zawartość, w centrum danych C.

Na tym schemacie klient jest aplikacją Webex działającą na laptopie użytkownika i uwierzytelnił się w usłudze tożsamości. Gdy użytkownik tworzy wiadomość do wysłania do obszaru, wykonują następujące czynności:

Klient nawiązuje bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie żąda klucza w celu zaszyfrowania wiadomości. Bezpieczne połączenie korzysta z protokołu ECDH, a serwer KMS szyfruje klucz przy użyciu klucza głównego AES-256.
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła je do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniu zawartości.
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w obszarze miejsca do przechowywania.

Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze tworzące usługę Webex (w tym tożsamość i miejsce do przechowywania zawartości) pozostają w domenach Cisco.

Współpraca z innymi organizacjami

Użytkownicy w Twojej organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników poprosi o klucz obszaru należącego do Twojej organizacji (ponieważ został on utworzony przez jednego z użytkowników), serwer KMS wysyła klucz do klienta przez kanał zabezpieczony ECDH. Jeśli jednak inna organizacja jest właścicielem klucza obszaru, serwer KMS kieruje żądanie do chmury Webex przez oddzielny kanał ECDH, aby pobrać klucz z odpowiedniego serwera KMS, a następnie zwraca klucz do użytkownika w oryginalnym kanale.

Usługa KMS działająca w organizacji A sprawdza poprawność połączeń z urządzeniami KMS w innych organizacjach przy użyciu certyfikatów x.509 PKI. Zobacz Przygotowanie środowiska , aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użycia z wdrożeniem usługi hybrydowego zabezpieczenia danych.

Oczekiwania dotyczące wdrożenia hybrydowego zabezpieczenia danych

Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klientów i świadomości zagrożeń związanych z posiadaniem kluczy szyfrowania.

Aby wdrożyć usługę hybrydowego zabezpieczenia danych, należy zapewnić:

Bezpieczne centrum danych w kraju, które jest obsługiwaną lokalizacją planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w sekcji .

Całkowita utrata albo konfiguracji ISO tworzonej dla usługi hybrydowego zabezpieczenia danych, albo dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. W takim przypadku można zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:

Zarządzanie kopiowaniem i odzyskiwaniem bazy danych oraz certyfikatem ISO konfiguracji.
Przygotuj się do szybkiego odzyskiwania po awarii w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub katastrofa centrum danych.

Nie ma mechanizmu, by przenieść klucze z powrotem do chmury po wdrożeniu HDS.

Proces konfiguracji wysokiego poziomu

Ten dokument dotyczy konfigurowania i zarządzania wdrożeniem usługi hybrydowego zabezpieczenia danych:

Skonfiguruj usługę hybrydowego zabezpieczenia danych — obejmuje przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania usługi hybrydowego zabezpieczenia danych, testowanie wdrożenia na podzbiorze użytkowników w trybie próbnym oraz po zakończeniu testów przejście do trybu produkcyjnego. Spowoduje to przekonwertowanie całej organizacji na używanie klastra hybrydowego zabezpieczenia danych do obsługi funkcji zabezpieczeń.
Etapy konfiguracji, testowania i produkcji zostaną szczegółowo omówione w kolejnych trzech rozdziałach.
Kontynuuj wdrożenie usługi hybrydowego zabezpieczenia danych — chmura Webex automatycznie zapewnia ciągłe aktualizacje. Dział IT może zapewnić wsparcie Tier One dla tego wdrożenia i w razie potrzeby zaangażować wsparcie Cisco. Możesz korzystać z powiadomień na ekranie i skonfigurować alerty e-mail w Control Hub.
Zrozumienie popularnych alertów, czynności rozwiązywania problemów i znanych problemów — w przypadku wystąpienia problemów ze wdrażaniem lub korzystaniem z usługi hybrydowego zabezpieczenia danych ostatni rozdział tego przewodnika i załącznik do znanych problemów mogą pomóc w ustaleniu i usunięciu problemu.

Model wdrażania hybrydowego zabezpieczenia danych

W korporacyjnym centrum danych wdrożysz hybrydowe zabezpieczenia danych jako pojedynczy klaster węzłów na osobnych wirtualnych hostach. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych gniazd WebSockets i bezpiecznego HTTP.

