- Strona główna
- /
- Artykuł
W tym artykuleNowe i zmienione informacje
Data | Zmiany | ||
|---|---|---|---|
20 października 2023 r. |
| ||
07 sierpnia 2023 r. |
| ||
23 maja 2023 r. |
| ||
06 grudnia 2022 r. |
| ||
23 listopada 2022 r. |
| ||
13 października 2021 r. | Docker Desktop musi uruchomić program konfiguracji przed zainstalowaniem węzłów HDS. Zobacz Wymagania Dotyczące Pulpitu Docker. | ||
24 czerwca 2021 r. | Pamiętaj, że możesz ponownie użyć pliku klucza prywatnego i CSR, aby poprosić o inny certyfikat. Aby uzyskać szczegółowe informacje, zobacz Użyj OpenSSL, aby wygenerować plik PKCS12. | ||
| 30 kwietnia 2021 r. | Zmieniono wymaganie VM dla lokalnego miejsca na dysku twardym na 30 GB. Szczegółowe informacje można znaleźć w sekcji Wymagania wirtualnego prowadzącego. | ||
24 lutego 2021 r. | Narzędzie konfiguracji usługi HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie ISO konfiguracji hostów HDS. | ||
2 lutego 2021 r. | HDS może teraz działać bez zamontowanego pliku ISO. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS. | ||
11 stycznia 2021 r. | Dodano informacje o narzędziu do konfiguracji HDS i pełnomocnikach, aby utworzyć ISO konfiguracji dla prowadzących HDS. | ||
13 października 2020 r. | Zaktualizowano Pobierz pliki instalacyjne. | ||
8 października 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP. | ||
14 sierpnia 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła ze zmianami w procesie logowania. | ||
5 sierpnia 2020 r. | Zaktualizowano testowanie wdrażania hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika. Zaktualizowano wymagania hosta wirtualnego , aby usunąć maksymalną liczbę hostów. | ||
16 czerwca 2020 r. | Zaktualizowano Usuwanie węzła pod kątem zmian w interfejsie interfejsu Control Hub. | ||
4 czerwca 2020 r. | Zaktualizowano Tworzenie ISO konfiguracji dla hostów HDS w celu wprowadzenia zmian w ustawieniach zaawansowanych, które można ustawić. | ||
29 maja 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami interfejsu użytkownika i innymi wyjaśnieniami. | ||
5 maja 2020 r. | Zaktualizowano wymagania hosta wirtualnego , aby pokazać nowe wymagania ESXi 6.5. | ||
21 kwietnia 2020 r. | Zaktualizowane wymagania dotyczące łączności zewnętrznej z nowymi hostami CI Americas. | ||
1 kwietnia 2020 r. | Zaktualizowane wymagania dotyczące łączności zewnętrznej z informacjami na temat regionalnych prowadzących CI. | ||
| 20 lutego 2020 r. | Zaktualizowano Utwórz ISO konfiguracji hostów HDS z informacjami na nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu do konfiguracji HDS. | ||
| 4 lutego 2020 r. | Zaktualizowano wymagania serwera proxy. | ||
| 16 grudnia 2019 r. | Wyjaśnione wymagania dotyczące zablokowanego zewnętrznego trybu rozdzielczości DNS do pracy w wymaganiach serwera proxy. | ||
| 19 listopada 2019 r. | Dodano informacje o zablokowanym zewnętrznym trybie rozpoznawania DNS w następujących sekcjach: | ||
8 listopada 2019 r. | Teraz można skonfigurować ustawienia sieciowe węzła podczas wdrażania OVA, a nie później. Zaktualizowano odpowiednio następujące sekcje:
| ||
6 września 2019 r. | Dodano SQL Server Standard do wymagań serwera bazy danych. | ||
| 29 sierpnia 2019 r. | Dodano Configure Squid Proxies for Hybrid Data Security appendix z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu zignorowania ruchu websocket w celu prawidłowej obsługi. | ||
| 20 sierpnia 2019 r. | Dodano i zaktualizowano sekcje, aby objąć obsługę proxy komunikacji węzła hybrydowego bezpieczeństwa danych z chmurą Webex. Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł pomocy Proxy Support for Hybrid Data Security i Webex Video Mesh . | ||
| 13 czerwca 2019 r. | Zaktualizowano próbny do przepływu zadań produkcyjnych z przypomnieniem o synchronizacji HdsTrialGroup obiekt grupowy przed rozpoczęciem próby, jeśli Twoja organizacja korzysta z synchronizacji katalogu. | ||
| 6 marca 2019 r. |
| ||
| 28 lutego 2019 r. |
| ||
| 26 lutego 2019 r. |
| ||
24 stycznia 2019 r. |
| ||
| 5 listopada 2018 r. |
| ||
| 19 października 2018 r. |
| ||
31 lipca 2018 r. |
| ||
| 21 maja 2018 r. | Zmieniona terminologia odzwierciedlająca zmianę marki Cisco Spark:
| ||
| 11 kwietnia 2018 r. |
| ||
| 22 lutego 2018 r. |
| ||
| Luty 15, 2018 |
| ||
| Styczeń 18, 2018 |
| ||
2 listopada 2017 r. |
| ||
18 sierpnia 2017 r. | Pierwsza publikacja |
Przegląd zabezpieczeń danych hybrydowych
Od pierwszego dnia bezpieczeństwo danych było głównym celem projektowania aplikacji Webex. Podstawą tych zabezpieczeń jest kompleksowe szyfrowanie zawartości, włączane przez klientów aplikacji Webex , którzy wchodzą w interakcję z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.
Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS w obszarze bezpieczeństwa firmy Cisco. Hybrid Data Security przenosi usługę KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie ma kluczy do zaszyfrowanej zawartości.
Architektura domeny zabezpieczeń
Architektura chmury Webex oddziela różne rodzaje usług od osobnych domen lub domen zaufania, jak przedstawiono poniżej.
Aby lepiej zrozumieć hybrydowe zabezpieczenia danych, spójrzmy najpierw na ten przypadek czystej chmury, w którym firma Cisco zapewnia wszystkie funkcje w swoich domenach w chmurze. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od domeny bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od domeny, w której ostatecznie przechowywana jest zaszyfrowana zawartość, w centrum danych C.
Na tym schemacie klient to aplikacja Webex działająca na laptopie użytkownika i uwierzytelniona za pomocą usługi tożsamości. Gdy użytkownik komponuje wiadomość do wysłania do obszaru, wykonywane są następujące czynności:
Klient ustanawia bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie prosi o klucz do szyfrowania wiadomości. Bezpieczne połączenie korzysta z ECDH, a KMS szyfruje klucz przy użyciu klucza głównego AES-256.
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła go do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniach zawartości.
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w domenie przechowywania.
Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze, które składają się na usługę Webex (w tym pamięć masowa tożsamości i zawartości), pozostają w domenach Cisco.
Współpraca z innymi organizacjami
Użytkownicy w organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników prosi o klucz do obszaru należącego do organizacji (ponieważ został on utworzony przez jednego z użytkowników), KMS wysyła klucz do klienta za pośrednictwem kanału zabezpieczonego ECDH. Jednak gdy inna organizacja jest właścicielem klucza dla obszaru, system KMS kieruje żądanie do chmury Webex przez osobny kanał ECDH, aby uzyskać klucz z odpowiedniego systemu KMS, a następnie zwraca go do użytkownika na oryginalnym kanale.
Usługa KMS działająca na Org A weryfikuje połączenia z KMSs w innych organizacjach za pomocą certyfikatów PKI x.509. Aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użytku z wdrożeniem hybrydowego zabezpieczenia danych, zobacz Prepare Your Environment (Przygotowanie środowiska).
Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych
Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klienta i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.
Aby wdrożyć hybrydowe zabezpieczenia danych, należy zapewnić:
Bezpieczne centrum danych w kraju, który jest obsługiwaną lokalizacją dla planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w punkcie Przygotowanie środowiska.
Kompletna utrata konfiguracji ISO utworzonej dla hybrydowego zabezpieczenia danych lub dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:
Zarządzanie kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.
Przygotuj się do szybkiego odzyskiwania awaryjnego w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub awaria centrum danych.
 | Nie ma mechanizmu przenoszenia kluczy z powrotem do chmury po wdrożeniu HDS. |
Proces konfiguracji na wysokim poziomie
Niniejszy dokument obejmuje konfigurację i zarządzanie wdrożeniem hybrydowego zabezpieczenia danych:
Skonfiguruj hybrydowe zabezpieczenia danych— obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, testowanie wdrożenia z podzbiorem użytkowników w trybie próbnym oraz, po zakończeniu testów, przejście do produkcji. Spowoduje to konwertowanie całej organizacji do używania klastra Hybrid Data Security dla funkcji zabezpieczeń.
Etapy konfiguracji, prób i produkcji zostały szczegółowo omówione w kolejnych trzech rozdziałach.
Utrzymuj wdrożenie hybrydowego zabezpieczenia danych— chmura Webex automatycznie zapewnia trwające uaktualnienia. Dział IT może zapewnić wsparcie poziomu pierwszego dla tego wdrożenia i zaangażować wsparcie Cisco w razie potrzeby. Możesz korzystać z powiadomień na ekranie i konfigurować alerty oparte na wiadomościach e-mail w Control Hub.
Zrozumienie wspólnych alertów, kroków rozwiązywania problemów i znanych problemów— w przypadku wystąpienia problemów z wdrożeniem lub użyciem hybrydowego zabezpieczenia danych ostatni rozdział niniejszego przewodnika i dodatku do Znanych problemów może pomóc w określeniu i rozwiązaniu problemu.
Hybrydowy model wdrażania zabezpieczeń danych
W centrum danych przedsiębiorstwa wdrażasz hybrydowe zabezpieczenia danych jako jeden klaster węzłów na osobnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych websocketów i bezpiecznego protokołu HTTP.
Podczas procesu instalacji dostarczamy Ci plik OVA do skonfigurowania urządzenia wirtualnego na dostarczonych maszynach wirtualnych. Narzędzie konfiguracyjne HDS służy do tworzenia niestandardowego pliku ISO konfiguracji klastra, który jest montowany w każdym węźle. Klaster Hybrid Data Security korzysta z dostarczonego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu konfiguracji HDS).
Minimalna liczba węzłów w klastrze to dwa. Zalecamy co najmniej trzy, a możesz mieć do pięciu. Posiadanie wielu węzłów zapewnia, że usługa nie zostanie przerwana podczas uaktualniania oprogramowania lub innej czynności konserwacyjnej w węźle. (Chmura Webex aktualizuje tylko jeden węzeł naraz).
Wszystkie węzły w klastrze mają dostęp do tego samego rekordu danych klucza i aktywności dziennika na tym samym serwerze dziennika systemowego. Same węzły są bezpaństwowe i obsługują żądania kluczy w sposób okrągły, zgodnie z zaleceniami chmury.
Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby usunąć pojedynczy węzeł z usługi, można go wyrejestrować, a następnie ponownie wyrejestrować w razie potrzeby.
Obsługujemy tylko jeden klaster na organizację.
Tryb próbny zabezpieczeń danych hybrydowych
Po skonfigurowaniu wdrożenia hybrydowego zabezpieczenia danych spróbuj go najpierw z zestawem użytkowników pilotażowych. W okresie próbnym użytkownicy ci wykorzystują lokalną domenę hybrydowego zabezpieczenia danych do szyfrowania kluczy i innych usług domeny zabezpieczeń. Inni użytkownicy nadal korzystają ze sfery zabezpieczeń w chmurze.
Jeśli zdecydujesz się nie kontynuować wdrażania podczas wersji próbnej i dezaktywować usługi, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi współpracowali, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zostanie wyświetlony komunikat „Nie można odszyfrować tej wiadomości” w aplikacji Webex.
Jeśli jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych i jesteś gotowy do rozszerzenia hybrydowego zabezpieczenia danych na wszystkich użytkowników, przenosisz wdrożenie do produkcji. Użytkownicy pilotażowi nadal mają dostęp do kluczy, które były używane podczas próby. Nie można jednak poruszać się w tę i z powrotem między trybem produkcji a oryginalnym testem. Jeśli musisz dezaktywować usługę, na przykład w celu przeprowadzenia odzyskiwania po awarii, po ponownej aktywacji musisz rozpocząć nową wersję próbną i skonfigurować zestaw użytkowników pilotażowych dla nowej wersji próbnej przed powrotem do trybu produkcji. To, czy użytkownicy zachowują w tym momencie dostęp do danych, zależy od tego, czy udało się zachować kopie zapasowe kluczowego magazynu danych i pliku konfiguracyjnego ISO dla węzłów hybrydowych zabezpieczeń danych w klastrze.
Standby Data Center for Disaster Recovery
Podczas wdrażania skonfigurowano bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie anulować wdrożenie do centrum danych w trybie gotowości.
Bazy danych aktywnych i standby centrów danych są ze sobą zsynchronizowane, co zminimalizuje czas potrzebny na wykonanie przełącznika awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają rejestrację węzłów w organizacji, ale nie obsługują ruchu. Stąd węzły standby data center zawsze pozostają aktualne z najnowszą wersją oprogramowania HDS.
| Aktywne węzły hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych. |
Konfiguracja Standby Data Center do odzyskiwania awarii
Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:
Przed rozpoczęciem
Centrum danych w stanie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych oraz zapasową bazę danych PostgreSQL lub Microsoft SQL Server. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne (zobacz Standby Data Center for Disaster Recovery , aby zapoznać się z tym modelem failover).
Upewnij się, że synchronizacja bazy danych jest włączona między bazą danych aktywnych i pasywnych węzłów klastra.
| 1 | Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.
| ||
| 2 | Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
| 3 | Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwał żadnego ruchu.
| ||
| 4 | Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
| 5 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
| 6 | W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
| 7 | Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
| 8 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
| 9 | Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
Po skonfigurowaniu passiveMode w pliku ISO i zapisanie go można utworzyć inną kopię pliku ISO bez passiveMode konfigurację i zapisanie w bezpiecznym miejscu. Ta kopia pliku ISO bez passiveMode skonfigurowany może pomóc w szybkim procesie awaryjnym podczas odzyskiwania po awarii. Aby zapoznać się ze szczegółową procedurą przywracania awaryjnego za pomocą Standby Data Center (Centrum danych gotowości).
Wsparcie proxy
Hybrydowe zabezpieczenia danych obsługują jednoznaczne, przejrzyste inspekcje i nieinspekcje serwerów proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby można było zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy można używać w węzłach do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.
Węzły hybrydowego zabezpieczenia danych obsługują następujące opcje serwera proxy:
Brak serwera proxy — ustawienie domyślne, jeśli w celu zintegrowania serwera proxy nie jest używane do konfiguracji węzła HDS Trust Store & Proxy. Nie jest wymagana aktualizacja certyfikatu.
Przejrzysty serwer proxy niekontrolowany — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z serwerem proxy niekontrolowanym. Nie jest wymagana aktualizacja certyfikatu.
Przejrzyste tunelowanie lub sprawdzanie serwera proxy — węzły nie są skonfigurowane do korzystania z określonego adresu serwera proxy. W węzłach nie są konieczne zmiany konfiguracji protokołu HTTP ani protokołu HTTPS. Węzły potrzebują jednak certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).
Wyraźny serwer proxy — w przypadku wyraźnego serwera proxy należy wskazać węzły HDS, których serwer proxy i schemat uwierzytelniania należy używać. Aby skonfigurować wyraźny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.
Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.
Protokół proxy— w zależności od tego, co obsługuje serwer proxy, wybierz między następującymi protokołami:
HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
HTTPS — udostępnia kanał do serwera. Klient odbiera i weryfikuje certyfikat serwera.
Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:
Brak — dalsze uwierzytelnianie nie jest wymagane.
Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.
Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.
Dostępne tylko po wybraniu protokołu HTTPS jako protokołu proxy.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Przykład węzłów hybrydowych zabezpieczeń danych i serwera proxy
Na tym wykresie przedstawiono przykładowe połączenie między hybrydowym zabezpieczeniem danych, siecią i serwerem proxy. W przypadku opcji przejrzystej inspekcji i jawnej inspekcji serwera proxy HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach hybrydowych zabezpieczeń danych.
Zablokowany zewnętrzny tryb rozpoznawania DNS (wyraźne konfiguracje serwera proxy)
Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. W przypadku wdrożeń z wyraźnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzną rozdzielczość DNS dla klientów wewnętrznych, jeśli węzeł nie może wyszukiwać serwerów DNS, automatycznie przechodzi on w tryb Zablokowanej zewnętrznej rozdzielczości DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.
Wymagania dotyczące hybrydowego bezpieczeństwa danych
Wymagania licencyjne Cisco Webex
Aby wdrożyć hybrydowe zabezpieczenia danych:
Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub (patrz https://www.cisco.com/go/pro-pack).
Docker Wymagania pulpitowe
Przed zainstalowaniem węzłów HDS potrzebny jest Docker Desktop do uruchomienia programu konfiguracji. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis w blogu platformy Docker, „ Docker aktualizuje i rozszerza subskrypcje naszych produktów ”.
Wymagania dotyczące certyfikatu X.509
Łańcuch certyfikatów musi spełniać następujące wymagania:
Wymaganie | Szczegóły |
|---|---|
| Domyślnie ufamy urzędnikom na liście Mozilla (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs. |
| CN nie musi być osiągalne ani hostem na żywo. Zalecamy używanie nazwy odzwierciedlającej np. organizację, CN nie może zawierać * (wildcard). CN służy do weryfikacji węzłów hybrydowych zabezpieczeń danych dla klientów aplikacji Webex. Wszystkie węzły hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. System KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie obsługujemy zmiany nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych. |
| Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu weryfikacji połączeń z KMSs innych organizacji. |
| Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Po uruchomieniu narzędzia konfiguracji usługi HDS należy wprowadzić hasło. |
Oprogramowanie KMS nie wymusza użycia klucza ani nie nakłada dodatkowych ograniczeń w jego używaniu. Niektóre organy certyfikatów wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia użycia kluczy, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.
Wymagania dotyczące wirtualnego prowadzącego
Wirtualne hosty skonfigurowane jako węzły hybrydowego zabezpieczenia danych w klastrze mają następujące wymagania:
Co najmniej dwa osobne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych
Oprogramowanie VMware ESXi 6.5 (lub nowsze) zostało zainstalowane i uruchomione.
Jeśli masz wcześniejszą wersję ESXi, musisz ją uaktualnić.
Minimum 4 procesory vCPUs, 8-GB pamięci głównej, 30-GB lokalnego miejsca na dysk twardy na serwer
Wymagania serwera bazy danych
| Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych. |
Istnieją dwie opcje dla serwera bazy danych. Wymagania dla każdego z nich są następujące:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) | Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) |
Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC kierowca 42.2.5 | SQL Server JDBC sterownik 4.6 Ta wersja sterownika obsługuje program SQL Server Always On (Always On Failover Cluster Instances oraz Always On availability groups). |
Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w usłudze Microsoft SQL Server
Jeśli chcesz, aby węzły HDS używały uwierzytelniania w systemie Windows, aby uzyskać dostęp do bazy danych keystore na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w swoim środowisku:
Węzły HDS, infrastruktura Active Directory i MS SQL Server muszą być synchronizowane z NTP.
Konto systemu Windows dla węzłów HDS musi mieć dostęp do bazy danych do odczytu/zapisu.
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozwiązać klucz centrum dystrybucji (KDC).
Wystąpienie bazy danych HDS można zarejestrować na serwerze Microsoft SQL Server jako główną nazwę usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.
Narzędzie do konfigurowania HDS, uruchamianie HDS i lokalne KMS muszą używać uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych keystore. Używają szczegółów z konfiguracji ISO do budowy SPN podczas żądania dostępu za pomocą uwierzytelniania Kerberos.
Wymagania dotyczące połączeń zewnętrznych
Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:
Aplikacja | Protokół | Port | Polecenie z aplikacji | Miejsce docelowe |
|---|---|---|---|---|
Węzły hybrydowego zabezpieczenia danych | TCP | 443 | Zewnętrzne HTTPS i WSS |
|
Narzędzie do konfigurowania HDS | TCP | 443 | Zewnętrzny protokół HTTPS |
|
| Węzły hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub za zaporą, o ile NAT lub zapora zezwala na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują dostępu do węzłów hybrydowych zabezpieczeń danych w portach TCP 443 i 22 do celów administracyjnych. |
Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Są to bieżące hosty CI:
Region | Wspólne adresy URL prowadzącego tożsamości |
|---|---|
Ameryka |
|
Unia Europejska |
|
Kanada |
|
Wymagania serwera proxy
Oficjalnie obsługujemy następujące rozwiązania proxy, które mogą integrować się z węzłami hybrydowego zabezpieczenia danych.
Przejrzysty serwer proxy — Cisco Web Security Appliance (WSA).
Wyraźny serwer proxy — Squid.
Proxies Squid, które sprawdzają ruch HTTPS może kolidować z ustanowieniem websocket (wss:) połączeń. Aby rozwiązać ten problem, zobacz Configure Squid Proxies for Hybrid Data Security.
Obsługujemy następujące kombinacje typów uwierzytelniania dla serwerów proxy:
Brak uwierzytelniania przy użyciu protokołu HTTP lub HTTPS
Uwierzytelnianie podstawowe przy użyciu protokołu HTTP lub HTTPS
Uwierzytelnianie przy użyciu protokołu HTTPS
W przypadku przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS należy posiadać kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania zawarte w tym przewodniku informują o sposobie przesłania kopii do sklepów zaufania węzłów hybrydowych zabezpieczeń danych.
Sieć hostująca węzły HDS musi być skonfigurowana tak, aby wymuszać wychodzący ruch TCP na porcie 443 na trasę przez serwer proxy.
Serwery proxy, które kontrolują ruch sieciowy, mogą zakłócać połączenia z gniazdem internetowym. Jeśli wystąpi ten problem, omijając (nie kontrolując) ruch do
wbx2.comorazciscospark.comrozwiąże problem.
Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych
| 1 | Upewnij się, że Twoja organizacja Webex jest włączona dla pakietu Pro Pack dla Cisco Webex Control Hub i uzyskaj poświadczenia konta z pełnymi prawami administratora organizacji. Aby uzyskać pomoc w tym procesie, skontaktuj się z partnerem firmy Cisco lub menedżerem konta. | ||
| 2 | Wybierz nazwę domeny dla wdrożenia HDS (na przykład | ||
| 3 | Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły hybrydowego zabezpieczenia danych w klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych, które spełniają wymagania w Wymagania wirtualnego hosta. | ||
| 4 | Przygotuj serwer bazy danych, który będzie działał jako kluczowy magazyn danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być zestawiony w bezpiecznym centrum danych z wirtualnymi hostami. | ||
| 5 | W celu szybkiego odzyskiwania danych po awarii należy skonfigurować środowisko tworzenia kopii zapasowych w innym centrum danych. Środowisko tworzenia kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i zapasowego serwera bazy danych. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne. | ||
| 6 | Skonfiguruj hosta dziennika systemowego, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemowego (domyślnie jest to UDP 514). | ||
| 7 | Utwórz bezpieczne zasady tworzenia kopii zapasowych węzłów hybrydowych zabezpieczeń danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec niemożliwej do odzyskania utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów hybrydowych zabezpieczeń danych.
Klienci aplikacji Webex przechowują klucze w pamięci podręcznej, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się widoczna. Chociaż tymczasowe przerwy są niemożliwe do zapobieżenia, są one do odzyskania. Jednak całkowita utrata (brak kopii zapasowych) bazy danych lub pliku konfiguracyjnego ISO spowoduje niemożliwy do odzyskania dane klienta. Oczekuje się, że operatorzy węzłów hybrydowego bezpieczeństwa danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowy centrum danych hybrydowego bezpieczeństwa danych w przypadku wystąpienia katastrofalnej awarii. | ||
| 8 | Upewnij się, że konfiguracja zapory umożliwia dostęp do łączności w węzłach hybrydowych zabezpieczeń danych, jak opisano w Zewnętrznych wymogach dotyczących łączności. | ||
| 9 | Zainstaluj Docker ( https://www.docker.com) na każdej maszynie lokalnej z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080. Za pomocą wystąpienia Docker można pobrać i uruchomić narzędzie konfiguracji HDS, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów hybrydowych zabezpieczeń danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania Dotyczące Pulpitu Dockera. Aby zainstalować i uruchomić narzędzie do konfiguracji HDS, lokalna maszyna musi mieć łączność opisaną w Zewnętrznych wymaganiach dotyczących łączności. | ||
| 10 | Jeśli integrujesz serwer proxy z hybrydowymi zabezpieczeniami danych, upewnij się, że spełnia on wymagania serwera proxy. | ||
| 11 | Jeśli Twoja organizacja używa synchronizacji katalogu, utwórz grupę w usłudze Active Directory o nazwie
|
Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych
Przed rozpoczęciem
| 1 |
Pobierz plik OVA do lokalnego komputera, aby później go użyć. | ||
| 2 | Tworzenie ISO konfiguracji dla prowadzących HDS Za pomocą narzędzia konfiguracyjnego HDS można utworzyć plik konfiguracyjny ISO dla węzłów hybrydowych zabezpieczeń danych. | ||
| 3 |
Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe.
| ||
| 4 | Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych Zaloguj się na konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA. | ||
| 5 | Prześlij i zamontuj ISO konfiguracji HDS Skonfiguruj VM z pliku konfiguracyjnego ISO utworzonego za pomocą narzędzia do konfiguracji HDS. | ||
| 6 | Konfigurowanie węzła HDS dla integracji serwera proxy Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, którego użyjesz dla węzła, i w razie potrzeby dodaj certyfikat serwera proxy do sklepu zaufania. | ||
| 7 | Zarejestruj pierwszy węzeł w klastrze Zarejestruj maszynę wirtualną za pomocą chmury Cisco Webex jako węzeł hybrydowego zabezpieczenia danych. | ||
| 8 | Tworzenie i rejestrowanie większej liczby węzłów Zakończ konfigurację klastra. | ||
| 9 | Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział) Do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
Pobierz pliki instalacyjne
| 1 | Zaloguj się do https://admin.webex.com, a następnie kliknij opcję Usługi. | ||||
| 2 | W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych, a następnie kliknij przycisk Skonfiguruj. Jeśli karta jest wyłączona lub jej nie widzisz, skontaktuj się z zespołem ds. kont lub organizacją partnerską. Podaj im numer konta i poproś o włączenie organizacji Hybrid Data Security. Aby znaleźć numer konta, kliknij bieg w prawym górnym rogu obok nazwy organizacji.
| ||||
| 3 | Wybierz Nie , aby wskazać, że węzeł nie został jeszcze skonfigurowany, a następnie kliknij przycisk Dalej. Plik OVA automatycznie zaczyna się pobierać. Zapisz plik w lokalizacji na komputerze.
| ||||
| 4 | Opcjonalnie kliknij Open Deployment Guide (Otwórz przewodnik wdrażania), aby sprawdzić, czy dostępna jest późniejsza wersja tego przewodnika. |
Tworzenie ISO konfiguracji dla prowadzących HDS
Proces konfiguracji hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie należy użyć ISO do skonfigurowania hosta hybrydowego bezpieczeństwa danych.