Podczas procesu instalacji udostępniamy plik OVA, aby skonfigurować urządzenie wirtualne na maszynach wirtualnych, które udostępniasz. Za pomocą narzędzia konfiguracji usługi HDS można utworzyć niestandardowy plik ISO konfiguracji klastra, który montujesz na każdym węźle. Klaster usługi hybrydowego zabezpieczenia danych korzysta z dostarczonego serwera Syslogd oraz bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować za pomocą narzędzia konfiguracji HDS).

Model wdrażania hybrydowego zabezpieczenia danych

Minimalna liczba węzłów, które można mieć w klastrze, wynosi dwa. Zalecamy co najmniej trzy klastry. Posiadanie wielu węzłów gwarantuje, że usługa nie zostanie przerwana podczas aktualizacji oprogramowania lub innej konserwacji w węźle. (Chmura Webex uaktualnia tylko jeden węzeł naraz).

Wszystkie węzły w klastrze uzyskują dostęp do tego samego magazynu danych klucza oraz do tego samego serwera dziennika systemowego. Same węzły są bezstanowe i obsługują żądania kluczy w sposób zaokrąglony, zgodnie z kierunkiem chmury.

Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby wyłączyć pojedynczy węzeł, można go wyrejestrować, a w razie potrzeby ponownie go zarejestrować.

Obsługujemy tylko jeden klaster w organizacji.

Tryb próbny hybrydowego zabezpieczenia danych

Po skonfigurowaniu wdrożenia usługi hybrydowego zabezpieczenia danych wypróbuj je najpierw z grupą użytkowników pilotażowych. W okresie próbnym użytkownicy ci korzystają z lokalnej domeny usługi hybrydowego zabezpieczenia danych do korzystania z kluczy szyfrowania i innych usług związanych z zabezpieczeniami. Twoi inni użytkownicy nadal korzystają z domeny bezpieczeństwa w chmurze.

Jeśli zdecydujesz się nie kontynuować wdrażania w okresie próbnym i dezaktywować usługę, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi współpracowali, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zobaczą oni „Nie można odszyfrować tej wiadomości” w aplikacji Webex.

Jeśli uważasz, że wdrożenie działa dobrze na potrzeby użytkowników wersji próbnej, i możesz rozszerzyć usługę hybrydowego zabezpieczenia danych na wszystkich użytkowników, możesz przenieść to wdrożenie do wersji produkcyjnej. Użytkownicy pilota nadal mają dostęp do kluczy, które były używane w okresie próbnym. Nie można jednak przechodzić między trybem produkcyjnym a oryginalną wersją próbną. Jeśli konieczne jest dezaktywowanie usługi, na przykład przywracanie po awarii, po ponownej aktywacji należy rozpocząć nową wersję próbną i skonfigurować grupę użytkowników pilotażowych do nowej wersji próbnej przed powrotem do trybu produkcyjnego. To, czy użytkownicy zachowają w tym momencie dostęp do danych, zależy od tego, czy pomyślnie zachowano kopie zapasowe magazynu danych kluczowych i pliku konfiguracyjnego ISO węzłów usługi hybrydowego zabezpieczenia danych w klastrze.

Centrum danych w trybie gotowości do odzyskiwania po awarii

Podczas wdrażania konfigurujesz bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie wykonać wdrożenie do centrum danych w trybie gotowości.

Przed przełączeniem awaryjnym Centrum danych A ma aktywne węzły HDS i podstawową bazę danych PostgreSQL lub Microsoft SQL Server, a B ma kopię pliku ISO z dodatkowymi konfiguracjami, urządzeniami wirtualnymi zarejestrowanymi w organizacji oraz bazę danych trybu gotowości. Po przełączeniu awaryjnym centrum danych B ma aktywne węzły HDS i podstawową bazę danych, podczas gdy A ma niezarejestrowane maszyny wirtualne i kopię pliku ISO, a baza danych jest w trybie gotowości. — ***Ręczne przełączenie awaryjne do centrum danych w trybie gotowości***

Bazy danych aktywnych i rezerwowych centrów danych są ze sobą synchronizowane, co minimalizuje czas potrzebny na wykonanie przełączania awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają, że węzły są zarejestrowane w organizacji, ale nie obsługują ruchu. Dlatego węzły centrum danych w trybie gotowości są zawsze aktualne dzięki najnowszej wersji oprogramowania HDS.