Przed rozpoczęciem
Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas podnoszenia kontenera Docker w kroku 5. W tej tabeli podano kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTSerwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTSerwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTSerwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTWygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Potrzebna jest najnowsza kopia tego pliku, gdy wprowadzasz zmiany w konfiguracji, takie jak:
Poświadczenia bazy danych
Aktualizacje certyfikatów
Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrowanie połączeń z bazą danych, skonfiguruj wdrożenie programu PostgreSQL lub SQL Server dla TLS.
| 1 | W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: W środowiskach FedRAMP:
| ||||||||||||
| 2 | Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: | ||||||||||||
| 3 | Po wyświetleniu monitu o hasło wprowadź ten skrót: | ||||||||||||
| 4 | Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: W środowiskach FedRAMP: | ||||||||||||
| 5 | Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:
Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”. | ||||||||||||
| 6 |
Użyj przeglądarki internetowej, aby przejść do hosta lokalizacji, Narzędzie używa tego pierwszego wpisu nazwy użytkownika, aby ustawić odpowiednie środowisko dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie. | ||||||||||||
| 7 | Po wyświetleniu monitu wprowadź poświadczenia logowania administratora klienta Control Hub, a następnie kliknij przycisk Zaloguj się , aby zezwolić na dostęp do wymaganych usług Hybrid Data Security. | ||||||||||||
| 8 | Na stronie Przegląd narzędzia konfiguracyjnego kliknij Rozpocznij. | ||||||||||||
| 9 | Na stronie ISO Import dostępne są następujące opcje:
| ||||||||||||
| 10 | Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatów X.509.
| ||||||||||||
| 11 | Wprowadź adres bazy danych i konto HDS, aby uzyskać dostęp do klucza danych: | ||||||||||||
| 12 | Wybierz tryb połączenia z bazą danych TLS:
Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracji HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie sprawdza również osobę podpisującą certyfikat i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w połączeniach węzły HDS mogą być w stanie nawiązać połączenie TLS, nawet jeśli maszyna narzędziowa HDS Setup Tool nie jest w stanie go przetestować). | ||||||||||||
| 13 | Na stronie Dzienniki systemu skonfiguruj serwer Syslogd: | ||||||||||||
| 14 | (Opcjonalnie) W ustawieniach zaawansowanych można zmienić wartość domyślną niektórych parametrów połączenia z bazą danych. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić: | ||||||||||||
| 15 | Kliknij przycisk Kontynuuj na ekranie Resetuj hasło konta usługi . Hasła konta serwisowego mają okres dziewięciu miesięcy. Użyj tego ekranu, gdy hasła zbliżają się do wygaśnięcia lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO. | ||||||||||||
| 16 | Kliknij opcję Pobierz plik ISO. Zapisz plik w lokalizacji, którą łatwo znaleźć. | ||||||||||||
| 17 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||||||||||||
| 18 | Aby zamknąć narzędzie Setup, wpisz: |
Co zrobić dalej
Kopia zapasowa pliku ISO konfiguracji. Musisz utworzyć więcej węzłów do odzyskiwania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Odzyskiwanie kluczy z bazy danych PostgreSQL lub Microsoft SQL Server nie jest możliwe.
| Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz. |
Instalowanie OVA hosta HDS
| 1 | Aby zalogować się do wirtualnego hosta ESXi, użyj klienta VMware vSphere na komputerze. | ||||||
| 2 | Wybierz Plik > Wdrożenie szablonu OVF. | ||||||
| 3 | W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij Następny. | ||||||
| 4 | Na ekranie Wybierz nazwę i folder strona, wprowadź Nazwa maszyny wirtualnej dla węzła (na przykład „HDS_Node_1”) wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Następny. | ||||||
| 5 | Na ekranie Wybierz zasób obliczeniowy strona, wybierz docelowy zasób obliczeniowy, a następnie kliknij Następny. Trwa kontrola walidacji. Po jego zakończeniu pojawiają się szczegóły szablonu. | ||||||
| 6 | Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej. | ||||||
| 7 | Jeśli zostaniesz poproszony o wybranie konfiguracji zasobów na stronie Konfiguracja strona, kliknij 4 CPU a następnie kliknij Następny. | ||||||
| 8 | Na ekranie Wybierz miejsce strona, kliknij Następny aby zaakceptować domyślny format dysku i zasady przechowywania VM. | ||||||
| 9 | Na ekranie Wybierz sieci na stronie wybierz opcję sieci z listy pozycji, aby zapewnić żądaną łączność z maszyną wirtualną. | ||||||
| 10 | Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieci:
Jeśli jest to preferowane, można pominąć konfigurację ustawień sieci i wykonać czynności opisane w punkcie Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych w celu skonfigurowania ustawień z konsoli węzła.
| ||||||
| 11 | Kliknij prawym przyciskiem myszy węzeł VM, a następnie wybierz . Oprogramowanie Hybrid Data Security jest instalowane jako gość w hostu VM. Teraz możesz zalogować się na konsoli i skonfigurować węzeł. Wskazówki dotyczące rozwiązywania problemów Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzła. Podczas pierwszego uruchamiania na konsoli pojawi się komunikat zapory mostowej, podczas którego nie można się zalogować. |
Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych
Użyj tej procedury, aby po raz pierwszy zalogować się na konsoli VM węzła hybrydowego zabezpieczenia danych i ustawić poświadczenia logowania. Konsola może również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.
| 1 | W kliencie VMware vSphere wybierz węzeł VM Hybrid Data Security i kartę Console . Maszyna zostanie uruchomiona i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie nie jest wyświetlany, naciśnij przycisk Enter.
|
| 2 | Aby się zalogować i zmienić poświadczenia, należy użyć następującego domyślnego loginu i hasła: Ponieważ logujesz się do VM po raz pierwszy, musisz zmienić hasło administratora. |
| 3 | Jeśli ustawienia sieci zostały już skonfigurowane w Instalowaniu OVA hosta usługi HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację. |
| 4 | Skonfiguruj statyczną konfigurację z adresem IP, maską, bramą i informacjami DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany. |
| 5 | (Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne do dopasowania do zasad sieci. Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509. |
| 6 | Zapisz konfigurację sieci i uruchom ponownie VM, aby zmiany weszły w życie. |
Prześlij i zamontuj ISO konfiguracji HDS
Przed rozpoczęciem
Ponieważ plik ISO zawiera klucz główny, powinien on być narażony tylko na „potrzebę wiedzy”, aby uzyskać dostęp do hybrydowych maszyn wirtualnych ds. bezpieczeństwa danych i wszystkich administratorów, którzy mogą wymagać wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mogą uzyskać dostęp do bazy danych.
| 1 | Prześlij plik ISO z komputera: |
| 2 | Montaż pliku ISO: |
Co zrobić dalej
Jeśli polityka IT wymaga, możesz opcjonalnie odmontować plik ISO po tym, jak wszystkie węzły podniosą zmiany w konfiguracji. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.
Konfigurowanie węzła HDS dla integracji serwera proxy
Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z Hybrid Data Security. Po wybraniu przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS można użyć interfejsu węzła do przesłania i zainstalowania certyfikatu głównego. Możesz również sprawdzić połączenie serwera proxy z poziomu interfejsu i rozwiązać ewentualne problemy.
Przed rozpoczęciem
Aby zapoznać się z opcjami obsługiwanego serwera proxy, zobacz Obsługa serwera proxy.
| 1 | Wprowadź adres URL konfiguracji węzła HDS |
| 2 | Przejdź do sklepu Trust Store & Proxy, a następnie wybierz opcję:
Postępuj zgodnie z kolejnymi krokami w celu przejrzystego kontrolowania serwera proxy, bezpośredniego serwera proxy HTTP z uwierzytelnianiem podstawowym lub bezpośredniego serwera proxy HTTPS. |
| 3 | Kliknij opcję Prześlij certyfikat główny lub certyfikat jednostki końcowej, a następnie przejdź do opcji Wybierz certyfikat główny serwera proxy. Certyfikat jest przesyłany, ale jeszcze nie został zainstalowany, ponieważ aby zainstalować certyfikat, należy ponownie uruchomić węzeł. Aby uzyskać więcej szczegółów, kliknij strzałkę chevron po nazwie emitenta certyfikatu lub kliknij opcję Usuń, jeśli popełniłeś błąd i chcesz ponownie przesłać plik. |
| 4 | Kliknij Check Proxy Connection (Sprawdź połączenie proxy), aby sprawdzić połączenie sieciowe między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, pojawi się komunikat o błędzie przedstawiający przyczynę i sposób naprawienia problemu. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS. Warunek ten jest oczekiwany w wielu wyraźnych konfiguracjach serwera proxy. Możesz kontynuować konfigurację, a węzeł będzie działał w trybie Zablokowanej Zewnętrznej Rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj poniższe czynności, a następnie zobacz Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS. |
| 5 | Po przejściu testu połączenia, w przypadku wyraźnego serwera proxy ustawionego tylko na https, włącz przełącznik do Trasowania wszystkich żądań portu 443/444 https z tego węzła za pomocą wyraźnego serwera proxy. To ustawienie wymaga 15 sekund działania. |
| 6 | Kliknij Instaluj Wszystkie Certyfikaty W Sklepie Zaufania (pojawi się dla wyraźnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawi się dla wyraźnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij opcję Instaluj , jeśli jesteś gotowy. Węzeł zostanie uruchomiony ponownie w ciągu kilku minut. |
| 7 | Po ponownym uruchomieniu węzła zaloguj się ponownie w razie potrzeby, a następnie otwórz stronę Przegląd , aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie mają zielony status. Kontrola połączenia z serwerem proxy sprawdza tylko poddomenę webex.com. Jeśli występują problemy z łącznością, powszechnym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy. |
Zarejestruj pierwszy węzeł w klastrze
Po zarejestrowaniu pierwszego węzła utwórz klaster, do którego jest przypisany węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia zwolnień.
Przed rozpoczęciem
Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.
| 1 | Zaloguj się w https://admin.webex.com. |
| 2 | W menu po lewej stronie ekranu wybierz opcję Usługi. |
| 3 | W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij przycisk Skonfiguruj. Zostanie wyświetlona strona węzła Zarejestruj hybrydowe zabezpieczenia danych.
|
| 4 | Wybierz Tak, aby wskazać, że węzeł został skonfigurowany i chcesz go zarejestrować, a następnie kliknij przycisk Dalej. |
| 5 | W pierwszym polu wprowadź nazwę klastra, do którego chcesz przypisać węzeł hybrydowego zabezpieczenia danych. Zalecamy nazwanie klastra na podstawie lokalizacji węzłów klastra. Przykłady: "San Francisco", "Nowy Jork" czy "Dallas" |
| 6 | W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej. Ten adres IP lub nazwa FQDN powinny być zgodne z adresem IP lub nazwą hosta i domeną używaną podczas konfigurowania hybrydowej maszyny wirtualnej ds. bezpieczeństwa danych. Pojawi się komunikat informujący, że można zarejestrować węzeł w usłudze Webex.
|
| 7 | Kliknij przycisk Przejdź do węzła. |
| 8 | Kliknij przycisk Kontynuuj w komunikacie ostrzegawczym. Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji Webex, aby uzyskać dostęp do węzła.
|
| 9 | Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
|
| 10 | Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub. Na stronie Hybrid Data Security jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.
|
Tworzenie i rejestrowanie większej liczby węzłów
| W tym czasie zapasowe maszyny wirtualne utworzone w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych są hostami gotowymi, które są używane tylko w przypadku odzyskiwania po awarii; do tego czasu nie są rejestrowane w systemie. Aby uzyskać szczegółowe informacje, patrz Przywracanie systemu po awarii za pomocą Standby Data Center. |
Przed rozpoczęciem
Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.
| 1 | Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Instalacji OVA hosta HDS. |
| 2 | Skonfiguruj konfigurację początkową na nowej maszynie wirtualnej, powtarzając kroki w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych. |
| 3 | W nowej maszynie wirtualnej wykonaj ponownie czynności opisane w polu Prześlij i zamontuj ISO konfiguracji HDS. |
| 4 | Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w Konfigurowaniu węzła HDS dla integracji serwera proxy zgodnie z potrzebami nowego węzła. |
| 5 | Zarejestruj węzeł. Twój węzeł jest zarejestrowany. Należy pamiętać, że do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie jest jeszcze aktywowana.
|
Co zrobić dalej
Przepływ próby do zadania produkcyjnego
Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.
Przed rozpoczęciem
| 1 | Jeśli dotyczy, zsynchronizuj Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać |
| 2 |
Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
| 3 | Przetestuj wdrożenie hybrydowego zabezpieczenia danych Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych. |
| 4 | Monitorowanie stanu hybrydowego bezpieczeństwa danych Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów. |
| 5 | |
| 6 | Zakończ fazę próbną, wykonując jedną z następujących czynności: |
Aktywuj wersję próbną
Przed rozpoczęciem
Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby dla organizacji. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.
| 1 | Zaloguj się do https://admin.webex.com, a następnie wybierz opcję Usługi. |
| 2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
| 3 | W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną. Stan usługi zmienia się w tryb próbny.
|
| 4 | Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług. (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, |
Przetestuj wdrożenie hybrydowego zabezpieczenia danych
Przed rozpoczęciem
Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.
Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.
| 1 | Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.
| ||
| 2 | Wysyłaj wiadomości do nowego obszaru. | ||
| 3 | Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych. |
Monitorowanie stanu hybrydowego bezpieczeństwa danych
| 1 | W Control Hub wybierz Usługi z menu po lewej stronie ekranu. |
| 2 | W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij Ustawienia. Zostanie wyświetlona strona Ustawienia zabezpieczeń danych hybrydowych.
|
| 3 | W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij przycisk Enter. |
Dodawanie lub usuwanie użytkowników z wersji próbnej
Jeśli usuniesz użytkownika z wersji próbnej, klient poprosi go o utworzenie kluczy i klawiszy z chmury KMS zamiast Twojego KMS. Jeśli klient potrzebuje klucza przechowywanego w KMS, Cloud KMS pobierze go w imieniu użytkownika.
Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory (zamiast tej procedury) do zarządzania grupą próbną, HdsTrialGroup; można wyświetlać członków grupy w Control Hub, ale nie można ich dodawać ani usuwać.
| 1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
| 2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
| 3 | W sekcji Tryby wersji próbnej w obszarze Stan usługi kliknij przycisk Dodaj użytkowników lub kliknij widok i edytuj , aby usunąć użytkowników z wersji próbnej. |
| 4 | Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania lub kliknij przycisk X identyfikatorem użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij Zapisz . |
Przeniesienie z wersji próbnej do produkcji
| 1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
| 2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
| 3 | W sekcji Stan usługi kliknij opcję Przenieś do produkcji. |
| 4 | Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji. |
Zakończ wersję próbną bez przejścia do produkcji
| 1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
| 2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
| 3 | W sekcji Dezaktywuj kliknij przycisk Dezaktywuj. |
| 4 | Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny. |
Zarządzanie wdrożeniem HDS
Użyj opisanych tutaj zadań do zarządzania wdrożeniem hybrydowego zabezpieczenia danych.
Ustaw harmonogram uaktualniania klastra
Aby ustawić harmonogram uaktualniania:
| 1 | Zaloguj się do Centrum sterowania . |
| 2 | Na stronie Przegląd w obszarze Usługi hybrydowe wybierz opcję Hybrid Data Security. |
| 3 | Na stronie Zasoby zabezpieczeń danych hybrydowych wybierz klaster. |
| 4 | W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra. |
| 5 | Na stronie Ustawienia w obszarze Uaktualnianie wybierz godzinę i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest następna dostępna data i godzina aktualizacji. W razie potrzeby można odroczyć uaktualnienie do następnego dnia, klikając opcję Odłóż. |
Zmień konfigurację węzła
Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.
Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do zarejestrowania klastra.
Aktualizowanie ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.
Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.
Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.
Ponadto, ze względów bezpieczeństwa, Hybrid Data Security używa haseł do kont usługi o dziewięciomiesięcznym okresie ważności. Gdy narzędzie konfiguracji HDS wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO . Gdy hasła organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex , aby zresetować hasło do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj API konta komputera, aby zaktualizować hasło”). Jeśli hasła jeszcze nie wygasły, narzędzie udostępnia dwie opcje:
Miękki reset — Stare i nowe hasło działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
Twardy reset — Stare hasła natychmiast przestają działać.
Jeśli hasła wygasną bez zresetowania, będzie to miało wpływ na usługę HDS i wymaga natychmiastowego twardego resetu i zastąpienia pliku ISO we wszystkich węzłach.
Ta procedura służy do generowania nowego konfiguracyjnego pliku ISO i zastosowania go do klastra.
Przed rozpoczęciem
Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas przywoływania kontenera Docker w 1.e. W tej tabeli podano kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTSerwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTSerwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTSerwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTDo wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO . ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.
| 1 | Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie konfiguracji HDS.
| ||||||
| 2 | Jeśli uruchomiony jest tylko jeden węzeł HDS , utwórz nową maszynę VM węzła Hybrid Data Security i zarejestruj ją przy użyciu nowego konfiguracyjnego pliku ISO . Aby uzyskać bardziej szczegółowe instrukcje, zobacz temat Tworzenie i rejestrowanie większej liczby węzłów. | ||||||
| 3 | W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO . Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła: | ||||||
| 4 | Powtórz krok 3, aby zastąpić konfigurację w każdym pozostałym węźle, na którym działa stara konfiguracja. |
Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS
Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznawać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb Zablokowanej zewnętrznej rozdzielczości DNS.
Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, uruchamiając ponownie test połączenia serwera proxy w każdym węźle.
Przed rozpoczęciem
| 1 | W przeglądarce internetowej otwórz interfejs węzła hybrydowego zabezpieczenia danych (adres IP/konfiguracja, na przykład https://192.0.2.0/setup), wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się. |
| 2 | Przejdź do Przegląd (strona domyślna). Po włączeniu Rozpoznawanie zablokowanego zewnętrznego DNS jest ustawiony na Tak . |
| 3 | Przejdź do strony Trust Store & Proxy. |
| 4 | Kliknij przycisk Sprawdź połączenie z serwerem proxy. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS i pozostanie w tym trybie. W przeciwnym razie po ponownym uruchomieniu węzła i powrocie na stronę Przegląd zablokowana zewnętrzna rozdzielczość DNS powinna być ustawiona na nr. |
Co zrobić dalej
Usuń węzeł
| 1 | Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi i wyłączyć maszynę wirtualną. |
| 2 | Usuń węzeł: |
| 3 | W kliencie vSphere usuń maszynę wirtualną (w lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij polecenie Usuń). Jeśli nie usuniesz VM, pamiętaj o usunięciu pliku ISO konfiguracji. Bez pliku ISO nie można użyć maszyny wirtualnej, aby uzyskać dostęp do danych bezpieczeństwa. |
Odzyskiwanie po awarii za pomocą Standby Data Center
Najbardziej krytyczną usługą oferowaną przez klaster Hybrid Data Security jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji przypisanego do hybrydowego zabezpieczenia danych nowe żądania tworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za przywrócenie kluczy, które został utworzony do wszystkich użytkowników upoważnionych do ich odzyskania, na przykład członków obszaru konwersacji.
Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby utrzymywały się odpowiednie kopie zapasowe. Utrata bazy danych hybrydowych zabezpieczeń danych lub układu ISO konfiguracji stosowanego dla schematu spowoduje NIEZBĘDNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, konieczne są następujące praktyki:
Jeśli awaria spowoduje, że wdrożenie HDS w głównym centrum danych stanie się niedostępne, postępuj zgodnie z tą procedurą, aby ręcznie przełączyć się na standby centrum danych.
| 1 | Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts. | ||
| 2 | Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
| 3 | Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń
| ||
| 4 | Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
| 5 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
| 6 | W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
| 7 | Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
| 8 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
| 9 | Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
(Opcjonalnie) Odmontować ISO Po Konfiguracji HDS
Standardowa konfiguracja HDS działa z zamontowanym ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale zamontowanych. Plik ISO można odmontować po odebraniu nowej konfiguracji przez wszystkie węzły HDS.
Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego ISO lub aktualizacji ISO za pomocą narzędzia konfiguracyjnego należy zamontować zaktualizowany ISO na wszystkich węzłach HDS. Po odebraniu zmian konfiguracji przez wszystkie węzły można ponownie rozmontować ISO za pomocą tej procedury.
Przed rozpoczęciem
Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.
| 1 | Zamknij jeden z węzłów HDS. |
| 2 | W urządzeniu VCenter Server Appliance wybierz węzeł HDS. |
| 3 | Wybierz i usuń zaznaczenie pliku Datastore ISO. |
| 4 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut. |
| 5 | Powtórz kolejno dla każdego węzła HDS. |
Wyświetlanie alertów i rozwiązywania problemów
Wdrożenie hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że wymaga przekroczenia czasu. Jeśli użytkownicy nie mogą skontaktować się z klastrem hybrydowego zabezpieczenia danych, mogą wystąpić następujące objawy:
Nie można utworzyć nowych obszarów (nie można utworzyć nowych kluczy)
Wiadomości i tytuły przestrzeni nie można odszyfrować dla:
Dodano nowych użytkowników do obszaru (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze będą z powodzeniem działać tak długo, jak ich klienci będą mieli pamięć podręczną kluczy szyfrowania
Ważne jest, aby odpowiednio monitorować klaster hybrydowego zabezpieczenia danych i szybko zwracać się do wszystkich alertów, aby uniknąć zakłóceń w obsłudze.
Alerty
Jeśli występuje problem z konfiguracją hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.
Alert | Czynność |
|---|---|
Niepowodzenie dostępu do lokalnej bazy danych. |
Sprawdź, czy występują błędy w bazie danych lub problemy z siecią lokalną. |
Niepowodzenie połączenia z lokalną bazą danych. |
Sprawdź, czy serwer bazy danych jest dostępny, a w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi. |
Niepowodzenie dostępu do usługi w chmurze. |
Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z wymaganiami Zewnętrznej łączności. |
Odnowienie rejestracji usług w chmurze. |
Zrezygnowano z rejestracji na usługi w chmurze. Trwa przedłużenie rejestracji. |
Rejestracja usług w chmurze została odrzucona. |
Rejestracja na usługi w chmurze została zakończona. Usługa jest wyłączona. |
Usługa jeszcze nie została aktywowana. |
Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do produkcji. |
Skonfigurowana domena nie odpowiada certyfikatowi serwera. |
Upewnij się, że certyfikat serwera jest zgodny z skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że certyfikat CN został ostatnio zmieniony i jest teraz inny niż CN, który był używany podczas początkowej konfiguracji. |
Nie można uwierzytelnić usług w chmurze. |
Kontrola poprawności i ewentualnego wygaśnięcia poświadczeń konta usługi. |
Nie można otworzyć lokalnego pliku keystore. |
Sprawdź integralność i dokładność hasła w lokalnym pliku keystore. |
Certyfikat lokalnego serwera jest nieprawidłowy. |
Sprawdź datę ważności certyfikatu serwera i potwierdź, że został on wydany przez zaufany urząd certyfikacji. |
Nie można publikować metryk. |
Sprawdź dostęp sieci lokalnej do zewnętrznych usług w chmurze. |
/media/configdrive/hds katalog nie istnieje. |
Sprawdź konfigurację montażu ISO na wirtualnym hostze. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu na ponownym uruchomieniu i czy został pomyślnie zainstalowany. |
Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych
| 1 | Przejrzyj Control Hub dla wszystkich alertów i naprawić wszystkie znalezione tam elementy. |
| 2 | Przejrzyj wyjście serwera dziennika systemowego pod kątem aktywności z wdrożenia hybrydowego zabezpieczenia danych. |
| 3 | Skontaktuj się z pomocą techniczną Cisco. |
Znane problemy dotyczące hybrydowych zabezpieczeń danych
Jeśli zamkniesz klaster hybrydowego zabezpieczenia danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych keystore, użytkownicy aplikacji Webex nie będą mogli już korzystać ze spacji na liście Osoby utworzonej za pomocą kluczy z KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia ani rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłudze aktywnych kont użytkowników.