Aktywne węzły usługi hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych.

Konfigurowanie centrum danych w trybie gotowości na potrzeby odzyskiwania po awarii

Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:

Przed rozpoczęciem

Centrum danych w trybie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych i zapasowej bazy danych PostgreSQL lub Microsoft SQL Server. Jeśli na przykład w produkcji są 3 maszyny wirtualne z węzłami HDS, środowisko kopii zapasowej powinno zawierać 3 maszyny wirtualne. (Przegląd tego modelu przełączania awaryjnego można znaleźć w sekcji Centrum danych trybu gotowości do odzyskiwania po awarii ).
Upewnij się, że synchronizacja bazy danych między bazą danych aktywnych i pasywnych węzłów klastra jest włączona.

1	Uruchom narzędzie konfiguracji HDS i wykonaj czynności wymienione w części Utwórz konfigurację ISO dla hostów HDS. Plik ISO musi być kopią oryginalnego pliku ISO głównego centrum danych, w którym mają być przeprowadzane następujące aktualizacje konfiguracji.
2	Po skonfigurowaniu serwera Syslogd kliknij opcję Ustawienia zaawansowane
3	Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwać żadnego ruchu. `tryb pasywny: „prawda”`
4	Zakończ proces konfiguracji i zapisz plik ISO w łatwym do znalezienia miejscu.
5	Utwórz kopię zapasową pliku ISO w lokalnym systemie. Zachowaj bezpieczeństwo kopii zapasowej. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do administratorów usługi hybrydowego zabezpieczenia danych, którzy powinni dokonać zmian w konfiguracji.
6	W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy urządzenie wirtualne i kliknij opcję Edytuj ustawienia.
7	Kliknij Edytuj ustawienia >Dysk CD/DVD 1 i wybierz Plik ISO magazynu danych. Upewnij się, że opcje Połączono i Połącz po włączeniu zasilania są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły zostać zastosowane po uruchomieniu węzłów.
8	Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.
9	Powtórz ten proces dla każdego węzła w centrum danych w trybie gotowości. Sprawdź dzienniki systemowe, aby sprawdzić, czy węzły znajdują się w trybie pasywnym. W dziennikach systemowych powinien być wyświetlany komunikat „KMS skonfigurowany w trybie pasywnym”.

Co zrobić dalej

Po skonfigurowaniu passiveMode w pliku ISO i zapisaniu go, można utworzyć inną kopię pliku ISO bez konfiguracji passiveMode i zapisać go w bezpiecznym miejscu. Ta kopia pliku ISO bez skonfigurowanego trybu passiveMode może pomóc w szybkim przełączeniu awaryjnym podczas odzyskiwania po awarii. Szczegółowa procedura przełączania awaryjnego zawiera temat Odzyskiwanie po awarii przy użyciu centrum danych w trybie gotowości .

Obsługa serwera proxy

Hybrid Data Security obsługuje jawne, przejrzyste inspekcje i niekontrolujące serwery proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy w węzłach można używać do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.

Węzły Hybrid Data Security obsługują następujące opcje serwera proxy:

Brak serwera proxy — domyślnie, jeśli do zintegrowania serwera proxy nie używasz konfiguracji węzła HDS usługi Trust Store i proxy. Aktualizacja certyfikatu nie jest wymagana.
Przezroczysty, nieweryfikujący serwer proxy — węzły nie są skonfigurowane do używania konkretnego adresu serwera proxy i nie powinny wymagać żadnych zmian, aby pracować z nieweryfikowanym serwerem proxy. Aktualizacja certyfikatu nie jest wymagana.
Przezroczyste tunelowanie lub inspekcja serwera proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy. W węzłach nie są wymagane żadne zmiany konfiguracji HTTP ani HTTPS. Jednak węzły potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Inspekcja serwerów proxy jest zwykle używana przez IT do egzekwowania zasad, na których można odwiedzać witryny internetowe, a które nie są dozwolone. Ten typ serwera proxy odszyfrowuje cały ruch (nawet HTTPS).
Jawny serwer proxy — przy użyciu jawnego serwera proxy można wskazać węzłom HDS, którego serwera proxy i schematu uwierzytelniania mają używać. Aby skonfigurować jawny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
1. Adres IP/FQDN serwera proxy — adres, za pomocą którego można uzyskać dostęp do maszyny proxy.
2. Port serwera proxy — numer portu, którego serwer proxy używa do nasłuchiwania ruchu proxy.
3. Protokół proxy — w zależności od tego, jakie obsługuje serwer proxy, wybierz jeden z następujących protokołów:
  - HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
  - HTTPS — zapewnia kanał do serwera. Klient odbiera i sprawdza poprawność certyfikatu serwera.
4. Typ uwierzytelniania — wybierz jeden z następujących typów uwierzytelniania:
  - Brak — dalsze uwierzytelnianie nie jest wymagane.
    
    Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
  - Podstawowe — używane w przypadku agenta użytkownika HTTP w celu podania nazwy użytkownika i hasła podczas wykonywania żądania. Używa kodowania Base64.
    
    Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
  - Szyfrowanie — służy do potwierdzania konta przed wysłaniem poufnych informacji. Stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć.
    
    Opcja dostępna tylko po wybraniu protokołu HTTPS jako protokołu proxy.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

Przykład hybrydowych węzłów zabezpieczeń danych i serwera proxy

Ten diagram przedstawia przykładowe połączenie między hybrid data security, siecią i serwerem proxy. W przypadku opcji przezroczystego serwera proxy inspekcji i jawnego sprawdzania HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach Hybrid Data Security.

Zablokowany tryb zewnętrznego rozpoznawania DNS (jawne konfiguracje serwera proxy)

Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. We wdrożeniach z jawnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzne rozpoznawanie DNS dla klientów wewnętrznych, jeśli węzeł nie może wysłać kwerendy do serwerów DNS, automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.

Przygotuj swoje środowisko

Wymagania dotyczące usługi hybrydowego zabezpieczenia danych

Wymagania licencyjne usługi Cisco Webex

Aby wdrożyć usługę hybrydowego zabezpieczenia danych:

Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub. (Patrz https://www.cisco.com/go/pro-pack.)

Wymagania pulpitu Docker

Przed zainstalowaniem węzłów HDS należy uruchomić program konfiguracyjny programu Docker Desktop. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop.Your organization might require a paid subscription for Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis na blogu Platformy Docker " Docker aktualizuje i rozszerza nasze subskrypcje produktów".

Wymagania certyfikatu X.509

Łańcuch certyfikatów musi spełniać następujące wymagania:

Tabela 1. Wymagania certyfikatu X.509 dla wdrożenia hybrydowego zabezpieczenia danych
Wymaganie	Szczegóły
Podpisany przez zaufany urząd certyfikacji (CA)	Domyślnie ufamy urzędom certyfikacji na liście Mozilli (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs.
Nosi nazwę domeny z nazwą pospolitą (CN), która identyfikuje wdrożenie usługi hybrydowego zabezpieczenia danych Nie jest certyfikatem z symbolem wieloznacznym	Numer CN nie musi być dostępny ani być prowadzącym na żywo. Zalecamy używanie nazwy odzwierciedlającej organizację, na przykład `hds.company.com`. CN nie może zawierać znaku * (symbolu wieloznacznego). Kod CN służy do weryfikowania węzłów usługi hybrydowego zabezpieczenia danych w klientach aplikacji Webex. Wszystkie węzły usługi hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. Serwer KMS identyfikuje się używając domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie jest obsługiwana zmiana nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych.
Podpis bez SHA1	Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu walidacji połączeń z modułami KMS innych organizacji.
Sformatowany jako plik PKCS #12 zabezpieczony hasłem Użyj przyjaznej nazwy `kms-private-key` , aby oznaczyć certyfikat, klucz prywatny i wszelkie certyfikaty pośrednie do przesłania.	Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Hasło trzeba będzie wprowadzić podczas uruchamiania narzędzia konfiguracji usług HDS.