Klient z istniejącym połączeniem ECDH z KMS utrzymuje to połączenie przez pewien czas (prawdopodobnie godzinę). Gdy użytkownik staje się członkiem próby hybrydowego zabezpieczenia danych, klient użytkownika nadal korzysta z istniejącego połączenia ECDH do czasu jego wyłączenia. Alternatywnie, użytkownik może wylogować się i wrócić do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w przypadku kluczy szyfrowania.
To samo zachowanie występuje podczas przenoszenia próby do produkcji dla organizacji. Wszyscy użytkownicy spoza wersji próbnej posiadający istniejące połączenia ECDH z poprzednimi służbami bezpieczeństwa danych będą nadal korzystać z tych usług do czasu renegocjacji połączenia ECDH (poprzez limit czasu lub poprzez wylogowanie i powrót).
Użyj protokołu OpenSSL, aby wygenerować plik PKCS12
Przed rozpoczęciem
OpenSSL jest jednym z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do ładowania w narzędziu konfiguracji HDS. Istnieją inne sposoby, aby to zrobić, i nie popieramy ani nie promujemy jednej drogi nad drugą.
Jeśli zdecydujesz się korzystać z OpenSSL, zapewniamy tę procedurę jako wytyczną, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatów X.509. Zrozum te wymagania, zanim przejdziesz dalej.
Zainstaluj OpenSSL w obsługiwanym środowisku. Patrz https://www.openssl.org oprogramowanie i dokumentacja.
Utwórz klucz prywatny.
Procedurę tę należy rozpocząć po otrzymaniu certyfikatu serwera od urzędu certyfikacji.
| 1 | Po otrzymaniu certyfikatu serwera z urzędu certyfikacji zapisz go jako |
| 2 | Wyświetl certyfikat jako tekst i zweryfikuj szczegóły.
|
| 3 | Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie
|
| 4 | Utwórz plik .p12 o przyjaznej nazwie
|
| 5 | Sprawdź szczegóły certyfikatu serwera. |
Co zrobić dalej
Powróć, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych. Korzystasz z hdsnode.p12 plik i ustawione dla niego hasło w Utwórz ISO konfiguracji dla prowadzących HDS.
| Możesz ponownie użyć tych plików, aby poprosić o nowy certyfikat po wygaśnięciu oryginalnego certyfikatu. |
Ruch między węzłami HDS a chmurą
Ruch zbierania metryk wychodzących
Węzły hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dla maks. stosu, stosowanego stosu, obciążenia procesora i liczenia wątków; metryki na wątkach synchronicznych i asynchronicznych; metryki na alertach obejmujące próg połączeń szyfrowania, opóźnienie lub długość kolejki żądań; metryki na zbiorniku danych; oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał poza pasmem (oddzielony od żądania).
Ruch przychodzący
Węzły hybrydowego zabezpieczenia danych otrzymują następujące typy ruchu przychodzącego z chmury Webex:
Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania
Aktualizacja do oprogramowania węzła
Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych
Websocket Nie Można Połączyć Za Pomocą Proxy Squid
Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS, mogą ingerować w tworzenie websocket ( wss:) połączenia, których wymaga Hybrid Data Security. Sekcje te zawierają wskazówki dotyczące konfigurowania różnych wersji Squid do ignorowania wss: ruch w celu prawidłowego funkcjonowania usług.
Squid 4 i 5
Dodaj on_unsupported_protocol dyrektywa do squid.conf:
on_unsupported_protocol tunnel allSquid 3.5.27
Z powodzeniem przetestowaliśmy hybrydowe zabezpieczenia danych, dodając następujące zasady squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizacji chmury Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allNowe i zmienione informacje
Data | Zmiany | ||
|---|---|---|---|
20 października 2023 r. |
| ||
07 sierpnia 2023 r. |
| ||
23 maja 2023 r. |
| ||
06 grudnia 2022 r. |
| ||
23 listopada 2022 r. |
| ||
13 października 2021 r. | Docker Desktop musi uruchomić program konfiguracji przed zainstalowaniem węzłów HDS. Zobacz Wymagania Dotyczące Pulpitu Docker. | ||
24 czerwca 2021 r. | Pamiętaj, że możesz ponownie użyć pliku klucza prywatnego i CSR, aby poprosić o inny certyfikat. Aby uzyskać szczegółowe informacje, zobacz Użyj OpenSSL, aby wygenerować plik PKCS12. | ||
| 30 kwietnia 2021 r. | Zmieniono wymaganie VM dla lokalnego miejsca na dysku twardym na 30 GB. Szczegółowe informacje można znaleźć w sekcji Wymagania wirtualnego prowadzącego. | ||
24 lutego 2021 r. | Narzędzie konfiguracji usługi HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie ISO konfiguracji hostów HDS. | ||
2 lutego 2021 r. | HDS może teraz działać bez zamontowanego pliku ISO. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS. | ||
11 stycznia 2021 r. | Dodano informacje o narzędziu do konfiguracji HDS i pełnomocnikach, aby utworzyć ISO konfiguracji dla prowadzących HDS. | ||
13 października 2020 r. | Zaktualizowano Pobierz pliki instalacyjne. | ||
8 października 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP. | ||
14 sierpnia 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła ze zmianami w procesie logowania. | ||
5 sierpnia 2020 r. | Zaktualizowano testowanie wdrażania hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika. Zaktualizowano wymagania hosta wirtualnego , aby usunąć maksymalną liczbę hostów. | ||
16 czerwca 2020 r. | Zaktualizowano Usuwanie węzła pod kątem zmian w interfejsie interfejsu Control Hub. | ||
4 czerwca 2020 r. | Zaktualizowano Tworzenie ISO konfiguracji dla hostów HDS w celu wprowadzenia zmian w ustawieniach zaawansowanych, które można ustawić. | ||
29 maja 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami interfejsu użytkownika i innymi wyjaśnieniami. | ||
5 maja 2020 r. | Zaktualizowano wymagania hosta wirtualnego , aby pokazać nowe wymagania ESXi 6.5. | ||
21 kwietnia 2020 r. | Zaktualizowane wymagania dotyczące łączności zewnętrznej z nowymi hostami CI Americas. | ||
1 kwietnia 2020 r. | Zaktualizowane wymagania dotyczące łączności zewnętrznej z informacjami na temat regionalnych prowadzących CI. | ||
| 20 lutego 2020 r. | Zaktualizowano Utwórz ISO konfiguracji hostów HDS z informacjami na nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu do konfiguracji HDS. | ||
| 4 lutego 2020 r. | Zaktualizowano wymagania serwera proxy. | ||
| 16 grudnia 2019 r. | Wyjaśnione wymagania dotyczące zablokowanego zewnętrznego trybu rozdzielczości DNS do pracy w wymaganiach serwera proxy. | ||
| 19 listopada 2019 r. | Dodano informacje o zablokowanym zewnętrznym trybie rozpoznawania DNS w następujących sekcjach: | ||
8 listopada 2019 r. | Teraz można skonfigurować ustawienia sieciowe węzła podczas wdrażania OVA, a nie później. Zaktualizowano odpowiednio następujące sekcje:
| ||
6 września 2019 r. | Dodano SQL Server Standard do wymagań serwera bazy danych. | ||
| 29 sierpnia 2019 r. | Dodano Configure Squid Proxies for Hybrid Data Security appendix z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu zignorowania ruchu websocket w celu prawidłowej obsługi. | ||
| 20 sierpnia 2019 r. | Dodano i zaktualizowano sekcje, aby objąć obsługę proxy komunikacji węzła hybrydowego bezpieczeństwa danych z chmurą Webex. Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł pomocy Proxy Support for Hybrid Data Security i Webex Video Mesh . | ||
| 13 czerwca 2019 r. | Zaktualizowano próbny do przepływu zadań produkcyjnych z przypomnieniem o synchronizacji HdsTrialGroup obiekt grupowy przed rozpoczęciem próby, jeśli Twoja organizacja korzysta z synchronizacji katalogu. | ||
| 6 marca 2019 r. |
| ||
| 28 lutego 2019 r. |
| ||
| 26 lutego 2019 r. |
| ||
24 stycznia 2019 r. |
| ||
| 5 listopada 2018 r. |
| ||
| 19 października 2018 r. |
| ||
31 lipca 2018 r. |
| ||
| 21 maja 2018 r. | Zmieniona terminologia odzwierciedlająca zmianę marki Cisco Spark:
| ||
| 11 kwietnia 2018 r. |
| ||
| 22 lutego 2018 r. |
| ||
| Luty 15, 2018 |
| ||
| Styczeń 18, 2018 |
| ||
2 listopada 2017 r. |
| ||
18 sierpnia 2017 r. | Pierwsza publikacja |
Przegląd zabezpieczeń danych hybrydowych
Od pierwszego dnia bezpieczeństwo danych było głównym celem projektowania aplikacji Webex. Podstawą tych zabezpieczeń jest kompleksowe szyfrowanie zawartości, włączane przez klientów aplikacji Webex , którzy wchodzą w interakcję z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.
Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS w obszarze bezpieczeństwa firmy Cisco. Hybrid Data Security przenosi usługę KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie ma kluczy do zaszyfrowanej zawartości.
Architektura domeny zabezpieczeń
Architektura chmury Webex oddziela różne rodzaje usług od osobnych domen lub domen zaufania, jak przedstawiono poniżej.
Aby lepiej zrozumieć hybrydowe zabezpieczenia danych, spójrzmy najpierw na ten przypadek czystej chmury, w którym firma Cisco zapewnia wszystkie funkcje w swoich domenach w chmurze. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od domeny bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od domeny, w której ostatecznie przechowywana jest zaszyfrowana zawartość, w centrum danych C.
Na tym schemacie klient to aplikacja Webex działająca na laptopie użytkownika i uwierzytelniona za pomocą usługi tożsamości. Gdy użytkownik komponuje wiadomość do wysłania do obszaru, wykonywane są następujące czynności:
Klient ustanawia bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie prosi o klucz do szyfrowania wiadomości. Bezpieczne połączenie korzysta z ECDH, a KMS szyfruje klucz przy użyciu klucza głównego AES-256.
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła go do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniach zawartości.
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w domenie przechowywania.
Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze, które składają się na usługę Webex (w tym pamięć masowa tożsamości i zawartości), pozostają w domenach Cisco.
Współpraca z innymi organizacjami
Użytkownicy w organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników prosi o klucz do obszaru należącego do organizacji (ponieważ został on utworzony przez jednego z użytkowników), KMS wysyła klucz do klienta za pośrednictwem kanału zabezpieczonego ECDH. Jednak gdy inna organizacja jest właścicielem klucza dla obszaru, system KMS kieruje żądanie do chmury Webex przez osobny kanał ECDH, aby uzyskać klucz z odpowiedniego systemu KMS, a następnie zwraca go do użytkownika na oryginalnym kanale.
Usługa KMS działająca na Org A weryfikuje połączenia z KMSs w innych organizacjach za pomocą certyfikatów PKI x.509. Aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użytku z wdrożeniem hybrydowego zabezpieczenia danych, zobacz Prepare Your Environment (Przygotowanie środowiska).
Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych
Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klienta i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.
Aby wdrożyć hybrydowe zabezpieczenia danych, należy zapewnić:
Bezpieczne centrum danych w kraju, który jest obsługiwaną lokalizacją dla planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w punkcie Przygotowanie środowiska.
Kompletna utrata konfiguracji ISO utworzonej dla hybrydowego zabezpieczenia danych lub dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:
Zarządzanie kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.
Przygotuj się do szybkiego odzyskiwania awaryjnego w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub awaria centrum danych.
| Nie ma mechanizmu przenoszenia kluczy z powrotem do chmury po wdrożeniu HDS. |
Proces konfiguracji na wysokim poziomie
Niniejszy dokument obejmuje konfigurację i zarządzanie wdrożeniem hybrydowego zabezpieczenia danych:
Skonfiguruj hybrydowe zabezpieczenia danych— obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, testowanie wdrożenia z podzbiorem użytkowników w trybie próbnym oraz, po zakończeniu testów, przejście do produkcji. Spowoduje to konwertowanie całej organizacji do używania klastra Hybrid Data Security dla funkcji zabezpieczeń.
Etapy konfiguracji, prób i produkcji zostały szczegółowo omówione w kolejnych trzech rozdziałach.
Utrzymuj wdrożenie hybrydowego zabezpieczenia danych— chmura Webex automatycznie zapewnia trwające uaktualnienia. Dział IT może zapewnić wsparcie poziomu pierwszego dla tego wdrożenia i zaangażować wsparcie Cisco w razie potrzeby. Możesz korzystać z powiadomień na ekranie i konfigurować alerty oparte na wiadomościach e-mail w Control Hub.
Zrozumienie wspólnych alertów, kroków rozwiązywania problemów i znanych problemów— w przypadku wystąpienia problemów z wdrożeniem lub użyciem hybrydowego zabezpieczenia danych ostatni rozdział niniejszego przewodnika i dodatku do Znanych problemów może pomóc w określeniu i rozwiązaniu problemu.
Hybrydowy model wdrażania zabezpieczeń danych
W centrum danych przedsiębiorstwa wdrażasz hybrydowe zabezpieczenia danych jako jeden klaster węzłów na osobnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych websocketów i bezpiecznego protokołu HTTP.
Podczas procesu instalacji dostarczamy Ci plik OVA do skonfigurowania urządzenia wirtualnego na dostarczonych maszynach wirtualnych. Narzędzie konfiguracyjne HDS służy do tworzenia niestandardowego pliku ISO konfiguracji klastra, który jest montowany w każdym węźle. Klaster Hybrid Data Security korzysta z dostarczonego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu konfiguracji HDS).
Minimalna liczba węzłów w klastrze to dwa. Zalecamy co najmniej trzy, a możesz mieć do pięciu. Posiadanie wielu węzłów zapewnia, że usługa nie zostanie przerwana podczas uaktualniania oprogramowania lub innej czynności konserwacyjnej w węźle. (Chmura Webex aktualizuje tylko jeden węzeł naraz).
Wszystkie węzły w klastrze mają dostęp do tego samego rekordu danych klucza i aktywności dziennika na tym samym serwerze dziennika systemowego. Same węzły są bezpaństwowe i obsługują żądania kluczy w sposób okrągły, zgodnie z zaleceniami chmury.
Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby usunąć pojedynczy węzeł z usługi, można go wyrejestrować, a następnie ponownie wyrejestrować w razie potrzeby.
Obsługujemy tylko jeden klaster na organizację.
Tryb próbny zabezpieczeń danych hybrydowych
Po skonfigurowaniu wdrożenia hybrydowego zabezpieczenia danych spróbuj go najpierw z zestawem użytkowników pilotażowych. W okresie próbnym użytkownicy ci wykorzystują lokalną domenę hybrydowego zabezpieczenia danych do szyfrowania kluczy i innych usług domeny zabezpieczeń. Inni użytkownicy nadal korzystają ze sfery zabezpieczeń w chmurze.
Jeśli zdecydujesz się nie kontynuować wdrażania podczas wersji próbnej i dezaktywować usługi, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi współpracowali, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zostanie wyświetlony komunikat „Nie można odszyfrować tej wiadomości” w aplikacji Webex.
Jeśli jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych i jesteś gotowy do rozszerzenia hybrydowego zabezpieczenia danych na wszystkich użytkowników, przenosisz wdrożenie do produkcji. Użytkownicy pilotażowi nadal mają dostęp do kluczy, które były używane podczas próby. Nie można jednak poruszać się w tę i z powrotem między trybem produkcji a oryginalnym testem. Jeśli musisz dezaktywować usługę, na przykład w celu przeprowadzenia odzyskiwania po awarii, po ponownej aktywacji musisz rozpocząć nową wersję próbną i skonfigurować zestaw użytkowników pilotażowych dla nowej wersji próbnej przed powrotem do trybu produkcji. To, czy użytkownicy zachowują w tym momencie dostęp do danych, zależy od tego, czy udało się zachować kopie zapasowe kluczowego magazynu danych i pliku konfiguracyjnego ISO dla węzłów hybrydowych zabezpieczeń danych w klastrze.
Standby Data Center for Disaster Recovery
Podczas wdrażania skonfigurowano bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie anulować wdrożenie do centrum danych w trybie gotowości.
Bazy danych aktywnych i standby centrów danych są ze sobą zsynchronizowane, co zminimalizuje czas potrzebny na wykonanie przełącznika awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają rejestrację węzłów w organizacji, ale nie obsługują ruchu. Stąd węzły standby data center zawsze pozostają aktualne z najnowszą wersją oprogramowania HDS.
| Aktywne węzły hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych. |
Konfiguracja Standby Data Center do odzyskiwania awarii
Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:
Przed rozpoczęciem
Centrum danych w stanie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych oraz zapasową bazę danych PostgreSQL lub Microsoft SQL Server. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne (zobacz Standby Data Center for Disaster Recovery , aby zapoznać się z tym modelem failover).
Upewnij się, że synchronizacja bazy danych jest włączona między bazą danych aktywnych i pasywnych węzłów klastra.
| 1 | Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.
| ||
| 2 | Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
| 3 | Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwał żadnego ruchu.
| ||
| 4 | Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
| 5 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
| 6 | W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
| 7 | Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
| 8 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
| 9 | Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
Po skonfigurowaniu passiveMode w pliku ISO i zapisanie go można utworzyć inną kopię pliku ISO bez passiveMode konfigurację i zapisanie w bezpiecznym miejscu. Ta kopia pliku ISO bez passiveMode skonfigurowany może pomóc w szybkim procesie awaryjnym podczas odzyskiwania po awarii. Aby zapoznać się ze szczegółową procedurą przywracania awaryjnego za pomocą Standby Data Center (Centrum danych gotowości).
Wsparcie proxy
Hybrydowe zabezpieczenia danych obsługują jednoznaczne, przejrzyste inspekcje i nieinspekcje serwerów proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby można było zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy można używać w węzłach do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.
Węzły hybrydowego zabezpieczenia danych obsługują następujące opcje serwera proxy:
Brak serwera proxy — ustawienie domyślne, jeśli w celu zintegrowania serwera proxy nie jest używane do konfiguracji węzła HDS Trust Store & Proxy. Nie jest wymagana aktualizacja certyfikatu.
Przejrzysty serwer proxy niekontrolowany — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z serwerem proxy niekontrolowanym. Nie jest wymagana aktualizacja certyfikatu.
Przejrzyste tunelowanie lub sprawdzanie serwera proxy — węzły nie są skonfigurowane do korzystania z określonego adresu serwera proxy. W węzłach nie są konieczne zmiany konfiguracji protokołu HTTP ani protokołu HTTPS. Węzły potrzebują jednak certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).
Wyraźny serwer proxy — w przypadku wyraźnego serwera proxy należy wskazać węzły HDS, których serwer proxy i schemat uwierzytelniania należy używać. Aby skonfigurować wyraźny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.
Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.
Protokół proxy— w zależności od tego, co obsługuje serwer proxy, wybierz między następującymi protokołami:
HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
HTTPS — udostępnia kanał do serwera. Klient odbiera i weryfikuje certyfikat serwera.
Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:
Brak — dalsze uwierzytelnianie nie jest wymagane.
Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.
Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.
Dostępne tylko po wybraniu protokołu HTTPS jako protokołu proxy.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Przykład węzłów hybrydowych zabezpieczeń danych i serwera proxy
Na tym wykresie przedstawiono przykładowe połączenie między hybrydowym zabezpieczeniem danych, siecią i serwerem proxy. W przypadku opcji przejrzystej inspekcji i jawnej inspekcji serwera proxy HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach hybrydowych zabezpieczeń danych.
Zablokowany zewnętrzny tryb rozpoznawania DNS (wyraźne konfiguracje serwera proxy)
Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. W przypadku wdrożeń z wyraźnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzną rozdzielczość DNS dla klientów wewnętrznych, jeśli węzeł nie może wyszukiwać serwerów DNS, automatycznie przechodzi on w tryb Zablokowanej zewnętrznej rozdzielczości DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.
Wymagania dotyczące hybrydowego bezpieczeństwa danych
Wymagania licencyjne Cisco Webex
Aby wdrożyć hybrydowe zabezpieczenia danych:
Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub (patrz https://www.cisco.com/go/pro-pack).
Docker Wymagania pulpitowe
Przed zainstalowaniem węzłów HDS potrzebny jest Docker Desktop do uruchomienia programu konfiguracji. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis w blogu platformy Docker, „ Docker aktualizuje i rozszerza subskrypcje naszych produktów ”.
Wymagania dotyczące certyfikatu X.509
Łańcuch certyfikatów musi spełniać następujące wymagania:
Wymaganie | Szczegóły |
|---|---|
| Domyślnie ufamy urzędnikom na liście Mozilla (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs. |
| CN nie musi być osiągalne ani hostem na żywo. Zalecamy używanie nazwy odzwierciedlającej np. organizację, CN nie może zawierać * (wildcard). CN służy do weryfikacji węzłów hybrydowych zabezpieczeń danych dla klientów aplikacji Webex. Wszystkie węzły hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. System KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie obsługujemy zmiany nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych. |
| Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu weryfikacji połączeń z KMSs innych organizacji. |
| Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Po uruchomieniu narzędzia konfiguracji usługi HDS należy wprowadzić hasło. |
Oprogramowanie KMS nie wymusza użycia klucza ani nie nakłada dodatkowych ograniczeń w jego używaniu. Niektóre organy certyfikatów wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia użycia kluczy, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.
Wymagania dotyczące wirtualnego prowadzącego
Wirtualne hosty skonfigurowane jako węzły hybrydowego zabezpieczenia danych w klastrze mają następujące wymagania:
Co najmniej dwa osobne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych
Oprogramowanie VMware ESXi 6.5 (lub nowsze) zostało zainstalowane i uruchomione.
Jeśli masz wcześniejszą wersję ESXi, musisz ją uaktualnić.
Minimum 4 procesory vCPUs, 8-GB pamięci głównej, 30-GB lokalnego miejsca na dysk twardy na serwer
Wymagania serwera bazy danych
| Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych. |
Istnieją dwie opcje dla serwera bazy danych. Wymagania dla każdego z nich są następujące:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) | Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) |
Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC kierowca 42.2.5 | SQL Server JDBC sterownik 4.6 Ta wersja sterownika obsługuje program SQL Server Always On (Always On Failover Cluster Instances oraz Always On availability groups). |
Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w usłudze Microsoft SQL Server
Jeśli chcesz, aby węzły HDS używały uwierzytelniania w systemie Windows, aby uzyskać dostęp do bazy danych keystore na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w swoim środowisku:
Węzły HDS, infrastruktura Active Directory i MS SQL Server muszą być synchronizowane z NTP.
Konto systemu Windows dla węzłów HDS musi mieć dostęp do bazy danych do odczytu/zapisu.
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozwiązać klucz centrum dystrybucji (KDC).
Wystąpienie bazy danych HDS można zarejestrować na serwerze Microsoft SQL Server jako główną nazwę usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.
Narzędzie do konfigurowania HDS, uruchamianie HDS i lokalne KMS muszą używać uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych keystore. Używają szczegółów z konfiguracji ISO do budowy SPN podczas żądania dostępu za pomocą uwierzytelniania Kerberos.
Wymagania dotyczące połączeń zewnętrznych
Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:
Aplikacja | Protokół | Port | Polecenie z aplikacji | Miejsce docelowe |
|---|---|---|---|---|
Węzły hybrydowego zabezpieczenia danych | TCP | 443 | Zewnętrzne HTTPS i WSS |
|
Narzędzie do konfigurowania HDS | TCP | 443 | Zewnętrzny protokół HTTPS |
|
| Węzły hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub za zaporą, o ile NAT lub zapora zezwala na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują dostępu do węzłów hybrydowych zabezpieczeń danych w portach TCP 443 i 22 do celów administracyjnych. |
Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Są to bieżące hosty CI:
Region | Wspólne adresy URL prowadzącego tożsamości |
|---|---|
Ameryka |
|
Unia Europejska |
|
Kanada |
|
Wymagania serwera proxy
Oficjalnie obsługujemy następujące rozwiązania proxy, które mogą integrować się z węzłami hybrydowego zabezpieczenia danych.
Przejrzysty serwer proxy — Cisco Web Security Appliance (WSA).
Wyraźny serwer proxy — Squid.
Proxies Squid, które sprawdzają ruch HTTPS może kolidować z ustanowieniem websocket (wss:) połączeń. Aby rozwiązać ten problem, zobacz Configure Squid Proxies for Hybrid Data Security.
Obsługujemy następujące kombinacje typów uwierzytelniania dla serwerów proxy:
Brak uwierzytelniania przy użyciu protokołu HTTP lub HTTPS
Uwierzytelnianie podstawowe przy użyciu protokołu HTTP lub HTTPS
Uwierzytelnianie przy użyciu protokołu HTTPS
W przypadku przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS należy posiadać kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania zawarte w tym przewodniku informują o sposobie przesłania kopii do sklepów zaufania węzłów hybrydowych zabezpieczeń danych.
Sieć hostująca węzły HDS musi być skonfigurowana tak, aby wymuszać wychodzący ruch TCP na porcie 443 na trasę przez serwer proxy.
Serwery proxy, które kontrolują ruch sieciowy, mogą zakłócać połączenia z gniazdem internetowym. Jeśli wystąpi ten problem, omijając (nie kontrolując) ruch do
wbx2.comiciscospark.comrozwiąże problem.
Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych
| 1 | Upewnij się, że Twoja organizacja Webex jest włączona dla pakietu Pro Pack dla Cisco Webex Control Hub i uzyskaj poświadczenia konta z pełnymi prawami administratora organizacji. Aby uzyskać pomoc w tym procesie, skontaktuj się z partnerem firmy Cisco lub menedżerem konta. | ||
| 2 | Wybierz nazwę domeny dla wdrożenia HDS (na przykład | ||
| 3 | Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły hybrydowego zabezpieczenia danych w klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych, które spełniają wymagania w Wymagania wirtualnego hosta. | ||
| 4 | Przygotuj serwer bazy danych, który będzie działał jako kluczowy magazyn danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być zestawiony w bezpiecznym centrum danych z wirtualnymi hostami. | ||
| 5 | W celu szybkiego odzyskiwania danych po awarii należy skonfigurować środowisko tworzenia kopii zapasowych w innym centrum danych. Środowisko tworzenia kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i zapasowego serwera bazy danych. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne. | ||
| 6 | Skonfiguruj hosta dziennika systemowego, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemowego (domyślnie jest to UDP 514). | ||
| 7 | Utwórz bezpieczne zasady tworzenia kopii zapasowych węzłów hybrydowych zabezpieczeń danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec niemożliwej do odzyskania utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów hybrydowych zabezpieczeń danych.
Klienci aplikacji Webex przechowują klucze w pamięci podręcznej, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się widoczna. Chociaż tymczasowe przerwy są niemożliwe do zapobieżenia, są one do odzyskania. Jednak całkowita utrata (brak kopii zapasowych) bazy danych lub pliku konfiguracyjnego ISO spowoduje niemożliwy do odzyskania dane klienta. Oczekuje się, że operatorzy węzłów hybrydowego bezpieczeństwa danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowy centrum danych hybrydowego bezpieczeństwa danych w przypadku wystąpienia katastrofalnej awarii. | ||
| 8 | Upewnij się, że konfiguracja zapory umożliwia dostęp do łączności w węzłach hybrydowych zabezpieczeń danych, jak opisano w Zewnętrznych wymogach dotyczących łączności. | ||
| 9 | Zainstaluj Docker ( https://www.docker.com) na każdej maszynie lokalnej z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080. Za pomocą wystąpienia Docker można pobrać i uruchomić narzędzie konfiguracji HDS, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów hybrydowych zabezpieczeń danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania Dotyczące Pulpitu Dockera. Aby zainstalować i uruchomić narzędzie do konfiguracji HDS, lokalna maszyna musi mieć łączność opisaną w Zewnętrznych wymaganiach dotyczących łączności. | ||
| 10 | Jeśli integrujesz serwer proxy z hybrydowymi zabezpieczeniami danych, upewnij się, że spełnia on wymagania serwera proxy. | ||
| 11 | Jeśli Twoja organizacja używa synchronizacji katalogu, utwórz grupę w usłudze Active Directory o nazwie
|
Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych
Przed rozpoczęciem
| 1 |
Pobierz plik OVA do lokalnego komputera, aby później go użyć. | ||
| 2 | Tworzenie ISO konfiguracji dla prowadzących HDS Za pomocą narzędzia konfiguracyjnego HDS można utworzyć plik konfiguracyjny ISO dla węzłów hybrydowych zabezpieczeń danych. | ||
| 3 |
Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe.
| ||
| 4 | Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych Zaloguj się na konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA. | ||
| 5 | Prześlij i zamontuj ISO konfiguracji HDS Skonfiguruj VM z pliku konfiguracyjnego ISO utworzonego za pomocą narzędzia do konfiguracji HDS. | ||
| 6 | Konfigurowanie węzła HDS dla integracji serwera proxy Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, którego użyjesz dla węzła, i w razie potrzeby dodaj certyfikat serwera proxy do sklepu zaufania. | ||
| 7 | Zarejestruj pierwszy węzeł w klastrze Zarejestruj maszynę wirtualną za pomocą chmury Cisco Webex jako węzeł hybrydowego zabezpieczenia danych. | ||
| 8 | Tworzenie i rejestrowanie większej liczby węzłów Zakończ konfigurację klastra. | ||
| 9 | Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział) Do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
Pobierz pliki instalacyjne
| 1 | Zaloguj się do https://admin.webex.com, a następnie kliknij opcję Usługi. | ||||
| 2 | W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych, a następnie kliknij przycisk Skonfiguruj. Jeśli karta jest wyłączona lub jej nie widzisz, skontaktuj się z zespołem ds. kont lub organizacją partnerską. Podaj im numer konta i poproś o włączenie organizacji Hybrid Data Security. Aby znaleźć numer konta, kliknij bieg w prawym górnym rogu obok nazwy organizacji.
| ||||
| 3 | Wybierz Nie , aby wskazać, że węzeł nie został jeszcze skonfigurowany, a następnie kliknij przycisk Dalej. Plik OVA automatycznie zaczyna się pobierać. Zapisz plik w lokalizacji na komputerze.
| ||||
| 4 | Opcjonalnie kliknij Open Deployment Guide (Otwórz przewodnik wdrażania), aby sprawdzić, czy dostępna jest późniejsza wersja tego przewodnika. |
Tworzenie ISO konfiguracji dla prowadzących HDS
Proces konfiguracji hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie należy użyć ISO do skonfigurowania hosta hybrydowego bezpieczeństwa danych.
Przed rozpoczęciem
Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas podnoszenia kontenera Docker w kroku 5. W tej tabeli podano kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTSerwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTSerwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTSerwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTWygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Potrzebna jest najnowsza kopia tego pliku, gdy wprowadzasz zmiany w konfiguracji, takie jak:
Poświadczenia bazy danych
Aktualizacje certyfikatów
Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrowanie połączeń z bazą danych, skonfiguruj wdrożenie programu PostgreSQL lub SQL Server dla TLS.
| 1 | W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: W środowiskach FedRAMP:
| ||||||||||||
| 2 | Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: | ||||||||||||
| 3 | Po wyświetleniu monitu o hasło wprowadź ten skrót: | ||||||||||||
| 4 | Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: W środowiskach FedRAMP: | ||||||||||||
| 5 | Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:
Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”. | ||||||||||||
| 6 |
Użyj przeglądarki internetowej, aby przejść do hosta lokalizacji, Narzędzie używa tego pierwszego wpisu nazwy użytkownika, aby ustawić odpowiednie środowisko dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie. | ||||||||||||
| 7 | Po wyświetleniu monitu wprowadź poświadczenia logowania administratora klienta Control Hub, a następnie kliknij przycisk Zaloguj się , aby zezwolić na dostęp do wymaganych usług Hybrid Data Security. | ||||||||||||
| 8 | Na stronie Przegląd narzędzia konfiguracyjnego kliknij Rozpocznij. | ||||||||||||
| 9 | Na stronie ISO Import dostępne są następujące opcje:
| ||||||||||||
| 10 | Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatów X.509.
| ||||||||||||
| 11 | Wprowadź adres bazy danych i konto HDS, aby uzyskać dostęp do klucza danych: | ||||||||||||
| 12 | Wybierz tryb połączenia z bazą danych TLS:
Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracji HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie sprawdza również osobę podpisującą certyfikat i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w połączeniach węzły HDS mogą być w stanie nawiązać połączenie TLS, nawet jeśli maszyna narzędziowa HDS Setup Tool nie jest w stanie go przetestować). | ||||||||||||
| 13 | Na stronie Dzienniki systemu skonfiguruj serwer Syslogd: | ||||||||||||
| 14 | (Opcjonalnie) W ustawieniach zaawansowanych można zmienić wartość domyślną niektórych parametrów połączenia z bazą danych. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić: | ||||||||||||
| 15 | Kliknij przycisk Kontynuuj na ekranie Resetuj hasło konta usługi . Hasła konta serwisowego mają okres dziewięciu miesięcy. Użyj tego ekranu, gdy hasła zbliżają się do wygaśnięcia lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO. | ||||||||||||
| 16 | Kliknij opcję Pobierz plik ISO. Zapisz plik w lokalizacji, którą łatwo znaleźć. | ||||||||||||
| 17 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||||||||||||
| 18 | Aby zamknąć narzędzie Setup, wpisz: |
Co zrobić dalej
Kopia zapasowa pliku ISO konfiguracji. Musisz utworzyć więcej węzłów do odzyskiwania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Odzyskiwanie kluczy z bazy danych PostgreSQL lub Microsoft SQL Server nie jest możliwe.
| Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz. |
Instalowanie OVA hosta HDS
| 1 | Aby zalogować się do wirtualnego hosta ESXi, użyj klienta VMware vSphere na komputerze. | ||||||
| 2 | Wybierz Plik > Wdrożenie szablonu OVF. | ||||||
| 3 | W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij Następny. | ||||||
| 4 | Na ekranie Wybierz nazwę i folder strona, wprowadź Nazwa maszyny wirtualnej dla węzła (na przykład „HDS_Node_1”) wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Następny. | ||||||
| 5 | Na ekranie Wybierz zasób obliczeniowy strona, wybierz docelowy zasób obliczeniowy, a następnie kliknij Następny. Trwa kontrola walidacji. Po jego zakończeniu pojawiają się szczegóły szablonu. | ||||||
| 6 | Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej. | ||||||
| 7 | Jeśli zostaniesz poproszony o wybranie konfiguracji zasobów na stronie Konfiguracja strona, kliknij 4 CPU a następnie kliknij Następny. | ||||||
| 8 | Na ekranie Wybierz miejsce strona, kliknij Następny aby zaakceptować domyślny format dysku i zasady przechowywania VM. | ||||||
| 9 | Na ekranie Wybierz sieci na stronie wybierz opcję sieci z listy pozycji, aby zapewnić żądaną łączność z maszyną wirtualną. | ||||||
| 10 | Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieci:
Jeśli jest to preferowane, można pominąć konfigurację ustawień sieci i wykonać czynności opisane w punkcie Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych w celu skonfigurowania ustawień z konsoli węzła.
| ||||||
| 11 | Kliknij prawym przyciskiem myszy węzeł VM, a następnie wybierz . Oprogramowanie Hybrid Data Security jest instalowane jako gość w hostu VM. Teraz możesz zalogować się na konsoli i skonfigurować węzeł. Wskazówki dotyczące rozwiązywania problemów Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzła. Podczas pierwszego uruchamiania na konsoli pojawi się komunikat zapory mostowej, podczas którego nie można się zalogować. |
Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych
Użyj tej procedury, aby po raz pierwszy zalogować się na konsoli VM węzła hybrydowego zabezpieczenia danych i ustawić poświadczenia logowania. Konsola może również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.
| 1 | W kliencie VMware vSphere wybierz węzeł VM Hybrid Data Security i kartę Console . Maszyna zostanie uruchomiona i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie nie jest wyświetlany, naciśnij przycisk Enter.
|
| 2 | Aby się zalogować i zmienić poświadczenia, należy użyć następującego domyślnego loginu i hasła: Ponieważ logujesz się do VM po raz pierwszy, musisz zmienić hasło administratora. |
| 3 | Jeśli ustawienia sieci zostały już skonfigurowane w Instalowaniu OVA hosta usługi HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację. |
| 4 | Skonfiguruj statyczną konfigurację z adresem IP, maską, bramą i informacjami DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany. |
| 5 | (Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne do dopasowania do zasad sieci. Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509. |
| 6 | Zapisz konfigurację sieci i uruchom ponownie VM, aby zmiany weszły w życie. |
Prześlij i zamontuj ISO konfiguracji HDS
Przed rozpoczęciem
Ponieważ plik ISO zawiera klucz główny, powinien on być narażony tylko na „potrzebę wiedzy”, aby uzyskać dostęp do hybrydowych maszyn wirtualnych ds. bezpieczeństwa danych i wszystkich administratorów, którzy mogą wymagać wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mogą uzyskać dostęp do bazy danych.
| 1 | Prześlij plik ISO z komputera: |
| 2 | Montaż pliku ISO: |
Co zrobić dalej
Jeśli polityka IT wymaga, możesz opcjonalnie odmontować plik ISO po tym, jak wszystkie węzły podniosą zmiany w konfiguracji. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.
Konfigurowanie węzła HDS dla integracji serwera proxy
Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z Hybrid Data Security. Po wybraniu przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS można użyć interfejsu węzła do przesłania i zainstalowania certyfikatu głównego. Możesz również sprawdzić połączenie serwera proxy z poziomu interfejsu i rozwiązać ewentualne problemy.
Przed rozpoczęciem
Aby zapoznać się z opcjami obsługiwanego serwera proxy, zobacz Obsługa serwera proxy.
| 1 | Wprowadź adres URL konfiguracji węzła HDS |
| 2 | Przejdź do sklepu Trust Store & Proxy, a następnie wybierz opcję:
Postępuj zgodnie z kolejnymi krokami w celu przejrzystego kontrolowania serwera proxy, bezpośredniego serwera proxy HTTP z uwierzytelnianiem podstawowym lub bezpośredniego serwera proxy HTTPS. |
| 3 | Kliknij opcję Prześlij certyfikat główny lub certyfikat jednostki końcowej, a następnie przejdź do opcji Wybierz certyfikat główny serwera proxy. Certyfikat jest przesyłany, ale jeszcze nie został zainstalowany, ponieważ aby zainstalować certyfikat, należy ponownie uruchomić węzeł. Aby uzyskać więcej szczegółów, kliknij strzałkę chevron po nazwie emitenta certyfikatu lub kliknij opcję Usuń, jeśli popełniłeś błąd i chcesz ponownie przesłać plik. |
| 4 | Kliknij Check Proxy Connection (Sprawdź połączenie proxy), aby sprawdzić połączenie sieciowe między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, pojawi się komunikat o błędzie przedstawiający przyczynę i sposób naprawienia problemu. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS. Warunek ten jest oczekiwany w wielu wyraźnych konfiguracjach serwera proxy. Możesz kontynuować konfigurację, a węzeł będzie działał w trybie Zablokowanej Zewnętrznej Rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj poniższe czynności, a następnie zobacz Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS. |
| 5 | Po przejściu testu połączenia, w przypadku wyraźnego serwera proxy ustawionego tylko na https, włącz przełącznik do Trasowania wszystkich żądań portu 443/444 https z tego węzła za pomocą wyraźnego serwera proxy. To ustawienie wymaga 15 sekund działania. |
| 6 | Kliknij Instaluj Wszystkie Certyfikaty W Sklepie Zaufania (pojawi się dla wyraźnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawi się dla wyraźnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij opcję Instaluj , jeśli jesteś gotowy. Węzeł zostanie uruchomiony ponownie w ciągu kilku minut. |
| 7 | Po ponownym uruchomieniu węzła zaloguj się ponownie w razie potrzeby, a następnie otwórz stronę Przegląd , aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie mają zielony status. Kontrola połączenia z serwerem proxy sprawdza tylko poddomenę webex.com. Jeśli występują problemy z łącznością, powszechnym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy. |
Zarejestruj pierwszy węzeł w klastrze
Po zarejestrowaniu pierwszego węzła utwórz klaster, do którego jest przypisany węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia zwolnień.
Przed rozpoczęciem
Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.
| 1 | Zaloguj się w https://admin.webex.com. |
| 2 | W menu po lewej stronie ekranu wybierz opcję Usługi. |
| 3 | W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij przycisk Skonfiguruj. Zostanie wyświetlona strona węzła Zarejestruj hybrydowe zabezpieczenia danych.
|
| 4 | Wybierz Tak, aby wskazać, że węzeł został skonfigurowany i chcesz go zarejestrować, a następnie kliknij przycisk Dalej. |
| 5 | W pierwszym polu wprowadź nazwę klastra, do którego chcesz przypisać węzeł hybrydowego zabezpieczenia danych. Zalecamy nazwanie klastra na podstawie lokalizacji węzłów klastra. Przykłady: "San Francisco", "Nowy Jork" czy "Dallas" |
| 6 | W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej. Ten adres IP lub nazwa FQDN powinny być zgodne z adresem IP lub nazwą hosta i domeną używaną podczas konfigurowania hybrydowej maszyny wirtualnej ds. bezpieczeństwa danych. Pojawi się komunikat informujący, że można zarejestrować węzeł w usłudze Webex.
|
| 7 | Kliknij przycisk Przejdź do węzła. |
| 8 | Kliknij przycisk Kontynuuj w komunikacie ostrzegawczym. Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji Webex, aby uzyskać dostęp do węzła.
|
| 9 | Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
|
| 10 | Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub. Na stronie Hybrid Data Security jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.
|
Tworzenie i rejestrowanie większej liczby węzłów
| W tym czasie zapasowe maszyny wirtualne utworzone w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych są hostami gotowymi, które są używane tylko w przypadku odzyskiwania po awarii; do tego czasu nie są rejestrowane w systemie. Aby uzyskać szczegółowe informacje, patrz Przywracanie systemu po awarii za pomocą Standby Data Center. |
Przed rozpoczęciem
Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.
| 1 | Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Instalacji OVA hosta HDS. |
| 2 | Skonfiguruj konfigurację początkową na nowej maszynie wirtualnej, powtarzając kroki w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych. |
| 3 | W nowej maszynie wirtualnej wykonaj ponownie czynności opisane w polu Prześlij i zamontuj ISO konfiguracji HDS. |
| 4 | Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w Konfigurowaniu węzła HDS dla integracji serwera proxy zgodnie z potrzebami nowego węzła. |
| 5 | Zarejestruj węzeł. Twój węzeł jest zarejestrowany. Należy pamiętać, że do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie jest jeszcze aktywowana.
|
Co zrobić dalej
Przepływ próby do zadania produkcyjnego
Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.
Przed rozpoczęciem
| 1 | Jeśli dotyczy, zsynchronizuj Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać |
| 2 |
Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
| 3 | Przetestuj wdrożenie hybrydowego zabezpieczenia danych Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych. |
| 4 | Monitorowanie stanu hybrydowego bezpieczeństwa danych Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów. |
| 5 | |
| 6 | Zakończ fazę próbną, wykonując jedną z następujących czynności: |
Aktywuj wersję próbną
Przed rozpoczęciem
Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby dla organizacji. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.
| 1 | Zaloguj się do https://admin.webex.com, a następnie wybierz opcję Usługi. |
| 2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
| 3 | W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną. Stan usługi zmienia się w tryb próbny.
|
| 4 | Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług. (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, |
Przetestuj wdrożenie hybrydowego zabezpieczenia danych
Przed rozpoczęciem
Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.
Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.
| 1 | Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.
| ||
| 2 | Wysyłaj wiadomości do nowego obszaru. | ||
| 3 | Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych. |
Monitorowanie stanu hybrydowego bezpieczeństwa danych
| 1 | W Control Hub wybierz Usługi z menu po lewej stronie ekranu. |
| 2 | W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij Ustawienia. Zostanie wyświetlona strona Ustawienia zabezpieczeń danych hybrydowych.
|
| 3 | W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij przycisk Enter. |
Dodawanie lub usuwanie użytkowników z wersji próbnej
Jeśli usuniesz użytkownika z wersji próbnej, klient poprosi go o utworzenie kluczy i klawiszy z chmury KMS zamiast Twojego KMS. Jeśli klient potrzebuje klucza przechowywanego w KMS, Cloud KMS pobierze go w imieniu użytkownika.
Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory (zamiast tej procedury) do zarządzania grupą próbną, HdsTrialGroup; można wyświetlać członków grupy w Control Hub, ale nie można ich dodawać ani usuwać.
| 1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
| 2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
| 3 | W sekcji Tryby wersji próbnej w obszarze Stan usługi kliknij przycisk Dodaj użytkowników lub kliknij widok i edytuj , aby usunąć użytkowników z wersji próbnej. |
| 4 | Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania lub kliknij przycisk X identyfikatorem użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij Zapisz . |
Przeniesienie z wersji próbnej do produkcji
| 1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
| 2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
| 3 | W sekcji Stan usługi kliknij opcję Przenieś do produkcji. |
| 4 | Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji. |
Zakończ wersję próbną bez przejścia do produkcji
| 1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
| 2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
| 3 | W sekcji Dezaktywuj kliknij przycisk Dezaktywuj. |
| 4 | Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny. |
Zarządzanie wdrożeniem HDS
Użyj opisanych tutaj zadań do zarządzania wdrożeniem hybrydowego zabezpieczenia danych.
Ustaw harmonogram uaktualniania klastra
Aby ustawić harmonogram uaktualniania:
| 1 | Zaloguj się do Centrum sterowania . |
| 2 | Na stronie Przegląd w obszarze Usługi hybrydowe wybierz opcję Hybrid Data Security. |
| 3 | Na stronie Zasoby zabezpieczeń danych hybrydowych wybierz klaster. |
| 4 | W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra. |
| 5 | Na stronie Ustawienia w obszarze Uaktualnianie wybierz godzinę i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest następna dostępna data i godzina aktualizacji. W razie potrzeby można odroczyć uaktualnienie do następnego dnia, klikając opcję Odłóż. |
Zmień konfigurację węzła
Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.
Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do zarejestrowania klastra.
Aktualizowanie ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.
Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.
Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.
Ponadto, ze względów bezpieczeństwa, Hybrid Data Security używa haseł do kont usługi o dziewięciomiesięcznym okresie ważności. Gdy narzędzie konfiguracji HDS wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO . Gdy hasła organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex , aby zresetować hasło do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj API konta komputera, aby zaktualizować hasło”). Jeśli hasła jeszcze nie wygasły, narzędzie udostępnia dwie opcje:
Miękki reset — Stare i nowe hasło działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
Twardy reset — Stare hasła natychmiast przestają działać.
Jeśli hasła wygasną bez zresetowania, będzie to miało wpływ na usługę HDS i wymaga natychmiastowego twardego resetu i zastąpienia pliku ISO we wszystkich węzłach.
Ta procedura służy do generowania nowego konfiguracyjnego pliku ISO i zastosowania go do klastra.
Przed rozpoczęciem
Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas przywoływania kontenera Docker w 1.e. W tej tabeli podano kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTSerwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTSerwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTSerwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTDo wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO . ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.
| 1 | Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie konfiguracji HDS.
| ||||||
| 2 | Jeśli uruchomiony jest tylko jeden węzeł HDS , utwórz nową maszynę VM węzła Hybrid Data Security i zarejestruj ją przy użyciu nowego konfiguracyjnego pliku ISO . Aby uzyskać bardziej szczegółowe instrukcje, zobacz temat Tworzenie i rejestrowanie większej liczby węzłów. | ||||||
| 3 | W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO . Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła: | ||||||
| 4 | Powtórz krok 3, aby zastąpić konfigurację w każdym pozostałym węźle, na którym działa stara konfiguracja. |
Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS
Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznawać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb Zablokowanej zewnętrznej rozdzielczości DNS.
Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, uruchamiając ponownie test połączenia serwera proxy w każdym węźle.
Przed rozpoczęciem
| 1 | W przeglądarce internetowej otwórz interfejs węzła hybrydowego zabezpieczenia danych (adres IP/konfiguracja, na przykład https://192.0.2.0/setup), wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się. |
| 2 | Przejdź do Przegląd (strona domyślna). Po włączeniu Rozpoznawanie zablokowanego zewnętrznego DNS jest ustawiony na Tak . |
| 3 | Przejdź do strony Trust Store & Proxy. |
| 4 | Kliknij przycisk Sprawdź połączenie z serwerem proxy. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS i pozostanie w tym trybie. W przeciwnym razie po ponownym uruchomieniu węzła i powrocie na stronę Przegląd zablokowana zewnętrzna rozdzielczość DNS powinna być ustawiona na nr. |
Co zrobić dalej
Usuń węzeł
| 1 | Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi i wyłączyć maszynę wirtualną. |
| 2 | Usuń węzeł: |
| 3 | W kliencie vSphere usuń maszynę wirtualną (w lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij polecenie Usuń). Jeśli nie usuniesz VM, pamiętaj o usunięciu pliku ISO konfiguracji. Bez pliku ISO nie można użyć maszyny wirtualnej, aby uzyskać dostęp do danych bezpieczeństwa. |
Odzyskiwanie po awarii za pomocą Standby Data Center
Najbardziej krytyczną usługą oferowaną przez klaster Hybrid Data Security jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji przypisanego do hybrydowego zabezpieczenia danych nowe żądania tworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za przywrócenie kluczy, które został utworzony do wszystkich użytkowników upoważnionych do ich odzyskania, na przykład członków obszaru konwersacji.
Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby utrzymywały się odpowiednie kopie zapasowe. Utrata bazy danych hybrydowych zabezpieczeń danych lub układu ISO konfiguracji stosowanego dla schematu spowoduje NIEZBĘDNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, konieczne są następujące praktyki:
Jeśli awaria spowoduje, że wdrożenie HDS w głównym centrum danych stanie się niedostępne, postępuj zgodnie z tą procedurą, aby ręcznie przełączyć się na standby centrum danych.
| 1 | Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts. | ||
| 2 | Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
| 3 | Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń
| ||
| 4 | Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
| 5 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
| 6 | W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
| 7 | Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
| 8 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
| 9 | Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
(Opcjonalnie) Odmontować ISO Po Konfiguracji HDS
Standardowa konfiguracja HDS działa z zamontowanym ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale zamontowanych. Plik ISO można odmontować po odebraniu nowej konfiguracji przez wszystkie węzły HDS.
Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego ISO lub aktualizacji ISO za pomocą narzędzia konfiguracyjnego należy zamontować zaktualizowany ISO na wszystkich węzłach HDS. Po odebraniu zmian konfiguracji przez wszystkie węzły można ponownie rozmontować ISO za pomocą tej procedury.
Przed rozpoczęciem
Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.
| 1 | Zamknij jeden z węzłów HDS. |
| 2 | W urządzeniu VCenter Server Appliance wybierz węzeł HDS. |
| 3 | Wybierz i usuń zaznaczenie pliku Datastore ISO. |
| 4 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut. |
| 5 | Powtórz kolejno dla każdego węzła HDS. |
Wyświetlanie alertów i rozwiązywania problemów
Wdrożenie hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że wymaga przekroczenia czasu. Jeśli użytkownicy nie mogą skontaktować się z klastrem hybrydowego zabezpieczenia danych, mogą wystąpić następujące objawy:
Nie można utworzyć nowych obszarów (nie można utworzyć nowych kluczy)
Wiadomości i tytuły przestrzeni nie można odszyfrować dla:
Dodano nowych użytkowników do obszaru (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze będą z powodzeniem działać tak długo, jak ich klienci będą mieli pamięć podręczną kluczy szyfrowania
Ważne jest, aby odpowiednio monitorować klaster hybrydowego zabezpieczenia danych i szybko zwracać się do wszystkich alertów, aby uniknąć zakłóceń w obsłudze.
Alerty
Jeśli występuje problem z konfiguracją hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.
Alert | Czynność |
|---|---|
Niepowodzenie dostępu do lokalnej bazy danych. |
Sprawdź, czy występują błędy w bazie danych lub problemy z siecią lokalną. |
Niepowodzenie połączenia z lokalną bazą danych. |
Sprawdź, czy serwer bazy danych jest dostępny, a w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi. |
Niepowodzenie dostępu do usługi w chmurze. |
Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z wymaganiami Zewnętrznej łączności. |
Odnowienie rejestracji usług w chmurze. |
Zrezygnowano z rejestracji na usługi w chmurze. Trwa przedłużenie rejestracji. |
Rejestracja usług w chmurze została odrzucona. |
Rejestracja na usługi w chmurze została zakończona. Usługa jest wyłączona. |
Usługa jeszcze nie została aktywowana. |
Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do produkcji. |
Skonfigurowana domena nie odpowiada certyfikatowi serwera. |
Upewnij się, że certyfikat serwera jest zgodny z skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że certyfikat CN został ostatnio zmieniony i jest teraz inny niż CN, który był używany podczas początkowej konfiguracji. |
Nie można uwierzytelnić usług w chmurze. |
Kontrola poprawności i ewentualnego wygaśnięcia poświadczeń konta usługi. |
Nie można otworzyć lokalnego pliku keystore. |
Sprawdź integralność i dokładność hasła w lokalnym pliku keystore. |
Certyfikat lokalnego serwera jest nieprawidłowy. |
Sprawdź datę ważności certyfikatu serwera i potwierdź, że został on wydany przez zaufany urząd certyfikacji. |
Nie można publikować metryk. |
Sprawdź dostęp sieci lokalnej do zewnętrznych usług w chmurze. |
/media/configdrive/hds katalog nie istnieje. |
Sprawdź konfigurację montażu ISO na wirtualnym hostze. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu na ponownym uruchomieniu i czy został pomyślnie zainstalowany. |
Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych
| 1 | Przejrzyj Control Hub dla wszystkich alertów i naprawić wszystkie znalezione tam elementy. |
| 2 | Przejrzyj wyjście serwera dziennika systemowego pod kątem aktywności z wdrożenia hybrydowego zabezpieczenia danych. |
| 3 | Skontaktuj się z pomocą techniczną Cisco. |
Znane problemy dotyczące hybrydowych zabezpieczeń danych
Jeśli zamkniesz klaster hybrydowego zabezpieczenia danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych keystore, użytkownicy aplikacji Webex nie będą mogli już korzystać ze spacji na liście Osoby utworzonej za pomocą kluczy z KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia ani rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłudze aktywnych kont użytkowników.
Klient z istniejącym połączeniem ECDH z KMS utrzymuje to połączenie przez pewien czas (prawdopodobnie godzinę). Gdy użytkownik staje się członkiem próby hybrydowego zabezpieczenia danych, klient użytkownika nadal korzysta z istniejącego połączenia ECDH do czasu jego wyłączenia. Alternatywnie, użytkownik może wylogować się i wrócić do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w przypadku kluczy szyfrowania.
To samo zachowanie występuje podczas przenoszenia próby do produkcji dla organizacji. Wszyscy użytkownicy spoza wersji próbnej posiadający istniejące połączenia ECDH z poprzednimi służbami bezpieczeństwa danych będą nadal korzystać z tych usług do czasu renegocjacji połączenia ECDH (poprzez limit czasu lub poprzez wylogowanie i powrót).
Użyj protokołu OpenSSL, aby wygenerować plik PKCS12
Przed rozpoczęciem
OpenSSL jest jednym z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do ładowania w narzędziu konfiguracji HDS. Istnieją inne sposoby, aby to zrobić, i nie popieramy ani nie promujemy jednej drogi nad drugą.
Jeśli zdecydujesz się korzystać z OpenSSL, zapewniamy tę procedurę jako wytyczną, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatów X.509. Zrozum te wymagania, zanim przejdziesz dalej.
Zainstaluj OpenSSL w obsługiwanym środowisku. Patrz https://www.openssl.org oprogramowanie i dokumentacja.
Utwórz klucz prywatny.
Procedurę tę należy rozpocząć po otrzymaniu certyfikatu serwera od urzędu certyfikacji.
| 1 | Po otrzymaniu certyfikatu serwera z urzędu certyfikacji zapisz go jako |
| 2 | Wyświetl certyfikat jako tekst i zweryfikuj szczegóły.
|
| 3 | Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie
|
| 4 | Utwórz plik .p12 o przyjaznej nazwie
|
| 5 | Sprawdź szczegóły certyfikatu serwera. |
Co zrobić dalej
Powróć, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych. Korzystasz z hdsnode.p12 plik i ustawione dla niego hasło w Utwórz ISO konfiguracji dla prowadzących HDS.
| Możesz ponownie użyć tych plików, aby poprosić o nowy certyfikat po wygaśnięciu oryginalnego certyfikatu. |
Ruch między węzłami HDS a chmurą
Ruch zbierania metryk wychodzących
Węzły hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dla maks. stosu, stosowanego stosu, obciążenia procesora i liczenia wątków; metryki na wątkach synchronicznych i asynchronicznych; metryki na alertach obejmujące próg połączeń szyfrowania, opóźnienie lub długość kolejki żądań; metryki na zbiorniku danych; oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał poza pasmem (oddzielony od żądania).
Ruch przychodzący
Węzły hybrydowego zabezpieczenia danych otrzymują następujące typy ruchu przychodzącego z chmury Webex:
Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania
Aktualizacja do oprogramowania węzła
Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych
Websocket Nie Można Połączyć Za Pomocą Proxy Squid
Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS, mogą ingerować w tworzenie websocket ( wss:) połączenia, których wymaga Hybrid Data Security. Sekcje te zawierają wskazówki dotyczące konfigurowania różnych wersji Squid do ignorowania wss: ruch w celu prawidłowego funkcjonowania usług.
Squid 4 i 5
Dodaj on_unsupported_protocol dyrektywa do squid.conf:
on_unsupported_protocol tunnel allSquid 3.5.27
Z powodzeniem przetestowaliśmy hybrydowe zabezpieczenia danych, dodając następujące zasady squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizacji chmury Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allNowe i zmienione informacje
Data | Zmiany | ||
|---|---|---|---|
20 października 2023 r. |
| ||
07 sierpnia 2023 r. |
| ||
23 maja 2023 r. |
| ||
06 grudnia 2022 r. |
| ||
23 listopada 2022 r. |
| ||
13 października 2021 r. | Docker Desktop musi uruchomić program konfiguracji przed zainstalowaniem węzłów HDS. Zobacz Wymagania Dotyczące Pulpitu Docker. | ||
24 czerwca 2021 r. | Pamiętaj, że możesz ponownie użyć pliku klucza prywatnego i CSR, aby poprosić o inny certyfikat. Aby uzyskać szczegółowe informacje, zobacz Użyj OpenSSL, aby wygenerować plik PKCS12. | ||
| 30 kwietnia 2021 r. | Zmieniono wymaganie VM dla lokalnego miejsca na dysku twardym na 30 GB. Szczegółowe informacje można znaleźć w sekcji Wymagania wirtualnego prowadzącego. | ||
24 lutego 2021 r. | Narzędzie konfiguracji usługi HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie ISO konfiguracji hostów HDS. | ||
2 lutego 2021 r. | HDS może teraz działać bez zamontowanego pliku ISO. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS. | ||
11 stycznia 2021 r. | Dodano informacje o narzędziu do konfiguracji HDS i pełnomocnikach, aby utworzyć ISO konfiguracji dla prowadzących HDS. | ||
13 października 2020 r. | Zaktualizowano Pobierz pliki instalacyjne. | ||
8 października 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP. | ||
14 sierpnia 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła ze zmianami w procesie logowania. | ||
5 sierpnia 2020 r. | Zaktualizowano testowanie wdrażania hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika. Zaktualizowano wymagania hosta wirtualnego , aby usunąć maksymalną liczbę hostów. | ||
16 czerwca 2020 r. | Zaktualizowano Usuwanie węzła pod kątem zmian w interfejsie interfejsu Control Hub. | ||
4 czerwca 2020 r. | Zaktualizowano Tworzenie ISO konfiguracji dla hostów HDS w celu wprowadzenia zmian w ustawieniach zaawansowanych, które można ustawić. | ||
29 maja 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami interfejsu użytkownika i innymi wyjaśnieniami. | ||
5 maja 2020 r. | Zaktualizowano wymagania hosta wirtualnego , aby pokazać nowe wymagania ESXi 6.5. | ||
21 kwietnia 2020 r. | Zaktualizowane wymagania dotyczące łączności zewnętrznej z nowymi hostami CI Americas. | ||
1 kwietnia 2020 r. | Zaktualizowane wymagania dotyczące łączności zewnętrznej z informacjami na temat regionalnych prowadzących CI. | ||
| 20 lutego 2020 r. | Zaktualizowano Utwórz ISO konfiguracji hostów HDS z informacjami na nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu do konfiguracji HDS. | ||
| 4 lutego 2020 r. | Zaktualizowano wymagania serwera proxy. | ||
| 16 grudnia 2019 r. | Wyjaśnione wymagania dotyczące zablokowanego zewnętrznego trybu rozdzielczości DNS do pracy w wymaganiach serwera proxy. | ||
| 19 listopada 2019 r. | Dodano informacje o zablokowanym zewnętrznym trybie rozpoznawania DNS w następujących sekcjach: | ||
8 listopada 2019 r. | Teraz można skonfigurować ustawienia sieciowe węzła podczas wdrażania OVA, a nie później. Zaktualizowano odpowiednio następujące sekcje:
| ||
6 września 2019 r. | Dodano SQL Server Standard do wymagań serwera bazy danych. | ||
| 29 sierpnia 2019 r. | Dodano Configure Squid Proxies for Hybrid Data Security appendix z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu zignorowania ruchu websocket w celu prawidłowej obsługi. | ||
| 20 sierpnia 2019 r. | Dodano i zaktualizowano sekcje, aby objąć obsługę proxy komunikacji węzła hybrydowego bezpieczeństwa danych z chmurą Webex. Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł pomocy Proxy Support for Hybrid Data Security i Webex Video Mesh . | ||
| 13 czerwca 2019 r. | Zaktualizowano próbny do przepływu zadań produkcyjnych z przypomnieniem o synchronizacji HdsTrialGroup obiekt grupowy przed rozpoczęciem próby, jeśli Twoja organizacja korzysta z synchronizacji katalogu. | ||
| 6 marca 2019 r. |
| ||
| 28 lutego 2019 r. |
| ||
| 26 lutego 2019 r. |
| ||
24 stycznia 2019 r. |
| ||
| 5 listopada 2018 r. |
| ||
| 19 października 2018 r. |
| ||
31 lipca 2018 r. |
| ||
| 21 maja 2018 r. | Zmieniona terminologia odzwierciedlająca zmianę marki Cisco Spark:
| ||
| 11 kwietnia 2018 r. |
| ||
| 22 lutego 2018 r. |
| ||
| Luty 15, 2018 |
| ||
| Styczeń 18, 2018 |
| ||
2 listopada 2017 r. |
| ||
18 sierpnia 2017 r. | Pierwsza publikacja |
Przegląd zabezpieczeń danych hybrydowych
Od pierwszego dnia bezpieczeństwo danych było głównym celem projektowania aplikacji Webex. Podstawą tych zabezpieczeń jest kompleksowe szyfrowanie zawartości, włączane przez klientów aplikacji Webex , którzy wchodzą w interakcję z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.
Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS w obszarze bezpieczeństwa firmy Cisco. Hybrid Data Security przenosi usługę KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie ma kluczy do zaszyfrowanej zawartości.
Architektura domeny zabezpieczeń
Architektura chmury Webex oddziela różne rodzaje usług od osobnych domen lub domen zaufania, jak przedstawiono poniżej.
Aby lepiej zrozumieć hybrydowe zabezpieczenia danych, spójrzmy najpierw na ten przypadek czystej chmury, w którym firma Cisco zapewnia wszystkie funkcje w swoich domenach w chmurze. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od domeny bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od domeny, w której ostatecznie przechowywana jest zaszyfrowana zawartość, w centrum danych C.
Na tym schemacie klient to aplikacja Webex działająca na laptopie użytkownika i uwierzytelniona za pomocą usługi tożsamości. Gdy użytkownik komponuje wiadomość do wysłania do obszaru, wykonywane są następujące czynności:
Klient ustanawia bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie prosi o klucz do szyfrowania wiadomości. Bezpieczne połączenie korzysta z ECDH, a KMS szyfruje klucz przy użyciu klucza głównego AES-256.
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła go do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniach zawartości.
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w domenie przechowywania.
Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze, które składają się na usługę Webex (w tym pamięć masowa tożsamości i zawartości), pozostają w domenach Cisco.
Współpraca z innymi organizacjami
Użytkownicy w organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników prosi o klucz do obszaru należącego do organizacji (ponieważ został on utworzony przez jednego z użytkowników), KMS wysyła klucz do klienta za pośrednictwem kanału zabezpieczonego ECDH. Jednak gdy inna organizacja jest właścicielem klucza dla obszaru, system KMS kieruje żądanie do chmury Webex przez osobny kanał ECDH, aby uzyskać klucz z odpowiedniego systemu KMS, a następnie zwraca go do użytkownika na oryginalnym kanale.
Usługa KMS działająca na Org A weryfikuje połączenia z KMSs w innych organizacjach za pomocą certyfikatów PKI x.509. Aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użytku z wdrożeniem hybrydowego zabezpieczenia danych, zobacz Prepare Your Environment (Przygotowanie środowiska).
Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych
Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klienta i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.
Aby wdrożyć hybrydowe zabezpieczenia danych, należy zapewnić:
Bezpieczne centrum danych w kraju, który jest obsługiwaną lokalizacją dla planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w punkcie Przygotowanie środowiska.
Kompletna utrata konfiguracji ISO utworzonej dla hybrydowego zabezpieczenia danych lub dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:
Zarządzanie kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.
Przygotuj się do szybkiego odzyskiwania awaryjnego w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub awaria centrum danych.
| Nie ma mechanizmu przenoszenia kluczy z powrotem do chmury po wdrożeniu HDS. |
Proces konfiguracji na wysokim poziomie
Niniejszy dokument obejmuje konfigurację i zarządzanie wdrożeniem hybrydowego zabezpieczenia danych:
Skonfiguruj hybrydowe zabezpieczenia danych— obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, testowanie wdrożenia z podzbiorem użytkowników w trybie próbnym oraz, po zakończeniu testów, przejście do produkcji. Spowoduje to konwertowanie całej organizacji do używania klastra Hybrid Data Security dla funkcji zabezpieczeń.
Etapy konfiguracji, prób i produkcji zostały szczegółowo omówione w kolejnych trzech rozdziałach.
Utrzymuj wdrożenie hybrydowego zabezpieczenia danych— chmura Webex automatycznie zapewnia trwające uaktualnienia. Dział IT może zapewnić wsparcie poziomu pierwszego dla tego wdrożenia i zaangażować wsparcie Cisco w razie potrzeby. Możesz korzystać z powiadomień na ekranie i konfigurować alerty oparte na wiadomościach e-mail w Control Hub.
Zrozumienie wspólnych alertów, kroków rozwiązywania problemów i znanych problemów— w przypadku wystąpienia problemów z wdrożeniem lub użyciem hybrydowego zabezpieczenia danych ostatni rozdział niniejszego przewodnika i dodatku do Znanych problemów może pomóc w określeniu i rozwiązaniu problemu.
Hybrydowy model wdrażania zabezpieczeń danych
W centrum danych przedsiębiorstwa wdrażasz hybrydowe zabezpieczenia danych jako jeden klaster węzłów na osobnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych websocketów i bezpiecznego protokołu HTTP.
Podczas procesu instalacji dostarczamy Ci plik OVA do skonfigurowania urządzenia wirtualnego na dostarczonych maszynach wirtualnych. Narzędzie konfiguracyjne HDS służy do tworzenia niestandardowego pliku ISO konfiguracji klastra, który jest montowany w każdym węźle. Klaster Hybrid Data Security korzysta z dostarczonego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu konfiguracji HDS).
Minimalna liczba węzłów w klastrze to dwa. Zalecamy co najmniej trzy, a możesz mieć do pięciu. Posiadanie wielu węzłów zapewnia, że usługa nie zostanie przerwana podczas uaktualniania oprogramowania lub innej czynności konserwacyjnej w węźle. (Chmura Webex aktualizuje tylko jeden węzeł naraz).
Wszystkie węzły w klastrze mają dostęp do tego samego rekordu danych klucza i aktywności dziennika na tym samym serwerze dziennika systemowego. Same węzły są bezpaństwowe i obsługują żądania kluczy w sposób okrągły, zgodnie z zaleceniami chmury.
Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby usunąć pojedynczy węzeł z usługi, można go wyrejestrować, a następnie ponownie wyrejestrować w razie potrzeby.
Obsługujemy tylko jeden klaster na organizację.
Tryb próbny zabezpieczeń danych hybrydowych
Po skonfigurowaniu wdrożenia hybrydowego zabezpieczenia danych spróbuj go najpierw z zestawem użytkowników pilotażowych. W okresie próbnym użytkownicy ci wykorzystują lokalną domenę hybrydowego zabezpieczenia danych do szyfrowania kluczy i innych usług domeny zabezpieczeń. Inni użytkownicy nadal korzystają ze sfery zabezpieczeń w chmurze.
Jeśli zdecydujesz się nie kontynuować wdrażania podczas wersji próbnej i dezaktywować usługi, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi współpracowali, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zostanie wyświetlony komunikat „Nie można odszyfrować tej wiadomości” w aplikacji Webex.
Jeśli jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych i jesteś gotowy do rozszerzenia hybrydowego zabezpieczenia danych na wszystkich użytkowników, przenosisz wdrożenie do produkcji. Użytkownicy pilotażowi nadal mają dostęp do kluczy, które były używane podczas próby. Nie można jednak poruszać się w tę i z powrotem między trybem produkcji a oryginalnym testem. Jeśli musisz dezaktywować usługę, na przykład w celu przeprowadzenia odzyskiwania po awarii, po ponownej aktywacji musisz rozpocząć nową wersję próbną i skonfigurować zestaw użytkowników pilotażowych dla nowej wersji próbnej przed powrotem do trybu produkcji. To, czy użytkownicy zachowują w tym momencie dostęp do danych, zależy od tego, czy udało się zachować kopie zapasowe kluczowego magazynu danych i pliku konfiguracyjnego ISO dla węzłów hybrydowych zabezpieczeń danych w klastrze.
Standby Data Center for Disaster Recovery
Podczas wdrażania skonfigurowano bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie anulować wdrożenie do centrum danych w trybie gotowości.
Bazy danych aktywnych i standby centrów danych są ze sobą zsynchronizowane, co zminimalizuje czas potrzebny na wykonanie przełącznika awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają rejestrację węzłów w organizacji, ale nie obsługują ruchu. Stąd węzły standby data center zawsze pozostają aktualne z najnowszą wersją oprogramowania HDS.
| Aktywne węzły hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych. |
Konfiguracja Standby Data Center do odzyskiwania awarii
Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:
Przed rozpoczęciem
Centrum danych w stanie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych oraz zapasową bazę danych PostgreSQL lub Microsoft SQL Server. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne (zobacz Standby Data Center for Disaster Recovery , aby zapoznać się z tym modelem failover).
Upewnij się, że synchronizacja bazy danych jest włączona między bazą danych aktywnych i pasywnych węzłów klastra.
| 1 | Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.
| ||
| 2 | Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
| 3 | Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwał żadnego ruchu.
| ||
| 4 | Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
| 5 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
| 6 | W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
| 7 | Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
| 8 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
| 9 | Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
Po skonfigurowaniu passiveMode w pliku ISO i zapisanie go można utworzyć inną kopię pliku ISO bez passiveMode konfigurację i zapisanie w bezpiecznym miejscu. Ta kopia pliku ISO bez passiveMode skonfigurowany może pomóc w szybkim procesie awaryjnym podczas odzyskiwania po awarii. Aby zapoznać się ze szczegółową procedurą przywracania awaryjnego za pomocą Standby Data Center (Centrum danych gotowości).
Wsparcie proxy
Hybrydowe zabezpieczenia danych obsługują jednoznaczne, przejrzyste inspekcje i nieinspekcje serwerów proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby można było zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy można używać w węzłach do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.
Węzły hybrydowego zabezpieczenia danych obsługują następujące opcje serwera proxy:
Brak serwera proxy — ustawienie domyślne, jeśli w celu zintegrowania serwera proxy nie jest używane do konfiguracji węzła HDS Trust Store & Proxy. Nie jest wymagana aktualizacja certyfikatu.
Przejrzysty serwer proxy niekontrolowany — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z serwerem proxy niekontrolowanym. Nie jest wymagana aktualizacja certyfikatu.
Przejrzyste tunelowanie lub sprawdzanie serwera proxy — węzły nie są skonfigurowane do korzystania z określonego adresu serwera proxy. W węzłach nie są konieczne zmiany konfiguracji protokołu HTTP ani protokołu HTTPS. Węzły potrzebują jednak certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).
Wyraźny serwer proxy — w przypadku wyraźnego serwera proxy należy wskazać węzły HDS, których serwer proxy i schemat uwierzytelniania należy używać. Aby skonfigurować wyraźny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.
Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.
Protokół proxy— w zależności od tego, co obsługuje serwer proxy, wybierz między następującymi protokołami:
HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
HTTPS — udostępnia kanał do serwera. Klient odbiera i weryfikuje certyfikat serwera.
Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:
Brak — dalsze uwierzytelnianie nie jest wymagane.
Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.
Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.
Dostępne tylko po wybraniu protokołu HTTPS jako protokołu proxy.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Przykład węzłów hybrydowych zabezpieczeń danych i serwera proxy
Na tym wykresie przedstawiono przykładowe połączenie między hybrydowym zabezpieczeniem danych, siecią i serwerem proxy. W przypadku opcji przejrzystej inspekcji i jawnej inspekcji serwera proxy HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach hybrydowych zabezpieczeń danych.
Zablokowany zewnętrzny tryb rozpoznawania DNS (wyraźne konfiguracje serwera proxy)
Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. W przypadku wdrożeń z wyraźnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzną rozdzielczość DNS dla klientów wewnętrznych, jeśli węzeł nie może wyszukiwać serwerów DNS, automatycznie przechodzi on w tryb Zablokowanej zewnętrznej rozdzielczości DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.
Wymagania dotyczące hybrydowego bezpieczeństwa danych
Wymagania licencyjne Cisco Webex
Aby wdrożyć hybrydowe zabezpieczenia danych:
Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub (patrz https://www.cisco.com/go/pro-pack).
Docker Wymagania pulpitowe
Przed zainstalowaniem węzłów HDS potrzebny jest Docker Desktop do uruchomienia programu konfiguracji. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis w blogu platformy Docker, „ Docker aktualizuje i rozszerza subskrypcje naszych produktów ”.
Wymagania dotyczące certyfikatu X.509
Łańcuch certyfikatów musi spełniać następujące wymagania:
Wymaganie | Szczegóły |
|---|---|
| Domyślnie ufamy urzędnikom na liście Mozilla (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs. |
| CN nie musi być osiągalne ani hostem na żywo. Zalecamy używanie nazwy odzwierciedlającej np. organizację, CN nie może zawierać * (wildcard). CN służy do weryfikacji węzłów hybrydowych zabezpieczeń danych dla klientów aplikacji Webex. Wszystkie węzły hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. System KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie obsługujemy zmiany nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych. |
| Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu weryfikacji połączeń z KMSs innych organizacji. |
| Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Po uruchomieniu narzędzia konfiguracji usługi HDS należy wprowadzić hasło. |
Oprogramowanie KMS nie wymusza użycia klucza ani nie nakłada dodatkowych ograniczeń w jego używaniu. Niektóre organy certyfikatów wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia użycia kluczy, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.