Oprogramowanie KMS nie wymuszało użycia kluczy ani rozszerzonych ograniczeń użycia kluczy. Niektóre urzędy certyfikacji wymagają, aby do każdego certyfikatu miały zastosowanie rozszerzone ograniczenia użycia klucza, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.

Wymagania dotyczące hosta wirtualnego

Hosty wirtualne, które skonfigurujesz jako węzły usługi hybrydowego zabezpieczenia danych w klastrze, mają następujące wymagania:

Co najmniej dwa oddzielne hosty (zalecane 3) rozmieszczone w tym samym bezpiecznym centrum danych
Zainstalowano i uruchomiono aplikację VMware ESXi 6.5 (lub nowszą).

Jeśli masz starszą wersję oprogramowania ESXi, musisz ją uaktualnić.
Co najmniej 4 procesory vCPU, 8 GB pamięci głównej, 30 GB miejsca na lokalny dysk twardy na serwer

Wymagania serwera bazy danych

Utwórz nową bazę danych do przechowywania kluczy. Nie należy używać domyślnej bazy danych. Aplikacje HDS, po zainstalowaniu, tworzą schemat bazy danych.

Serwer bazy danych ma dwie opcje. Wymagania dotyczące każdego z nich są następujące:

Tabela 2. Wymagania serwera bazy danych według typu bazy danych
PostgreSQL-a	Serwer Microsoft SQL
PostgreSQL 14, 15 lub 16 jest zainstalowany i uruchomiony.	Zainstalowano oprogramowanie SQL Server 2016, 2017 lub 2019 (Enterprise lub Standard). Program SQL Server 2016 wymaga pakietu Service Pack 2 i aktualizacji skumulowanej 2 lub nowszej.
Co najmniej 8 procesorów vCPU, 16 GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby nie było przekroczone (zalecane 2 TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania miejsca do przechowywania)	Co najmniej 8 procesorów vCPU, 16 GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby nie było przekroczone (zalecane 2 TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania miejsca do przechowywania)

Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:

PostgreSQL-a

Serwer Microsoft SQL

Postgres JDBC sterownik 42.2.5

Sterownik SQL Server JDBC 4.6

Ta wersja sterownika obsługuje funkcję SQL Server Always On (zawsze włączone wystąpienia klastra przełączenia awaryjnego i zawsze włączone grupy dostępności).

Dodatkowe wymagania dotyczące uwierzytelniania w systemie Windows przy użyciu programu Microsoft SQL Server

Jeśli chcesz, aby węzły HDS korzystały z uwierzytelniania w systemie Windows w celu uzyskania dostępu do bazy danych magazynu kluczy na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w środowisku:

Wszystkie węzły HDS, infrastruktura Active Directory i oprogramowanie MS SQL Server muszą być synchronizowane z protokołem NTP.
Konto systemu Windows dostarczane węzłom HDS musi mieć dostęp do odczytu/zapisu do bazy danych.
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozpoznać Twoje centrum dystrybucji kluczy (KDC).
Wystąpienie bazy danych HDS na serwerze Microsoft SQL można zarejestrować jako nazwę główną usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie nazwy głównej usługi dla połączeń Kerberos.

Narzędzie konfiguracyjne usługi HDS, uruchamianie usługi HDS i lokalny serwer KMS muszą korzystać z uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych magazynu kluczy. Używają oni szczegółów z konfiguracji ISO do skonstruowania SPN przy żądaniu dostępu z uwierzytelnianiem Kerberos.

Wymagania dotyczące łączności zewnętrznej

Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:

Aplikacja	Protokół	Port	Kierunek z aplikacji	Miejsce docelowe
Węzły hybrydowego zabezpieczenia danych	TCP	443	Wychodzące HTTPS i WSS	Serwery Webex: .wbx2.com .ciscospark.com Wszyscy prowadzący Common Identity Inne adresy URL wymienione na liście dla hybrydowego zabezpieczenia danych w tabeli Dodatkowe adresy URL dla usług hybrydowych Webex w sekcji Wymagania sieciowe dla usług Webex
Narzędzie konfiguracji usług HDS	TCP	443	Wychodzący HTTPS	*.wbx2.com Wszyscy prowadzący Common Identity hub.docker.com

Węzły usługi hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub zaporą, o ile translacja NAT lub zapora sieciowa zezwalają na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów usługi hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują do celów administracyjnych dostępu do węzłów usługi hybrydowego zabezpieczenia danych na portach TCP 443 i 22.