Wymagania dotyczące wirtualnego prowadzącego
Wirtualne hosty skonfigurowane jako węzły hybrydowego zabezpieczenia danych w klastrze mają następujące wymagania:
Co najmniej dwa osobne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych
Oprogramowanie VMware ESXi 6.5 (lub nowsze) zostało zainstalowane i uruchomione.
Jeśli masz wcześniejszą wersję ESXi, musisz ją uaktualnić.
Minimum 4 procesory vCPUs, 8-GB pamięci głównej, 30-GB lokalnego miejsca na dysk twardy na serwer
Wymagania serwera bazy danych
| Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych. |
Istnieją dwie opcje dla serwera bazy danych. Wymagania dla każdego z nich są następujące:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) | Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) |
Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC kierowca 42.2.5 | SQL Server JDBC sterownik 4.6 Ta wersja sterownika obsługuje program SQL Server Always On (Always On Failover Cluster Instances oraz Always On availability groups). |
Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w usłudze Microsoft SQL Server
Jeśli chcesz, aby węzły HDS używały uwierzytelniania w systemie Windows, aby uzyskać dostęp do bazy danych keystore na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w swoim środowisku:
Węzły HDS, infrastruktura Active Directory i MS SQL Server muszą być synchronizowane z NTP.
Konto systemu Windows dla węzłów HDS musi mieć dostęp do bazy danych do odczytu/zapisu.
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozwiązać klucz centrum dystrybucji (KDC).
Wystąpienie bazy danych HDS można zarejestrować na serwerze Microsoft SQL Server jako główną nazwę usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.
Narzędzie do konfigurowania HDS, uruchamianie HDS i lokalne KMS muszą używać uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych keystore. Używają szczegółów z konfiguracji ISO do budowy SPN podczas żądania dostępu za pomocą uwierzytelniania Kerberos.
Wymagania dotyczące połączeń zewnętrznych
Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:
Aplikacja | Protokół | Port | Polecenie z aplikacji | Miejsce docelowe |
|---|---|---|---|---|
Węzły hybrydowego zabezpieczenia danych | TCP | 443 | Zewnętrzne HTTPS i WSS |
|
Narzędzie do konfigurowania HDS | TCP | 443 | Zewnętrzny protokół HTTPS |
|
| Węzły hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub za zaporą, o ile NAT lub zapora zezwala na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują dostępu do węzłów hybrydowych zabezpieczeń danych w portach TCP 443 i 22 do celów administracyjnych. |
Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Są to bieżące hosty CI:
Region | Wspólne adresy URL prowadzącego tożsamości |
|---|---|
Ameryka |
|
Unia Europejska |
|
Kanada |
|
Wymagania serwera proxy
Oficjalnie obsługujemy następujące rozwiązania proxy, które mogą integrować się z węzłami hybrydowego zabezpieczenia danych.
Przejrzysty serwer proxy — Cisco Web Security Appliance (WSA).
Wyraźny serwer proxy — Squid.
Proxies Squid, które sprawdzają ruch HTTPS może kolidować z ustanowieniem websocket (wss:) połączeń. Aby rozwiązać ten problem, zobacz Configure Squid Proxies for Hybrid Data Security.
Obsługujemy następujące kombinacje typów uwierzytelniania dla serwerów proxy:
Brak uwierzytelniania przy użyciu protokołu HTTP lub HTTPS
Uwierzytelnianie podstawowe przy użyciu protokołu HTTP lub HTTPS
Uwierzytelnianie przy użyciu protokołu HTTPS
W przypadku przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS należy posiadać kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania zawarte w tym przewodniku informują o sposobie przesłania kopii do sklepów zaufania węzłów hybrydowych zabezpieczeń danych.
Sieć hostująca węzły HDS musi być skonfigurowana tak, aby wymuszać wychodzący ruch TCP na porcie 443 na trasę przez serwer proxy.
Serwery proxy, które kontrolują ruch sieciowy, mogą zakłócać połączenia z gniazdem internetowym. Jeśli wystąpi ten problem, omijając (nie kontrolując) ruch do
wbx2.comiciscospark.comrozwiąże problem.
Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych
| 1 | Upewnij się, że Twoja organizacja Webex jest włączona dla pakietu Pro Pack dla Cisco Webex Control Hub i uzyskaj poświadczenia konta z pełnymi prawami administratora organizacji. Aby uzyskać pomoc w tym procesie, skontaktuj się z partnerem firmy Cisco lub menedżerem konta. | ||
| 2 | Wybierz nazwę domeny dla wdrożenia HDS (na przykład | ||
| 3 | Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły hybrydowego zabezpieczenia danych w klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych, które spełniają wymagania w Wymagania wirtualnego hosta. | ||
| 4 | Przygotuj serwer bazy danych, który będzie działał jako kluczowy magazyn danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być zestawiony w bezpiecznym centrum danych z wirtualnymi hostami. | ||
| 5 | W celu szybkiego odzyskiwania danych po awarii należy skonfigurować środowisko tworzenia kopii zapasowych w innym centrum danych. Środowisko tworzenia kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i zapasowego serwera bazy danych. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne. | ||
| 6 | Skonfiguruj hosta dziennika systemowego, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemowego (domyślnie jest to UDP 514). | ||
| 7 | Utwórz bezpieczne zasady tworzenia kopii zapasowych węzłów hybrydowych zabezpieczeń danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec niemożliwej do odzyskania utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów hybrydowych zabezpieczeń danych.
Klienci aplikacji Webex przechowują klucze w pamięci podręcznej, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się widoczna. Chociaż tymczasowe przerwy są niemożliwe do zapobieżenia, są one do odzyskania. Jednak całkowita utrata (brak kopii zapasowych) bazy danych lub pliku konfiguracyjnego ISO spowoduje niemożliwy do odzyskania dane klienta. Oczekuje się, że operatorzy węzłów hybrydowego bezpieczeństwa danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowy centrum danych hybrydowego bezpieczeństwa danych w przypadku wystąpienia katastrofalnej awarii. | ||
| 8 | Upewnij się, że konfiguracja zapory umożliwia dostęp do łączności w węzłach hybrydowych zabezpieczeń danych, jak opisano w Zewnętrznych wymogach dotyczących łączności. | ||
| 9 | Zainstaluj Docker ( https://www.docker.com) na każdej maszynie lokalnej z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080. Za pomocą wystąpienia Docker można pobrać i uruchomić narzędzie konfiguracji HDS, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów hybrydowych zabezpieczeń danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania Dotyczące Pulpitu Dockera. Aby zainstalować i uruchomić narzędzie do konfiguracji HDS, lokalna maszyna musi mieć łączność opisaną w Zewnętrznych wymaganiach dotyczących łączności. | ||
| 10 | Jeśli integrujesz serwer proxy z hybrydowymi zabezpieczeniami danych, upewnij się, że spełnia on wymagania serwera proxy. | ||
| 11 | Jeśli Twoja organizacja używa synchronizacji katalogu, utwórz grupę w usłudze Active Directory o nazwie
|
Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych
Przed rozpoczęciem
| 1 |
Pobierz plik OVA do lokalnego komputera, aby później go użyć. | ||
| 2 | Tworzenie ISO konfiguracji dla prowadzących HDS Za pomocą narzędzia konfiguracyjnego HDS można utworzyć plik konfiguracyjny ISO dla węzłów hybrydowych zabezpieczeń danych. | ||
| 3 |
Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe.
| ||
| 4 | Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych Zaloguj się na konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA. | ||
| 5 | Prześlij i zamontuj ISO konfiguracji HDS Skonfiguruj VM z pliku konfiguracyjnego ISO utworzonego za pomocą narzędzia do konfiguracji HDS. | ||
| 6 | Konfigurowanie węzła HDS dla integracji serwera proxy Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, którego użyjesz dla węzła, i w razie potrzeby dodaj certyfikat serwera proxy do sklepu zaufania. | ||
| 7 | Zarejestruj pierwszy węzeł w klastrze Zarejestruj maszynę wirtualną za pomocą chmury Cisco Webex jako węzeł hybrydowego zabezpieczenia danych. | ||
| 8 | Tworzenie i rejestrowanie większej liczby węzłów Zakończ konfigurację klastra. | ||
| 9 | Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział) Do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
Pobierz pliki instalacyjne
| 1 | Zaloguj się do https://admin.webex.com, a następnie kliknij opcję Usługi. | ||||
| 2 | W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych, a następnie kliknij przycisk Skonfiguruj. Jeśli karta jest wyłączona lub jej nie widzisz, skontaktuj się z zespołem ds. kont lub organizacją partnerską. Podaj im numer konta i poproś o włączenie organizacji Hybrid Data Security. Aby znaleźć numer konta, kliknij bieg w prawym górnym rogu obok nazwy organizacji.
| ||||
| 3 | Wybierz Nie , aby wskazać, że węzeł nie został jeszcze skonfigurowany, a następnie kliknij przycisk Dalej. Plik OVA automatycznie zaczyna się pobierać. Zapisz plik w lokalizacji na komputerze.
| ||||
| 4 | Opcjonalnie kliknij Open Deployment Guide (Otwórz przewodnik wdrażania), aby sprawdzić, czy dostępna jest późniejsza wersja tego przewodnika. |
Tworzenie ISO konfiguracji dla prowadzących HDS
Proces konfiguracji hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie należy użyć ISO do skonfigurowania hosta hybrydowego bezpieczeństwa danych.
Przed rozpoczęciem
Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas podnoszenia kontenera Docker w kroku 5. W tej tabeli podano kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTSerwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTSerwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTSerwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTWygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Potrzebna jest najnowsza kopia tego pliku, gdy wprowadzasz zmiany w konfiguracji, takie jak:
Poświadczenia bazy danych
Aktualizacje certyfikatów
Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrowanie połączeń z bazą danych, skonfiguruj wdrożenie programu PostgreSQL lub SQL Server dla TLS.
| 1 | W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: W środowiskach FedRAMP:
| ||||||||||||
| 2 | Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: | ||||||||||||
| 3 | Po wyświetleniu monitu o hasło wprowadź ten skrót: | ||||||||||||
| 4 | Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: W środowiskach FedRAMP: | ||||||||||||
| 5 | Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:
Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”. | ||||||||||||
| 6 |
Użyj przeglądarki internetowej, aby przejść do hosta lokalizacji, Narzędzie używa tego pierwszego wpisu nazwy użytkownika, aby ustawić odpowiednie środowisko dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie. | ||||||||||||
| 7 | Po wyświetleniu monitu wprowadź poświadczenia logowania administratora klienta Control Hub, a następnie kliknij przycisk Zaloguj się , aby zezwolić na dostęp do wymaganych usług Hybrid Data Security. | ||||||||||||
| 8 | Na stronie Przegląd narzędzia konfiguracyjnego kliknij Rozpocznij. | ||||||||||||
| 9 | Na stronie ISO Import dostępne są następujące opcje:
| ||||||||||||
| 10 | Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatów X.509.
| ||||||||||||
| 11 | Wprowadź adres bazy danych i konto HDS, aby uzyskać dostęp do klucza danych: | ||||||||||||
| 12 | Wybierz tryb połączenia z bazą danych TLS:
Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracji HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie sprawdza również osobę podpisującą certyfikat i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w połączeniach węzły HDS mogą być w stanie nawiązać połączenie TLS, nawet jeśli maszyna narzędziowa HDS Setup Tool nie jest w stanie go przetestować). | ||||||||||||
| 13 | Na stronie Dzienniki systemu skonfiguruj serwer Syslogd: | ||||||||||||
| 14 | (Opcjonalnie) W ustawieniach zaawansowanych można zmienić wartość domyślną niektórych parametrów połączenia z bazą danych. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić: | ||||||||||||
| 15 | Kliknij przycisk Kontynuuj na ekranie Resetuj hasło konta usługi . Hasła konta serwisowego mają okres dziewięciu miesięcy. Użyj tego ekranu, gdy hasła zbliżają się do wygaśnięcia lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO. | ||||||||||||
| 16 | Kliknij opcję Pobierz plik ISO. Zapisz plik w lokalizacji, którą łatwo znaleźć. | ||||||||||||
| 17 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||||||||||||
| 18 | Aby zamknąć narzędzie Setup, wpisz: |
Co zrobić dalej
Kopia zapasowa pliku ISO konfiguracji. Musisz utworzyć więcej węzłów do odzyskiwania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Odzyskiwanie kluczy z bazy danych PostgreSQL lub Microsoft SQL Server nie jest możliwe.
| Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz. |
Instalowanie OVA hosta HDS
| 1 | Aby zalogować się do wirtualnego hosta ESXi, użyj klienta VMware vSphere na komputerze. | ||||||
| 2 | Wybierz Plik > Wdrożenie szablonu OVF. | ||||||
| 3 | W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij Następny. | ||||||
| 4 | Na ekranie Wybierz nazwę i folder strona, wprowadź Nazwa maszyny wirtualnej dla węzła (na przykład „HDS_Node_1”) wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Następny. | ||||||
| 5 | Na ekranie Wybierz zasób obliczeniowy strona, wybierz docelowy zasób obliczeniowy, a następnie kliknij Następny. Trwa kontrola walidacji. Po jego zakończeniu pojawiają się szczegóły szablonu. | ||||||
| 6 | Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej. | ||||||
| 7 | Jeśli zostaniesz poproszony o wybranie konfiguracji zasobów na stronie Konfiguracja strona, kliknij 4 CPU a następnie kliknij Następny. | ||||||
| 8 | Na ekranie Wybierz miejsce strona, kliknij Następny aby zaakceptować domyślny format dysku i zasady przechowywania VM. | ||||||
| 9 | Na ekranie Wybierz sieci na stronie wybierz opcję sieci z listy pozycji, aby zapewnić żądaną łączność z maszyną wirtualną. | ||||||
| 10 | Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieci:
Jeśli jest to preferowane, można pominąć konfigurację ustawień sieci i wykonać czynności opisane w punkcie Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych w celu skonfigurowania ustawień z konsoli węzła.
| ||||||
| 11 | Kliknij prawym przyciskiem myszy węzeł VM, a następnie wybierz . Oprogramowanie Hybrid Data Security jest instalowane jako gość w hostu VM. Teraz możesz zalogować się na konsoli i skonfigurować węzeł. Wskazówki dotyczące rozwiązywania problemów Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzła. Podczas pierwszego uruchamiania na konsoli pojawi się komunikat zapory mostowej, podczas którego nie można się zalogować. |
Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych
Użyj tej procedury, aby po raz pierwszy zalogować się na konsoli VM węzła hybrydowego zabezpieczenia danych i ustawić poświadczenia logowania. Konsola może również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.
| 1 | W kliencie VMware vSphere wybierz węzeł VM Hybrid Data Security i kartę Console . Maszyna zostanie uruchomiona i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie nie jest wyświetlany, naciśnij przycisk Enter.
|
| 2 | Aby się zalogować i zmienić poświadczenia, należy użyć następującego domyślnego loginu i hasła: Ponieważ logujesz się do VM po raz pierwszy, musisz zmienić hasło administratora. |
| 3 | Jeśli ustawienia sieci zostały już skonfigurowane w Instalowaniu OVA hosta usługi HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację. |
| 4 | Skonfiguruj statyczną konfigurację z adresem IP, maską, bramą i informacjami DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany. |
| 5 | (Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne do dopasowania do zasad sieci. Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509. |
| 6 | Zapisz konfigurację sieci i uruchom ponownie VM, aby zmiany weszły w życie. |
Prześlij i zamontuj ISO konfiguracji HDS
Przed rozpoczęciem
Ponieważ plik ISO zawiera klucz główny, powinien on być narażony tylko na „potrzebę wiedzy”, aby uzyskać dostęp do hybrydowych maszyn wirtualnych ds. bezpieczeństwa danych i wszystkich administratorów, którzy mogą wymagać wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mogą uzyskać dostęp do bazy danych.
| 1 | Prześlij plik ISO z komputera: |
| 2 | Montaż pliku ISO: |
Co zrobić dalej
Jeśli polityka IT wymaga, możesz opcjonalnie odmontować plik ISO po tym, jak wszystkie węzły podniosą zmiany w konfiguracji. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.
Konfigurowanie węzła HDS dla integracji serwera proxy
Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z Hybrid Data Security. Po wybraniu przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS można użyć interfejsu węzła do przesłania i zainstalowania certyfikatu głównego. Możesz również sprawdzić połączenie serwera proxy z poziomu interfejsu i rozwiązać ewentualne problemy.
Przed rozpoczęciem
Aby zapoznać się z opcjami obsługiwanego serwera proxy, zobacz Obsługa serwera proxy.
| 1 | Wprowadź adres URL konfiguracji węzła HDS |
| 2 | Przejdź do sklepu Trust Store & Proxy, a następnie wybierz opcję:
Postępuj zgodnie z kolejnymi krokami w celu przejrzystego kontrolowania serwera proxy, bezpośredniego serwera proxy HTTP z uwierzytelnianiem podstawowym lub bezpośredniego serwera proxy HTTPS. |
| 3 | Kliknij opcję Prześlij certyfikat główny lub certyfikat jednostki końcowej, a następnie przejdź do opcji Wybierz certyfikat główny serwera proxy. Certyfikat jest przesyłany, ale jeszcze nie został zainstalowany, ponieważ aby zainstalować certyfikat, należy ponownie uruchomić węzeł. Aby uzyskać więcej szczegółów, kliknij strzałkę chevron po nazwie emitenta certyfikatu lub kliknij opcję Usuń, jeśli popełniłeś błąd i chcesz ponownie przesłać plik. |
| 4 | Kliknij Check Proxy Connection (Sprawdź połączenie proxy), aby sprawdzić połączenie sieciowe między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, pojawi się komunikat o błędzie przedstawiający przyczynę i sposób naprawienia problemu. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS. Warunek ten jest oczekiwany w wielu wyraźnych konfiguracjach serwera proxy. Możesz kontynuować konfigurację, a węzeł będzie działał w trybie Zablokowanej Zewnętrznej Rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj poniższe czynności, a następnie zobacz Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS. |
| 5 | Po przejściu testu połączenia, w przypadku wyraźnego serwera proxy ustawionego tylko na https, włącz przełącznik do Trasowania wszystkich żądań portu 443/444 https z tego węzła za pomocą wyraźnego serwera proxy. To ustawienie wymaga 15 sekund działania. |
| 6 | Kliknij Instaluj Wszystkie Certyfikaty W Sklepie Zaufania (pojawi się dla wyraźnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawi się dla wyraźnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij opcję Instaluj , jeśli jesteś gotowy. Węzeł zostanie uruchomiony ponownie w ciągu kilku minut. |
| 7 | Po ponownym uruchomieniu węzła zaloguj się ponownie w razie potrzeby, a następnie otwórz stronę Przegląd , aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie mają zielony status. Kontrola połączenia z serwerem proxy sprawdza tylko poddomenę webex.com. Jeśli występują problemy z łącznością, powszechnym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy. |
Zarejestruj pierwszy węzeł w klastrze
Po zarejestrowaniu pierwszego węzła utwórz klaster, do którego jest przypisany węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia zwolnień.
Przed rozpoczęciem
Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.
| 1 | Zaloguj się w https://admin.webex.com. |
| 2 | W menu po lewej stronie ekranu wybierz opcję Usługi. |
| 3 | W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij przycisk Skonfiguruj. Zostanie wyświetlona strona węzła Zarejestruj hybrydowe zabezpieczenia danych.
|
| 4 | Wybierz Tak, aby wskazać, że węzeł został skonfigurowany i chcesz go zarejestrować, a następnie kliknij przycisk Dalej. |
| 5 | W pierwszym polu wprowadź nazwę klastra, do którego chcesz przypisać węzeł hybrydowego zabezpieczenia danych. Zalecamy nazwanie klastra na podstawie lokalizacji węzłów klastra. Przykłady: "San Francisco", "Nowy Jork" czy "Dallas" |
| 6 | W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej. Ten adres IP lub nazwa FQDN powinny być zgodne z adresem IP lub nazwą hosta i domeną używaną podczas konfigurowania hybrydowej maszyny wirtualnej ds. bezpieczeństwa danych. Pojawi się komunikat informujący, że można zarejestrować węzeł w usłudze Webex.
|
| 7 | Kliknij przycisk Przejdź do węzła. |
| 8 | Kliknij przycisk Kontynuuj w komunikacie ostrzegawczym. Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji Webex, aby uzyskać dostęp do węzła.
|
| 9 | Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
|
| 10 | Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub. Na stronie Hybrid Data Security jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.
|
Tworzenie i rejestrowanie większej liczby węzłów
| W tym czasie zapasowe maszyny wirtualne utworzone w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych są hostami gotowymi, które są używane tylko w przypadku odzyskiwania po awarii; do tego czasu nie są rejestrowane w systemie. Aby uzyskać szczegółowe informacje, patrz Przywracanie systemu po awarii za pomocą Standby Data Center. |
Przed rozpoczęciem
Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.
| 1 | Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Instalacji OVA hosta HDS. |
| 2 | Skonfiguruj konfigurację początkową na nowej maszynie wirtualnej, powtarzając kroki w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych. |
| 3 | W nowej maszynie wirtualnej wykonaj ponownie czynności opisane w polu Prześlij i zamontuj ISO konfiguracji HDS. |
| 4 | Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w Konfigurowaniu węzła HDS dla integracji serwera proxy zgodnie z potrzebami nowego węzła. |
| 5 | Zarejestruj węzeł. Twój węzeł jest zarejestrowany. Należy pamiętać, że do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie jest jeszcze aktywowana.
|
Co zrobić dalej
Przepływ próby do zadania produkcyjnego
Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.
Przed rozpoczęciem
| 1 | Jeśli dotyczy, zsynchronizuj Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać |
| 2 |
Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
| 3 | Przetestuj wdrożenie hybrydowego zabezpieczenia danych Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych. |
| 4 | Monitorowanie stanu hybrydowego bezpieczeństwa danych Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów. |
| 5 | |
| 6 | Zakończ fazę próbną, wykonując jedną z następujących czynności: |
Aktywuj wersję próbną
Przed rozpoczęciem
Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby dla organizacji. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.
| 1 | Zaloguj się do https://admin.webex.com, a następnie wybierz opcję Usługi. |
| 2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
| 3 | W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną. Stan usługi zmienia się w tryb próbny.
|
| 4 | Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług. (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, |
Przetestuj wdrożenie hybrydowego zabezpieczenia danych
Przed rozpoczęciem
Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.
Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.
| 1 | Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.
| ||
| 2 | Wysyłaj wiadomości do nowego obszaru. | ||
| 3 | Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych. |
Monitorowanie stanu hybrydowego bezpieczeństwa danych
| 1 | W Control Hub wybierz Usługi z menu po lewej stronie ekranu. |
| 2 | W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij Ustawienia. Zostanie wyświetlona strona Ustawienia zabezpieczeń danych hybrydowych.
|
| 3 | W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij przycisk Enter. |
Dodawanie lub usuwanie użytkowników z wersji próbnej
Jeśli usuniesz użytkownika z wersji próbnej, klient poprosi go o utworzenie kluczy i klawiszy z chmury KMS zamiast Twojego KMS. Jeśli klient potrzebuje klucza przechowywanego w KMS, Cloud KMS pobierze go w imieniu użytkownika.
Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory (zamiast tej procedury) do zarządzania grupą próbną, HdsTrialGroup; można wyświetlać członków grupy w Control Hub, ale nie można ich dodawać ani usuwać.
| 1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
| 2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
| 3 | W sekcji Tryby wersji próbnej w obszarze Stan usługi kliknij przycisk Dodaj użytkowników lub kliknij widok i edytuj , aby usunąć użytkowników z wersji próbnej. |
| 4 | Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania lub kliknij przycisk X identyfikatorem użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij Zapisz . |
Przeniesienie z wersji próbnej do produkcji
| 1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
| 2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
| 3 | W sekcji Stan usługi kliknij opcję Przenieś do produkcji. |
| 4 | Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji. |
Zakończ wersję próbną bez przejścia do produkcji
| 1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
| 2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
| 3 | W sekcji Dezaktywuj kliknij przycisk Dezaktywuj. |
| 4 | Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny. |
Zarządzanie wdrożeniem HDS
Użyj opisanych tutaj zadań do zarządzania wdrożeniem hybrydowego zabezpieczenia danych.
Ustaw harmonogram uaktualniania klastra
Aby ustawić harmonogram uaktualniania:
| 1 | Zaloguj się do Centrum sterowania . |
| 2 | Na stronie Przegląd w obszarze Usługi hybrydowe wybierz opcję Hybrid Data Security. |
| 3 | Na stronie Zasoby zabezpieczeń danych hybrydowych wybierz klaster. |
| 4 | W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra. |
| 5 | Na stronie Ustawienia w obszarze Uaktualnianie wybierz godzinę i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest następna dostępna data i godzina aktualizacji. W razie potrzeby można odroczyć uaktualnienie do następnego dnia, klikając opcję Odłóż. |
Zmień konfigurację węzła
Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.
Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do zarejestrowania klastra.
Aktualizowanie ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.
Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.
Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.
Ponadto, ze względów bezpieczeństwa, Hybrid Data Security używa haseł do kont usługi o dziewięciomiesięcznym okresie ważności. Gdy narzędzie konfiguracji HDS wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO . Gdy hasła organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex , aby zresetować hasło do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj API konta komputera, aby zaktualizować hasło”). Jeśli hasła jeszcze nie wygasły, narzędzie udostępnia dwie opcje:
Miękki reset — Stare i nowe hasło działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
Twardy reset — Stare hasła natychmiast przestają działać.
Jeśli hasła wygasną bez zresetowania, będzie to miało wpływ na usługę HDS i wymaga natychmiastowego twardego resetu i zastąpienia pliku ISO we wszystkich węzłach.
Ta procedura służy do generowania nowego konfiguracyjnego pliku ISO i zastosowania go do klastra.
Przed rozpoczęciem
Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas przywoływania kontenera Docker w 1.e. W tej tabeli podano kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTSerwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTSerwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTSerwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTDo wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO . ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.
| 1 | Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie konfiguracji HDS.
| ||||||
| 2 | Jeśli uruchomiony jest tylko jeden węzeł HDS , utwórz nową maszynę VM węzła Hybrid Data Security i zarejestruj ją przy użyciu nowego konfiguracyjnego pliku ISO . Aby uzyskać bardziej szczegółowe instrukcje, zobacz temat Tworzenie i rejestrowanie większej liczby węzłów. | ||||||
| 3 | W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO . Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła: | ||||||
| 4 | Powtórz krok 3, aby zastąpić konfigurację w każdym pozostałym węźle, na którym działa stara konfiguracja. |
Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS
Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznawać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb Zablokowanej zewnętrznej rozdzielczości DNS.
Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, uruchamiając ponownie test połączenia serwera proxy w każdym węźle.
Przed rozpoczęciem
| 1 | W przeglądarce internetowej otwórz interfejs węzła hybrydowego zabezpieczenia danych (adres IP/konfiguracja, na przykład https://192.0.2.0/setup), wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się. |
| 2 | Przejdź do Przegląd (strona domyślna). Po włączeniu Rozpoznawanie zablokowanego zewnętrznego DNS jest ustawiony na Tak . |
| 3 | Przejdź do strony Trust Store & Proxy. |
| 4 | Kliknij przycisk Sprawdź połączenie z serwerem proxy. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS i pozostanie w tym trybie. W przeciwnym razie po ponownym uruchomieniu węzła i powrocie na stronę Przegląd zablokowana zewnętrzna rozdzielczość DNS powinna być ustawiona na nr. |
Co zrobić dalej
Usuń węzeł
| 1 | Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi i wyłączyć maszynę wirtualną. |
| 2 | Usuń węzeł: |
| 3 | W kliencie vSphere usuń maszynę wirtualną (w lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij polecenie Usuń). Jeśli nie usuniesz VM, pamiętaj o usunięciu pliku ISO konfiguracji. Bez pliku ISO nie można użyć maszyny wirtualnej, aby uzyskać dostęp do danych bezpieczeństwa. |
Odzyskiwanie po awarii za pomocą Standby Data Center
Najbardziej krytyczną usługą oferowaną przez klaster Hybrid Data Security jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji przypisanego do hybrydowego zabezpieczenia danych nowe żądania tworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za przywrócenie kluczy, które został utworzony do wszystkich użytkowników upoważnionych do ich odzyskania, na przykład członków obszaru konwersacji.
Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby utrzymywały się odpowiednie kopie zapasowe. Utrata bazy danych hybrydowych zabezpieczeń danych lub układu ISO konfiguracji stosowanego dla schematu spowoduje NIEZBĘDNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, konieczne są następujące praktyki:
Jeśli awaria spowoduje, że wdrożenie HDS w głównym centrum danych stanie się niedostępne, postępuj zgodnie z tą procedurą, aby ręcznie przełączyć się na standby centrum danych.
| 1 | Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts. | ||
| 2 | Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
| 3 | Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń
| ||
| 4 | Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
| 5 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
| 6 | W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
| 7 | Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
| 8 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
| 9 | Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
(Opcjonalnie) Odmontować ISO Po Konfiguracji HDS
Standardowa konfiguracja HDS działa z zamontowanym ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale zamontowanych. Plik ISO można odmontować po odebraniu nowej konfiguracji przez wszystkie węzły HDS.
Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego ISO lub aktualizacji ISO za pomocą narzędzia konfiguracyjnego należy zamontować zaktualizowany ISO na wszystkich węzłach HDS. Po odebraniu zmian konfiguracji przez wszystkie węzły można ponownie rozmontować ISO za pomocą tej procedury.
Przed rozpoczęciem
Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.
| 1 | Zamknij jeden z węzłów HDS. |
| 2 | W urządzeniu VCenter Server Appliance wybierz węzeł HDS. |
| 3 | Wybierz i usuń zaznaczenie pliku Datastore ISO. |
| 4 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut. |
| 5 | Powtórz kolejno dla każdego węzła HDS. |
Wyświetlanie alertów i rozwiązywania problemów
Wdrożenie hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że wymaga przekroczenia czasu. Jeśli użytkownicy nie mogą skontaktować się z klastrem hybrydowego zabezpieczenia danych, mogą wystąpić następujące objawy:
Nie można utworzyć nowych obszarów (nie można utworzyć nowych kluczy)
Wiadomości i tytuły przestrzeni nie można odszyfrować dla:
Dodano nowych użytkowników do obszaru (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze będą z powodzeniem działać tak długo, jak ich klienci będą mieli pamięć podręczną kluczy szyfrowania
Ważne jest, aby odpowiednio monitorować klaster hybrydowego zabezpieczenia danych i szybko zwracać się do wszystkich alertów, aby uniknąć zakłóceń w obsłudze.
Alerty
Jeśli występuje problem z konfiguracją hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.
Alert | Czynność |
|---|---|
Niepowodzenie dostępu do lokalnej bazy danych. |
Sprawdź, czy występują błędy w bazie danych lub problemy z siecią lokalną. |
Niepowodzenie połączenia z lokalną bazą danych. |
Sprawdź, czy serwer bazy danych jest dostępny, a w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi. |
Niepowodzenie dostępu do usługi w chmurze. |
Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z wymaganiami Zewnętrznej łączności. |
Odnowienie rejestracji usług w chmurze. |
Zrezygnowano z rejestracji na usługi w chmurze. Trwa przedłużenie rejestracji. |
Rejestracja usług w chmurze została odrzucona. |
Rejestracja na usługi w chmurze została zakończona. Usługa jest wyłączona. |
Usługa jeszcze nie została aktywowana. |
Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do produkcji. |
Skonfigurowana domena nie odpowiada certyfikatowi serwera. |
Upewnij się, że certyfikat serwera jest zgodny z skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że certyfikat CN został ostatnio zmieniony i jest teraz inny niż CN, który był używany podczas początkowej konfiguracji. |
Nie można uwierzytelnić usług w chmurze. |
Kontrola poprawności i ewentualnego wygaśnięcia poświadczeń konta usługi. |
Nie można otworzyć lokalnego pliku keystore. |
Sprawdź integralność i dokładność hasła w lokalnym pliku keystore. |
Certyfikat lokalnego serwera jest nieprawidłowy. |
Sprawdź datę ważności certyfikatu serwera i potwierdź, że został on wydany przez zaufany urząd certyfikacji. |
Nie można publikować metryk. |
Sprawdź dostęp sieci lokalnej do zewnętrznych usług w chmurze. |
/media/configdrive/hds katalog nie istnieje. |
Sprawdź konfigurację montażu ISO na wirtualnym hostze. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu na ponownym uruchomieniu i czy został pomyślnie zainstalowany. |
Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych
| 1 | Przejrzyj Control Hub dla wszystkich alertów i naprawić wszystkie znalezione tam elementy. |
| 2 | Przejrzyj wyjście serwera dziennika systemowego pod kątem aktywności z wdrożenia hybrydowego zabezpieczenia danych. |
| 3 | Skontaktuj się z pomocą techniczną Cisco. |
Znane problemy dotyczące hybrydowych zabezpieczeń danych
Jeśli zamkniesz klaster hybrydowego zabezpieczenia danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych keystore, użytkownicy aplikacji Webex nie będą mogli już korzystać ze spacji na liście Osoby utworzonej za pomocą kluczy z KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia ani rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłudze aktywnych kont użytkowników.
Klient z istniejącym połączeniem ECDH z KMS utrzymuje to połączenie przez pewien czas (prawdopodobnie godzinę). Gdy użytkownik staje się członkiem próby hybrydowego zabezpieczenia danych, klient użytkownika nadal korzysta z istniejącego połączenia ECDH do czasu jego wyłączenia. Alternatywnie, użytkownik może wylogować się i wrócić do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w przypadku kluczy szyfrowania.
To samo zachowanie występuje podczas przenoszenia próby do produkcji dla organizacji. Wszyscy użytkownicy spoza wersji próbnej posiadający istniejące połączenia ECDH z poprzednimi służbami bezpieczeństwa danych będą nadal korzystać z tych usług do czasu renegocjacji połączenia ECDH (poprzez limit czasu lub poprzez wylogowanie i powrót).
Użyj protokołu OpenSSL, aby wygenerować plik PKCS12
Przed rozpoczęciem
OpenSSL jest jednym z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do ładowania w narzędziu konfiguracji HDS. Istnieją inne sposoby, aby to zrobić, i nie popieramy ani nie promujemy jednej drogi nad drugą.
Jeśli zdecydujesz się korzystać z OpenSSL, zapewniamy tę procedurę jako wytyczną, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatów X.509. Zrozum te wymagania, zanim przejdziesz dalej.
Zainstaluj OpenSSL w obsługiwanym środowisku. Patrz https://www.openssl.org oprogramowanie i dokumentacja.
Utwórz klucz prywatny.
Procedurę tę należy rozpocząć po otrzymaniu certyfikatu serwera od urzędu certyfikacji.
| 1 | Po otrzymaniu certyfikatu serwera z urzędu certyfikacji zapisz go jako |
| 2 | Wyświetl certyfikat jako tekst i zweryfikuj szczegóły.
|
| 3 | Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie
|
| 4 | Utwórz plik .p12 o przyjaznej nazwie
|
| 5 | Sprawdź szczegóły certyfikatu serwera. |
Co zrobić dalej
Powróć, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych. Korzystasz z hdsnode.p12 plik i ustawione dla niego hasło w Utwórz ISO konfiguracji dla prowadzących HDS.
| Możesz ponownie użyć tych plików, aby poprosić o nowy certyfikat po wygaśnięciu oryginalnego certyfikatu. |
Ruch między węzłami HDS a chmurą
Ruch zbierania metryk wychodzących
Węzły hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dla maks. stosu, stosowanego stosu, obciążenia procesora i liczenia wątków; metryki na wątkach synchronicznych i asynchronicznych; metryki na alertach obejmujące próg połączeń szyfrowania, opóźnienie lub długość kolejki żądań; metryki na zbiorniku danych; oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał poza pasmem (oddzielony od żądania).
Ruch przychodzący
Węzły hybrydowego zabezpieczenia danych otrzymują następujące typy ruchu przychodzącego z chmury Webex:
Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania
Aktualizacja do oprogramowania węzła
Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych
Websocket Nie Można Połączyć Za Pomocą Proxy Squid
Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS, mogą ingerować w tworzenie websocket ( wss:) połączenia, których wymaga Hybrid Data Security. Sekcje te zawierają wskazówki dotyczące konfigurowania różnych wersji Squid do ignorowania wss: ruch w celu prawidłowego funkcjonowania usług.
Squid 4 i 5
Dodaj on_unsupported_protocol dyrektywa do squid.conf:
on_unsupported_protocol tunnel allSquid 3.5.27
Z powodzeniem przetestowaliśmy hybrydowe zabezpieczenia danych, dodając następujące zasady squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizacji chmury Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allNowe i zmienione informacje
Data | Zmiany | ||
|---|---|---|---|
20 października 2023 r. |
| ||
07 sierpnia 2023 r. |
| ||
23 maja 2023 r. |
| ||
06 grudnia 2022 r. |
| ||
23 listopada 2022 r. |
| ||
13 października 2021 r. | Docker Desktop musi uruchomić program konfiguracji przed zainstalowaniem węzłów HDS. Zobacz Wymagania Dotyczące Pulpitu Docker. | ||
24 czerwca 2021 r. | Pamiętaj, że możesz ponownie użyć pliku klucza prywatnego i CSR, aby poprosić o inny certyfikat. Aby uzyskać szczegółowe informacje, zobacz Użyj OpenSSL, aby wygenerować plik PKCS12. | ||
| 30 kwietnia 2021 r. | Zmieniono wymaganie VM dla lokalnego miejsca na dysku twardym na 30 GB. Szczegółowe informacje można znaleźć w sekcji Wymagania wirtualnego prowadzącego. | ||
24 lutego 2021 r. | Narzędzie konfiguracji usługi HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie ISO konfiguracji hostów HDS. | ||
2 lutego 2021 r. | HDS może teraz działać bez zamontowanego pliku ISO. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS. | ||
11 stycznia 2021 r. | Dodano informacje o narzędziu do konfiguracji HDS i pełnomocnikach, aby utworzyć ISO konfiguracji dla prowadzących HDS. | ||
13 października 2020 r. | Zaktualizowano Pobierz pliki instalacyjne. | ||
8 października 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP. | ||
14 sierpnia 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła ze zmianami w procesie logowania. | ||
5 sierpnia 2020 r. | Zaktualizowano testowanie wdrażania hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika. Zaktualizowano wymagania hosta wirtualnego , aby usunąć maksymalną liczbę hostów. | ||
16 czerwca 2020 r. | Zaktualizowano Usuwanie węzła pod kątem zmian w interfejsie interfejsu Control Hub. | ||
4 czerwca 2020 r. | Zaktualizowano Tworzenie ISO konfiguracji dla hostów HDS w celu wprowadzenia zmian w ustawieniach zaawansowanych, które można ustawić. | ||
29 maja 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami interfejsu użytkownika i innymi wyjaśnieniami. | ||
5 maja 2020 r. | Zaktualizowano wymagania hosta wirtualnego , aby pokazać nowe wymagania ESXi 6.5. | ||
21 kwietnia 2020 r. | Zaktualizowane wymagania dotyczące łączności zewnętrznej z nowymi hostami CI Americas. | ||
1 kwietnia 2020 r. | Zaktualizowane wymagania dotyczące łączności zewnętrznej z informacjami na temat regionalnych prowadzących CI. | ||
| 20 lutego 2020 r. | Zaktualizowano Utwórz ISO konfiguracji hostów HDS z informacjami na nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu do konfiguracji HDS. | ||
| 4 lutego 2020 r. | Zaktualizowano wymagania serwera proxy. | ||
| 16 grudnia 2019 r. | Wyjaśnione wymagania dotyczące zablokowanego zewnętrznego trybu rozdzielczości DNS do pracy w wymaganiach serwera proxy. | ||
| 19 listopada 2019 r. | Dodano informacje o zablokowanym zewnętrznym trybie rozpoznawania DNS w następujących sekcjach: | ||
8 listopada 2019 r. | Teraz można skonfigurować ustawienia sieciowe węzła podczas wdrażania OVA, a nie później. Zaktualizowano odpowiednio następujące sekcje:
| ||
6 września 2019 r. | Dodano SQL Server Standard do wymagań serwera bazy danych. | ||
| 29 sierpnia 2019 r. | Dodano Configure Squid Proxies for Hybrid Data Security appendix z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu zignorowania ruchu websocket w celu prawidłowej obsługi. | ||
| 20 sierpnia 2019 r. | Dodano i zaktualizowano sekcje, aby objąć obsługę proxy komunikacji węzła hybrydowego bezpieczeństwa danych z chmurą Webex. Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł pomocy Proxy Support for Hybrid Data Security i Webex Video Mesh . | ||
| 13 czerwca 2019 r. | Zaktualizowano próbny do przepływu zadań produkcyjnych z przypomnieniem o synchronizacji HdsTrialGroup obiekt grupowy przed rozpoczęciem próby, jeśli Twoja organizacja korzysta z synchronizacji katalogu. | ||
| 6 marca 2019 r. |
| ||
| 28 lutego 2019 r. |
| ||
| 26 lutego 2019 r. |
| ||
24 stycznia 2019 r. |
| ||
| 5 listopada 2018 r. |
| ||
| 19 października 2018 r. |
| ||
31 lipca 2018 r. |
| ||
| 21 maja 2018 r. | Zmieniona terminologia odzwierciedlająca zmianę marki Cisco Spark:
| ||
| 11 kwietnia 2018 r. |
| ||
| 22 lutego 2018 r. |
| ||
| Luty 15, 2018 |
| ||
| Styczeń 18, 2018 |
| ||
2 listopada 2017 r. |
| ||
18 sierpnia 2017 r. | Pierwsza publikacja |
Przegląd zabezpieczeń danych hybrydowych
Od pierwszego dnia bezpieczeństwo danych było głównym celem projektowania aplikacji Webex. Podstawą tych zabezpieczeń jest kompleksowe szyfrowanie zawartości, włączane przez klientów aplikacji Webex , którzy wchodzą w interakcję z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.
Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS w obszarze bezpieczeństwa firmy Cisco. Hybrid Data Security przenosi usługę KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie ma kluczy do zaszyfrowanej zawartości.
Architektura domeny zabezpieczeń
Architektura chmury Webex oddziela różne rodzaje usług od osobnych domen lub domen zaufania, jak przedstawiono poniżej.
Aby lepiej zrozumieć hybrydowe zabezpieczenia danych, spójrzmy najpierw na ten przypadek czystej chmury, w którym firma Cisco zapewnia wszystkie funkcje w swoich domenach w chmurze. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od domeny bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od domeny, w której ostatecznie przechowywana jest zaszyfrowana zawartość, w centrum danych C.
Na tym schemacie klient to aplikacja Webex działająca na laptopie użytkownika i uwierzytelniona za pomocą usługi tożsamości. Gdy użytkownik komponuje wiadomość do wysłania do obszaru, wykonywane są następujące czynności:
Klient ustanawia bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie prosi o klucz do szyfrowania wiadomości. Bezpieczne połączenie korzysta z ECDH, a KMS szyfruje klucz przy użyciu klucza głównego AES-256.
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła go do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniach zawartości.
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w domenie przechowywania.
Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze, które składają się na usługę Webex (w tym pamięć masowa tożsamości i zawartości), pozostają w domenach Cisco.
Współpraca z innymi organizacjami
Użytkownicy w organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników prosi o klucz do obszaru należącego do organizacji (ponieważ został on utworzony przez jednego z użytkowników), KMS wysyła klucz do klienta za pośrednictwem kanału zabezpieczonego ECDH. Jednak gdy inna organizacja jest właścicielem klucza dla obszaru, system KMS kieruje żądanie do chmury Webex przez osobny kanał ECDH, aby uzyskać klucz z odpowiedniego systemu KMS, a następnie zwraca go do użytkownika na oryginalnym kanale.
Usługa KMS działająca na Org A weryfikuje połączenia z KMSs w innych organizacjach za pomocą certyfikatów PKI x.509. Aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użytku z wdrożeniem hybrydowego zabezpieczenia danych, zobacz Prepare Your Environment (Przygotowanie środowiska).
Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych
Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klienta i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.
Aby wdrożyć hybrydowe zabezpieczenia danych, należy zapewnić:
Bezpieczne centrum danych w kraju, który jest obsługiwaną lokalizacją dla planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w punkcie Przygotowanie środowiska.
Kompletna utrata konfiguracji ISO utworzonej dla hybrydowego zabezpieczenia danych lub dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:
Zarządzanie kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.
Przygotuj się do szybkiego odzyskiwania awaryjnego w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub awaria centrum danych.
| Nie ma mechanizmu przenoszenia kluczy z powrotem do chmury po wdrożeniu HDS. |
Proces konfiguracji na wysokim poziomie
Niniejszy dokument obejmuje konfigurację i zarządzanie wdrożeniem hybrydowego zabezpieczenia danych:
Skonfiguruj hybrydowe zabezpieczenia danych— obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, testowanie wdrożenia z podzbiorem użytkowników w trybie próbnym oraz, po zakończeniu testów, przejście do produkcji. Spowoduje to konwertowanie całej organizacji do używania klastra Hybrid Data Security dla funkcji zabezpieczeń.
Etapy konfiguracji, prób i produkcji zostały szczegółowo omówione w kolejnych trzech rozdziałach.
Utrzymuj wdrożenie hybrydowego zabezpieczenia danych— chmura Webex automatycznie zapewnia trwające uaktualnienia. Dział IT może zapewnić wsparcie poziomu pierwszego dla tego wdrożenia i zaangażować wsparcie Cisco w razie potrzeby. Możesz korzystać z powiadomień na ekranie i konfigurować alerty oparte na wiadomościach e-mail w Control Hub.
Zrozumienie wspólnych alertów, kroków rozwiązywania problemów i znanych problemów— w przypadku wystąpienia problemów z wdrożeniem lub użyciem hybrydowego zabezpieczenia danych ostatni rozdział niniejszego przewodnika i dodatku do Znanych problemów może pomóc w określeniu i rozwiązaniu problemu.
Hybrydowy model wdrażania zabezpieczeń danych
W centrum danych przedsiębiorstwa wdrażasz hybrydowe zabezpieczenia danych jako jeden klaster węzłów na osobnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych websocketów i bezpiecznego protokołu HTTP.
Podczas procesu instalacji dostarczamy Ci plik OVA do skonfigurowania urządzenia wirtualnego na dostarczonych maszynach wirtualnych. Narzędzie konfiguracyjne HDS służy do tworzenia niestandardowego pliku ISO konfiguracji klastra, który jest montowany w każdym węźle. Klaster Hybrid Data Security korzysta z dostarczonego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu konfiguracji HDS).
Minimalna liczba węzłów w klastrze to dwa. Zalecamy co najmniej trzy, a możesz mieć do pięciu. Posiadanie wielu węzłów zapewnia, że usługa nie zostanie przerwana podczas uaktualniania oprogramowania lub innej czynności konserwacyjnej w węźle. (Chmura Webex aktualizuje tylko jeden węzeł naraz).
Wszystkie węzły w klastrze mają dostęp do tego samego rekordu danych klucza i aktywności dziennika na tym samym serwerze dziennika systemowego. Same węzły są bezpaństwowe i obsługują żądania kluczy w sposób okrągły, zgodnie z zaleceniami chmury.
Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby usunąć pojedynczy węzeł z usługi, można go wyrejestrować, a następnie ponownie wyrejestrować w razie potrzeby.
Obsługujemy tylko jeden klaster na organizację.
Tryb próbny zabezpieczeń danych hybrydowych
Po skonfigurowaniu wdrożenia hybrydowego zabezpieczenia danych spróbuj go najpierw z zestawem użytkowników pilotażowych. W okresie próbnym użytkownicy ci wykorzystują lokalną domenę hybrydowego zabezpieczenia danych do szyfrowania kluczy i innych usług domeny zabezpieczeń. Inni użytkownicy nadal korzystają ze sfery zabezpieczeń w chmurze.
Jeśli zdecydujesz się nie kontynuować wdrażania podczas wersji próbnej i dezaktywować usługi, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi współpracowali, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zostanie wyświetlony komunikat „Nie można odszyfrować tej wiadomości” w aplikacji Webex.
Jeśli jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych i jesteś gotowy do rozszerzenia hybrydowego zabezpieczenia danych na wszystkich użytkowników, przenosisz wdrożenie do produkcji. Użytkownicy pilotażowi nadal mają dostęp do kluczy, które były używane podczas próby. Nie można jednak poruszać się w tę i z powrotem między trybem produkcji a oryginalnym testem. Jeśli musisz dezaktywować usługę, na przykład w celu przeprowadzenia odzyskiwania po awarii, po ponownej aktywacji musisz rozpocząć nową wersję próbną i skonfigurować zestaw użytkowników pilotażowych dla nowej wersji próbnej przed powrotem do trybu produkcji. To, czy użytkownicy zachowują w tym momencie dostęp do danych, zależy od tego, czy udało się zachować kopie zapasowe kluczowego magazynu danych i pliku konfiguracyjnego ISO dla węzłów hybrydowych zabezpieczeń danych w klastrze.
Standby Data Center for Disaster Recovery
Podczas wdrażania skonfigurowano bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie anulować wdrożenie do centrum danych w trybie gotowości.
Bazy danych aktywnych i standby centrów danych są ze sobą zsynchronizowane, co zminimalizuje czas potrzebny na wykonanie przełącznika awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają rejestrację węzłów w organizacji, ale nie obsługują ruchu. Stąd węzły standby data center zawsze pozostają aktualne z najnowszą wersją oprogramowania HDS.
| Aktywne węzły hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych. |
Konfiguracja Standby Data Center do odzyskiwania awarii
Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:
Przed rozpoczęciem
Centrum danych w stanie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych oraz zapasową bazę danych PostgreSQL lub Microsoft SQL Server. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne (zobacz Standby Data Center for Disaster Recovery , aby zapoznać się z tym modelem failover).
Upewnij się, że synchronizacja bazy danych jest włączona między bazą danych aktywnych i pasywnych węzłów klastra.
| 1 | Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.
| ||
| 2 | Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
| 3 | Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwał żadnego ruchu.
| ||
| 4 | Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
| 5 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
| 6 | W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
| 7 | Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
| 8 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
| 9 | Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
Po skonfigurowaniu passiveMode w pliku ISO i zapisanie go można utworzyć inną kopię pliku ISO bez passiveMode konfigurację i zapisanie w bezpiecznym miejscu. Ta kopia pliku ISO bez passiveMode skonfigurowany może pomóc w szybkim procesie awaryjnym podczas odzyskiwania po awarii. Aby zapoznać się ze szczegółową procedurą przywracania awaryjnego za pomocą Standby Data Center (Centrum danych gotowości).