Adresy URL dla hostów usługi Common Identity (CI) są specyficzne dla regionów. Są to bieżące hosty CI:

Region	Adresy URL hosta wspólnej tożsamości
Ameryka	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Unia Europejska	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Wymagania dotyczące serwera proxy

Oficjalnie obsługujemy następujące rozwiązania proxy, które można zintegrować z węzłami Hybrid Data Security.
- Przezroczysty serwer proxy — Cisco Web Security Appliance (WSA).
- Jawny serwer proxy — Squid.
  
  Serwery proxy Squid, które sprawdzają ruch HTTPS, mogą zakłócać nawiązywanie połączeń WebSocket (wss:). Aby rozwiązać ten problem, zobacz Konfigurowanie serwerów proxy Squid na potrzeby hybrydowego zabezpieczenia danych.
Obsługujemy następujące kombinacje typów uwierzytelniania dla jawnych serwerów proxy:
- Brak uwierzytelniania za pomocą protokołu HTTP lub HTTPS
- Uwierzytelnianie podstawowe za pomocą protokołu HTTP lub HTTPS
- Uwierzytelnianie szyfrowane tylko przy użyciu protokołu HTTPS
W przypadku przezroczystego serwera proxy inspekcji lub jawnego serwera proxy HTTPS musisz mieć kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania w tym przewodniku informają, jak przekazać kopię do magazynów zaufania węzłów hybrid Data Security.
Sieć obsługująca węzły HDS musi być skonfigurowana tak, aby wymuszała kierowanie wychodzącego ruchu TCP na porcie 443 przez serwer proxy.
Serwery proxy, które sprawdzają ruch sieci web, mogą zakłócać połączenia gniazd internetowych. Jeśli ten problem wystąpi, ominięcie (nie inspekcja) ruchu do wbx2.com i ciscospark.com rozwiąże problem.

Spełnij wymagania wstępne dotyczące usługi hybrydowego zabezpieczenia danych

Skorzystaj z tej listy kontrolnej, aby upewnić się, że możesz zainstalować i skonfigurować klaster usługi hybrydowego zabezpieczenia danych.

1	Upewnij się, że Twoja organizacja Webex ma włączoną usługę Pro Pack for Cisco Webex Control Hub, i uzyskaj poświadczenia konta z pełnymi uprawnieniami administratora organizacji. Skontaktuj się z partnerem lub opiekunem klienta Cisco w celu uzyskania pomocy w tym procesie.
2	Wybierz nazwę domeny dla wdrożenia HDS (na przykład `hds.company.com`) i uzyskaj łańcuch certyfikatów zawierający certyfikat X.509, klucz prywatny i certyfikaty pośrednie. Łańcuch certyfikatów musi spełniać wymagania określone w wymaganiach certyfikatu X.509.
3	Przygotuj identycznych wirtualnych prowadzących, które zostaną skonfigurowane jako węzły usługi hybrydowego zabezpieczenia danych w klastrze. Potrzebujesz co najmniej dwóch oddzielnych hostów (zalecane 3) rozmieszczonych w tym samym bezpiecznym centrum danych, które spełniają wymagania określone w wymaganiach dotyczących hosta wirtualnego.
4	Przygotuj serwer bazy danych, który będzie pełnił rolę kluczowego magazynu danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być umieszczony w bezpiecznym centrum danych z wirtualnymi hostami. Tworzenie bazy danych do przechowywania kluczy. (Należy utworzyć tę bazę danych — nie używaj domyślnej bazy danych. Aplikacje HDS, gdy są zainstalowane, tworzą schemat bazy danych). Zbierz szczegóły, których węzły będą używać do komunikacji z serwerem bazy danych: nazwa hosta lub adres IP (hosta) i port nazwa bazy danych (dbname) do przechowywania klucza nazwa użytkownika i hasło użytkownika z wszystkimi uprawnieniami w bazie danych przechowywania kluczy
5	W celu szybkiego odzyskiwania po awarii skonfiguruj środowisko kopii zapasowej w innym centrum danych. Środowisko tworzenia kopii zapasowych jest lustrzane dla środowiska produkcyjnego maszyn wirtualnych i zapasowego serwera bazy danych. Jeśli na przykład w produkcji są 3 maszyny wirtualne z węzłami HDS, środowisko kopii zapasowej powinno zawierać 3 maszyny wirtualne.
6	Skonfiguruj hosta dziennika systemu, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemu (domyślnie jest to UDP 514).
7	Utwórz zasady bezpiecznych kopii zapasowych dla węzłów usługi hybrydowego zabezpieczenia danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec nieodwracalnej utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów usługi hybrydowego zabezpieczenia danych. Ponieważ węzły usługi hybrydowego zabezpieczenia danych przechowują klucze używane do szyfrowania i odszyfrowywania zawartości, niepowodzenie utrzymania operacyjnego wdrożenia spowoduje NIEODWRACALNĄ UTRATĘ tej zawartości. Klienci aplikacji Webex buforują swoje klucze, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się oczywista. O ile nie można zapobiec tymczasowym awariom, można je odzyskać. Jednak całkowita utrata (brak dostępnych kopii zapasowych) bazy danych lub pliku ISO konfiguracji spowoduje, że dane klienta nie będą mogły zostać odzyskane. Oczekuje się, że operatorzy węzłów usługi hybrydowego zabezpieczenia danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowania centrum danych usługi hybrydowego zabezpieczenia danych w przypadku wystąpienia katastrofalnej awarii.
8	Upewnij się, że konfiguracja zapory umożliwia łączność z węzłami usługi hybrydowego zabezpieczenia danych, jak opisano w części Wymagania dotyczące łączności zewnętrznej.
9	Zainstaluj aplikację Docker ( https://www.docker.com) na dowolnym lokalnym komputerze z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bitowy lub Mac OSX Yosemite 10.10.3 lub nowszym) za pomocą przeglądarki internetowej, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080. Wystąpienie usługi Docker umożliwia pobranie i uruchomienie narzędzia konfiguracyjnego HDS, które tworzy informacje o konfiguracji lokalnej dla wszystkich węzłów usługi hybrydowego zabezpieczenia danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące pulpitu Docker . Aby zainstalować i uruchomić narzędzie konfiguracji usługi HDS, komputer lokalny musi mieć łączność opisaną w sekcji Wymagania dotyczące łączności zewnętrznej.
10	Jeśli integrujesz serwer proxy z usługą hybrydowego zabezpieczenia danych, upewnij się, że spełnia wymagania serwera proxy.
11	Jeśli Twoja organizacja korzysta z synchronizacji katalogów, utwórz w usłudze Active Directory grupę o nazwie `HdsTrialGroup` i dodaj użytkowników pilotażowych. Grupa wersji próbnej może zawierać maksymalnie 250 użytkowników. Obiekt `HdsTrialGroup` musi zostać zsynchronizowany z chmurą przed rozpoczęciem okresu próbnego dla organizacji. Aby zsynchronizować obiekt grupy, wybierz go w menu Konfiguracja > Wybór obiektu w łączniku usług katalogowych. (Aby uzyskać szczegółowe instrukcje, zobacz Przewodnik wdrażania Łącznika usług katalogowych Cisco). Twórca obszaru ustawia klawisze dla danego obszaru. Wybierając użytkowników pilota należy pamiętać, że jeśli zdecydujesz się trwale dezaktywować wdrożenie usługi hybrydowego zabezpieczenia danych, wszyscy użytkownicy utracą dostęp do zawartości w obszarach utworzonych przez tych użytkowników. Utrata staje się widoczna, gdy aplikacje użytkowników odświeżą swoje kopie zapasowe treści.

Skonfiguruj klaster usługi hybrydowego zabezpieczenia danych

Przepływ zadań wdrażania hybrydowego zabezpieczenia danych

Przed rozpoczęciem