Wsparcie proxy
Hybrydowe zabezpieczenia danych obsługują jednoznaczne, przejrzyste inspekcje i nieinspekcje serwerów proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby można było zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy można używać w węzłach do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.
Węzły hybrydowego zabezpieczenia danych obsługują następujące opcje serwera proxy:
Brak serwera proxy — ustawienie domyślne, jeśli w celu zintegrowania serwera proxy nie jest używane do konfiguracji węzła HDS Trust Store & Proxy. Nie jest wymagana aktualizacja certyfikatu.
Przejrzysty serwer proxy niekontrolowany — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z serwerem proxy niekontrolowanym. Nie jest wymagana aktualizacja certyfikatu.
Przejrzyste tunelowanie lub sprawdzanie serwera proxy — węzły nie są skonfigurowane do korzystania z określonego adresu serwera proxy. W węzłach nie są konieczne zmiany konfiguracji protokołu HTTP ani protokołu HTTPS. Węzły potrzebują jednak certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).
Wyraźny serwer proxy — w przypadku wyraźnego serwera proxy należy wskazać węzły HDS, których serwer proxy i schemat uwierzytelniania należy używać. Aby skonfigurować wyraźny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.
Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.
Protokół proxy— w zależności od tego, co obsługuje serwer proxy, wybierz między następującymi protokołami:
HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
HTTPS — udostępnia kanał do serwera. Klient odbiera i weryfikuje certyfikat serwera.
Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:
Brak — dalsze uwierzytelnianie nie jest wymagane.
Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.
Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.
Dostępne tylko po wybraniu protokołu HTTPS jako protokołu proxy.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Przykład węzłów hybrydowych zabezpieczeń danych i serwera proxy
Na tym wykresie przedstawiono przykładowe połączenie między hybrydowym zabezpieczeniem danych, siecią i serwerem proxy. W przypadku opcji przejrzystej inspekcji i jawnej inspekcji serwera proxy HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach hybrydowych zabezpieczeń danych.
Zablokowany zewnętrzny tryb rozpoznawania DNS (wyraźne konfiguracje serwera proxy)
Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. W przypadku wdrożeń z wyraźnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzną rozdzielczość DNS dla klientów wewnętrznych, jeśli węzeł nie może wyszukiwać serwerów DNS, automatycznie przechodzi on w tryb Zablokowanej zewnętrznej rozdzielczości DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.
Wymagania dotyczące hybrydowego bezpieczeństwa danych
Wymagania licencyjne Cisco Webex
Aby wdrożyć hybrydowe zabezpieczenia danych:
Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub (patrz https://www.cisco.com/go/pro-pack).
Docker Wymagania pulpitowe
Przed zainstalowaniem węzłów HDS potrzebny jest Docker Desktop do uruchomienia programu konfiguracji. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis w blogu platformy Docker, „ Docker aktualizuje i rozszerza subskrypcje naszych produktów ”.
Wymagania dotyczące certyfikatu X.509
Łańcuch certyfikatów musi spełniać następujące wymagania:
Wymaganie | Szczegóły |
|---|---|
| Domyślnie ufamy urzędnikom na liście Mozilla (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs. |
| CN nie musi być osiągalne ani hostem na żywo. Zalecamy używanie nazwy odzwierciedlającej np. organizację, CN nie może zawierać * (wildcard). CN służy do weryfikacji węzłów hybrydowych zabezpieczeń danych dla klientów aplikacji Webex. Wszystkie węzły hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. System KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie obsługujemy zmiany nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych. |
| Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu weryfikacji połączeń z KMSs innych organizacji. |
| Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Po uruchomieniu narzędzia konfiguracji usługi HDS należy wprowadzić hasło. |
Oprogramowanie KMS nie wymusza użycia klucza ani nie nakłada dodatkowych ograniczeń w jego używaniu. Niektóre organy certyfikatów wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia użycia kluczy, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.
Wymagania dotyczące wirtualnego prowadzącego
Wirtualne hosty skonfigurowane jako węzły hybrydowego zabezpieczenia danych w klastrze mają następujące wymagania:
Co najmniej dwa osobne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych
Oprogramowanie VMware ESXi 6.5 (lub nowsze) zostało zainstalowane i uruchomione.
Jeśli masz wcześniejszą wersję ESXi, musisz ją uaktualnić.
Minimum 4 procesory vCPUs, 8-GB pamięci głównej, 30-GB lokalnego miejsca na dysk twardy na serwer
Wymagania serwera bazy danych
| Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych. |
Istnieją dwie opcje dla serwera bazy danych. Wymagania dla każdego z nich są następujące:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) | Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) |
Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC kierowca 42.2.5 | SQL Server JDBC sterownik 4.6 Ta wersja sterownika obsługuje program SQL Server Always On (Always On Failover Cluster Instances oraz Always On availability groups). |
Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w usłudze Microsoft SQL Server
Jeśli chcesz, aby węzły HDS używały uwierzytelniania w systemie Windows, aby uzyskać dostęp do bazy danych keystore na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w swoim środowisku:
Węzły HDS, infrastruktura Active Directory i MS SQL Server muszą być synchronizowane z NTP.
Konto systemu Windows dla węzłów HDS musi mieć dostęp do bazy danych do odczytu/zapisu.
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozwiązać klucz centrum dystrybucji (KDC).
Wystąpienie bazy danych HDS można zarejestrować na serwerze Microsoft SQL Server jako główną nazwę usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.
Narzędzie do konfigurowania HDS, uruchamianie HDS i lokalne KMS muszą używać uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych keystore. Używają szczegółów z konfiguracji ISO do budowy SPN podczas żądania dostępu za pomocą uwierzytelniania Kerberos.
Wymagania dotyczące połączeń zewnętrznych
Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:
Aplikacja | Protokół | Port | Polecenie z aplikacji | Miejsce docelowe |
|---|---|---|---|---|
Węzły hybrydowego zabezpieczenia danych | TCP | 443 | Zewnętrzne HTTPS i WSS |
|
Narzędzie do konfigurowania HDS | TCP | 443 | Zewnętrzny protokół HTTPS |
|
| Węzły hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub za zaporą, o ile NAT lub zapora zezwala na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują dostępu do węzłów hybrydowych zabezpieczeń danych w portach TCP 443 i 22 do celów administracyjnych. |
Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Są to bieżące hosty CI:
Region | Wspólne adresy URL prowadzącego tożsamości |
|---|---|
Ameryka |
|
Unia Europejska |
|
Kanada |
|
Wymagania serwera proxy
Oficjalnie obsługujemy następujące rozwiązania proxy, które mogą integrować się z węzłami hybrydowego zabezpieczenia danych.
Przejrzysty serwer proxy — Cisco Web Security Appliance (WSA).
Wyraźny serwer proxy — Squid.
Proxies Squid, które sprawdzają ruch HTTPS może kolidować z ustanowieniem websocket (wss:) połączeń. Aby rozwiązać ten problem, zobacz Configure Squid Proxies for Hybrid Data Security.
Obsługujemy następujące kombinacje typów uwierzytelniania dla serwerów proxy:
Brak uwierzytelniania przy użyciu protokołu HTTP lub HTTPS
Uwierzytelnianie podstawowe przy użyciu protokołu HTTP lub HTTPS
Uwierzytelnianie przy użyciu protokołu HTTPS
W przypadku przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS należy posiadać kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania zawarte w tym przewodniku informują o sposobie przesłania kopii do sklepów zaufania węzłów hybrydowych zabezpieczeń danych.
Sieć hostująca węzły HDS musi być skonfigurowana tak, aby wymuszać wychodzący ruch TCP na porcie 443 na trasę przez serwer proxy.
Serwery proxy, które kontrolują ruch sieciowy, mogą zakłócać połączenia z gniazdem internetowym. Jeśli wystąpi ten problem, omijając (nie kontrolując) ruch do
wbx2.comiciscospark.comrozwiąże problem.
Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych
| 1 | Upewnij się, że Twoja organizacja Webex jest włączona dla pakietu Pro Pack dla Cisco Webex Control Hub i uzyskaj poświadczenia konta z pełnymi prawami administratora organizacji. Aby uzyskać pomoc w tym procesie, skontaktuj się z partnerem firmy Cisco lub menedżerem konta. | ||
| 2 | Wybierz nazwę domeny dla wdrożenia HDS (na przykład | ||
| 3 | Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły hybrydowego zabezpieczenia danych w klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych, które spełniają wymagania w Wymagania wirtualnego hosta. | ||
| 4 | Przygotuj serwer bazy danych, który będzie działał jako kluczowy magazyn danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być zestawiony w bezpiecznym centrum danych z wirtualnymi hostami. | ||
| 5 | W celu szybkiego odzyskiwania danych po awarii należy skonfigurować środowisko tworzenia kopii zapasowych w innym centrum danych. Środowisko tworzenia kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i zapasowego serwera bazy danych. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne. | ||
| 6 | Skonfiguruj hosta dziennika systemowego, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemowego (domyślnie jest to UDP 514). | ||
| 7 | Utwórz bezpieczne zasady tworzenia kopii zapasowych węzłów hybrydowych zabezpieczeń danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec niemożliwej do odzyskania utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów hybrydowych zabezpieczeń danych.
Klienci aplikacji Webex przechowują klucze w pamięci podręcznej, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się widoczna. Chociaż tymczasowe przerwy są niemożliwe do zapobieżenia, są one do odzyskania. Jednak całkowita utrata (brak kopii zapasowych) bazy danych lub pliku konfiguracyjnego ISO spowoduje niemożliwy do odzyskania dane klienta. Oczekuje się, że operatorzy węzłów hybrydowego bezpieczeństwa danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowy centrum danych hybrydowego bezpieczeństwa danych w przypadku wystąpienia katastrofalnej awarii. | ||
| 8 | Upewnij się, że konfiguracja zapory umożliwia dostęp do łączności w węzłach hybrydowych zabezpieczeń danych, jak opisano w Zewnętrznych wymogach dotyczących łączności. | ||
| 9 | Zainstaluj Docker ( https://www.docker.com) na każdej maszynie lokalnej z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080. Za pomocą wystąpienia Docker można pobrać i uruchomić narzędzie konfiguracji HDS, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów hybrydowych zabezpieczeń danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania Dotyczące Pulpitu Dockera. Aby zainstalować i uruchomić narzędzie do konfiguracji HDS, lokalna maszyna musi mieć łączność opisaną w Zewnętrznych wymaganiach dotyczących łączności. | ||
| 10 | Jeśli integrujesz serwer proxy z hybrydowymi zabezpieczeniami danych, upewnij się, że spełnia on wymagania serwera proxy. | ||
| 11 | Jeśli Twoja organizacja używa synchronizacji katalogu, utwórz grupę w usłudze Active Directory o nazwie
|
Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych
Przed rozpoczęciem
| 1 |
Pobierz plik OVA do lokalnego komputera, aby później go użyć. | ||
| 2 | Tworzenie ISO konfiguracji dla prowadzących HDS Za pomocą narzędzia konfiguracyjnego HDS można utworzyć plik konfiguracyjny ISO dla węzłów hybrydowych zabezpieczeń danych. | ||
| 3 |
Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe.
| ||
| 4 | Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych Zaloguj się na konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA. | ||
| 5 | Prześlij i zamontuj ISO konfiguracji HDS Skonfiguruj VM z pliku konfiguracyjnego ISO utworzonego za pomocą narzędzia do konfiguracji HDS. | ||
| 6 | Konfigurowanie węzła HDS dla integracji serwera proxy Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, którego użyjesz dla węzła, i w razie potrzeby dodaj certyfikat serwera proxy do sklepu zaufania. | ||
| 7 | Zarejestruj pierwszy węzeł w klastrze Zarejestruj maszynę wirtualną za pomocą chmury Cisco Webex jako węzeł hybrydowego zabezpieczenia danych. | ||
| 8 | Tworzenie i rejestrowanie większej liczby węzłów Zakończ konfigurację klastra. | ||
| 9 | Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział) Do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
Pobierz pliki instalacyjne
| 1 | Zaloguj się do https://admin.webex.com, a następnie kliknij opcję Usługi. | ||||
| 2 | W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych, a następnie kliknij przycisk Skonfiguruj. Jeśli karta jest wyłączona lub jej nie widzisz, skontaktuj się z zespołem ds. kont lub organizacją partnerską. Podaj im numer konta i poproś o włączenie organizacji Hybrid Data Security. Aby znaleźć numer konta, kliknij bieg w prawym górnym rogu obok nazwy organizacji.
| ||||
| 3 | Wybierz Nie , aby wskazać, że węzeł nie został jeszcze skonfigurowany, a następnie kliknij przycisk Dalej. Plik OVA automatycznie zaczyna się pobierać. Zapisz plik w lokalizacji na komputerze.
| ||||
| 4 | Opcjonalnie kliknij Open Deployment Guide (Otwórz przewodnik wdrażania), aby sprawdzić, czy dostępna jest późniejsza wersja tego przewodnika. |
Tworzenie ISO konfiguracji dla prowadzących HDS
Proces konfiguracji hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie należy użyć ISO do skonfigurowania hosta hybrydowego bezpieczeństwa danych.
Przed rozpoczęciem
Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas podnoszenia kontenera Docker w kroku 5. W tej tabeli podano kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTSerwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTSerwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTSerwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTWygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Potrzebna jest najnowsza kopia tego pliku, gdy wprowadzasz zmiany w konfiguracji, takie jak:
Poświadczenia bazy danych
Aktualizacje certyfikatów
Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrowanie połączeń z bazą danych, skonfiguruj wdrożenie programu PostgreSQL lub SQL Server dla TLS.
| 1 | W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: W środowiskach FedRAMP:
| ||||||||||||
| 2 | Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: | ||||||||||||
| 3 | Po wyświetleniu monitu o hasło wprowadź ten skrót: | ||||||||||||
| 4 | Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: W środowiskach FedRAMP: | ||||||||||||
| 5 | Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:
Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”. | ||||||||||||
| 6 |
Użyj przeglądarki internetowej, aby przejść do hosta lokalizacji, Narzędzie używa tego pierwszego wpisu nazwy użytkownika, aby ustawić odpowiednie środowisko dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie. | ||||||||||||
| 7 | Po wyświetleniu monitu wprowadź poświadczenia logowania administratora klienta Control Hub, a następnie kliknij przycisk Zaloguj się , aby zezwolić na dostęp do wymaganych usług Hybrid Data Security. | ||||||||||||
| 8 | Na stronie Przegląd narzędzia konfiguracyjnego kliknij Rozpocznij. | ||||||||||||
| 9 | Na stronie ISO Import dostępne są następujące opcje:
| ||||||||||||
| 10 | Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatów X.509.
| ||||||||||||
| 11 | Wprowadź adres bazy danych i konto HDS, aby uzyskać dostęp do klucza danych: | ||||||||||||
| 12 | Wybierz tryb połączenia z bazą danych TLS:
Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracji HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie sprawdza również osobę podpisującą certyfikat i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w połączeniach węzły HDS mogą być w stanie nawiązać połączenie TLS, nawet jeśli maszyna narzędziowa HDS Setup Tool nie jest w stanie go przetestować). | ||||||||||||
| 13 | Na stronie Dzienniki systemu skonfiguruj serwer Syslogd: | ||||||||||||
| 14 | (Opcjonalnie) W ustawieniach zaawansowanych można zmienić wartość domyślną niektórych parametrów połączenia z bazą danych. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić: | ||||||||||||
| 15 | Kliknij przycisk Kontynuuj na ekranie Resetuj hasło konta usługi . Hasła konta serwisowego mają okres dziewięciu miesięcy. Użyj tego ekranu, gdy hasła zbliżają się do wygaśnięcia lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO. | ||||||||||||
| 16 | Kliknij opcję Pobierz plik ISO. Zapisz plik w lokalizacji, którą łatwo znaleźć. | ||||||||||||
| 17 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||||||||||||
| 18 | Aby zamknąć narzędzie Setup, wpisz: |
Co zrobić dalej
Kopia zapasowa pliku ISO konfiguracji. Musisz utworzyć więcej węzłów do odzyskiwania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Odzyskiwanie kluczy z bazy danych PostgreSQL lub Microsoft SQL Server nie jest możliwe.
| Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz. |
Instalowanie OVA hosta HDS
| 1 | Aby zalogować się do wirtualnego hosta ESXi, użyj klienta VMware vSphere na komputerze. | ||||||
| 2 | Wybierz Plik > Wdrożenie szablonu OVF. | ||||||
| 3 | W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij Następny. | ||||||
| 4 | Na ekranie Wybierz nazwę i folder strona, wprowadź Nazwa maszyny wirtualnej dla węzła (na przykład „HDS_Node_1”) wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Następny. | ||||||
| 5 | Na ekranie Wybierz zasób obliczeniowy strona, wybierz docelowy zasób obliczeniowy, a następnie kliknij Następny. Trwa kontrola walidacji. Po jego zakończeniu pojawiają się szczegóły szablonu. | ||||||
| 6 | Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej. | ||||||
| 7 | Jeśli zostaniesz poproszony o wybranie konfiguracji zasobów na stronie Konfiguracja strona, kliknij 4 CPU a następnie kliknij Następny. | ||||||
| 8 | Na ekranie Wybierz miejsce strona, kliknij Następny aby zaakceptować domyślny format dysku i zasady przechowywania VM. | ||||||
| 9 | Na ekranie Wybierz sieci na stronie wybierz opcję sieci z listy pozycji, aby zapewnić żądaną łączność z maszyną wirtualną. | ||||||
| 10 | Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieci:
Jeśli jest to preferowane, można pominąć konfigurację ustawień sieci i wykonać czynności opisane w punkcie Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych w celu skonfigurowania ustawień z konsoli węzła.
| ||||||
| 11 | Kliknij prawym przyciskiem myszy węzeł VM, a następnie wybierz . Oprogramowanie Hybrid Data Security jest instalowane jako gość w hostu VM. Teraz możesz zalogować się na konsoli i skonfigurować węzeł. Wskazówki dotyczące rozwiązywania problemów Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzła. Podczas pierwszego uruchamiania na konsoli pojawi się komunikat zapory mostowej, podczas którego nie można się zalogować. |
Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych
Użyj tej procedury, aby po raz pierwszy zalogować się na konsoli VM węzła hybrydowego zabezpieczenia danych i ustawić poświadczenia logowania. Konsola może również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.
| 1 | W kliencie VMware vSphere wybierz węzeł VM Hybrid Data Security i kartę Console . Maszyna zostanie uruchomiona i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie nie jest wyświetlany, naciśnij przycisk Enter.
|
| 2 | Aby się zalogować i zmienić poświadczenia, należy użyć następującego domyślnego loginu i hasła: Ponieważ logujesz się do VM po raz pierwszy, musisz zmienić hasło administratora. |
| 3 | Jeśli ustawienia sieci zostały już skonfigurowane w Instalowaniu OVA hosta usługi HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację. |
| 4 | Skonfiguruj statyczną konfigurację z adresem IP, maską, bramą i informacjami DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany. |
| 5 | (Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne do dopasowania do zasad sieci. Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509. |
| 6 | Zapisz konfigurację sieci i uruchom ponownie VM, aby zmiany weszły w życie. |
Prześlij i zamontuj ISO konfiguracji HDS
Przed rozpoczęciem
Ponieważ plik ISO zawiera klucz główny, powinien on być narażony tylko na „potrzebę wiedzy”, aby uzyskać dostęp do hybrydowych maszyn wirtualnych ds. bezpieczeństwa danych i wszystkich administratorów, którzy mogą wymagać wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mogą uzyskać dostęp do bazy danych.
| 1 | Prześlij plik ISO z komputera: |
| 2 | Montaż pliku ISO: |
Co zrobić dalej
Jeśli polityka IT wymaga, możesz opcjonalnie odmontować plik ISO po tym, jak wszystkie węzły podniosą zmiany w konfiguracji. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.
Konfigurowanie węzła HDS dla integracji serwera proxy
Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z Hybrid Data Security. Po wybraniu przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS można użyć interfejsu węzła do przesłania i zainstalowania certyfikatu głównego. Możesz również sprawdzić połączenie serwera proxy z poziomu interfejsu i rozwiązać ewentualne problemy.
Przed rozpoczęciem
Aby zapoznać się z opcjami obsługiwanego serwera proxy, zobacz Obsługa serwera proxy.
| 1 | Wprowadź adres URL konfiguracji węzła HDS |
| 2 | Przejdź do sklepu Trust Store & Proxy, a następnie wybierz opcję:
Postępuj zgodnie z kolejnymi krokami w celu przejrzystego kontrolowania serwera proxy, bezpośredniego serwera proxy HTTP z uwierzytelnianiem podstawowym lub bezpośredniego serwera proxy HTTPS. |
| 3 | Kliknij opcję Prześlij certyfikat główny lub certyfikat jednostki końcowej, a następnie przejdź do opcji Wybierz certyfikat główny serwera proxy. Certyfikat jest przesyłany, ale jeszcze nie został zainstalowany, ponieważ aby zainstalować certyfikat, należy ponownie uruchomić węzeł. Aby uzyskać więcej szczegółów, kliknij strzałkę chevron po nazwie emitenta certyfikatu lub kliknij opcję Usuń, jeśli popełniłeś błąd i chcesz ponownie przesłać plik. |
| 4 | Kliknij Check Proxy Connection (Sprawdź połączenie proxy), aby sprawdzić połączenie sieciowe między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, pojawi się komunikat o błędzie przedstawiający przyczynę i sposób naprawienia problemu. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS. Warunek ten jest oczekiwany w wielu wyraźnych konfiguracjach serwera proxy. Możesz kontynuować konfigurację, a węzeł będzie działał w trybie Zablokowanej Zewnętrznej Rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj poniższe czynności, a następnie zobacz Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS. |
| 5 | Po przejściu testu połączenia, w przypadku wyraźnego serwera proxy ustawionego tylko na https, włącz przełącznik do Trasowania wszystkich żądań portu 443/444 https z tego węzła za pomocą wyraźnego serwera proxy. To ustawienie wymaga 15 sekund działania. |
| 6 | Kliknij Instaluj Wszystkie Certyfikaty W Sklepie Zaufania (pojawi się dla wyraźnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawi się dla wyraźnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij opcję Instaluj , jeśli jesteś gotowy. Węzeł zostanie uruchomiony ponownie w ciągu kilku minut. |
| 7 | Po ponownym uruchomieniu węzła zaloguj się ponownie w razie potrzeby, a następnie otwórz stronę Przegląd , aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie mają zielony status. Kontrola połączenia z serwerem proxy sprawdza tylko poddomenę webex.com. Jeśli występują problemy z łącznością, powszechnym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy. |
Zarejestruj pierwszy węzeł w klastrze
Po zarejestrowaniu pierwszego węzła utwórz klaster, do którego jest przypisany węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia zwolnień.
Przed rozpoczęciem
Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.
| 1 | Zaloguj się w https://admin.webex.com. |
| 2 | W menu po lewej stronie ekranu wybierz opcję Usługi. |
| 3 | W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij przycisk Skonfiguruj. Zostanie wyświetlona strona węzła Zarejestruj hybrydowe zabezpieczenia danych.
|
| 4 | Wybierz Tak, aby wskazać, że węzeł został skonfigurowany i chcesz go zarejestrować, a następnie kliknij przycisk Dalej. |
| 5 | W pierwszym polu wprowadź nazwę klastra, do którego chcesz przypisać węzeł hybrydowego zabezpieczenia danych. Zalecamy nazwanie klastra na podstawie lokalizacji węzłów klastra. Przykłady: "San Francisco", "Nowy Jork" czy "Dallas" |
| 6 | W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej. Ten adres IP lub nazwa FQDN powinny być zgodne z adresem IP lub nazwą hosta i domeną używaną podczas konfigurowania hybrydowej maszyny wirtualnej ds. bezpieczeństwa danych. Pojawi się komunikat informujący, że można zarejestrować węzeł w usłudze Webex.
|
| 7 | Kliknij przycisk Przejdź do węzła. |
| 8 | Kliknij przycisk Kontynuuj w komunikacie ostrzegawczym. Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji Webex, aby uzyskać dostęp do węzła.
|
| 9 | Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
|
| 10 | Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub. Na stronie Hybrid Data Security jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.
|
Tworzenie i rejestrowanie większej liczby węzłów
| W tym czasie zapasowe maszyny wirtualne utworzone w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych są hostami gotowymi, które są używane tylko w przypadku odzyskiwania po awarii; do tego czasu nie są rejestrowane w systemie. Aby uzyskać szczegółowe informacje, patrz Przywracanie systemu po awarii za pomocą Standby Data Center. |
Przed rozpoczęciem
Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.
| 1 | Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Instalacji OVA hosta HDS. |
| 2 | Skonfiguruj konfigurację początkową na nowej maszynie wirtualnej, powtarzając kroki w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych. |
| 3 | W nowej maszynie wirtualnej wykonaj ponownie czynności opisane w polu Prześlij i zamontuj ISO konfiguracji HDS. |
| 4 | Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w Konfigurowaniu węzła HDS dla integracji serwera proxy zgodnie z potrzebami nowego węzła. |
| 5 | Zarejestruj węzeł. Twój węzeł jest zarejestrowany. Należy pamiętać, że do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie jest jeszcze aktywowana.
|
Co zrobić dalej
Przepływ próby do zadania produkcyjnego
Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.
Przed rozpoczęciem
| 1 | Jeśli dotyczy, zsynchronizuj Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać |
| 2 |
Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
| 3 | Przetestuj wdrożenie hybrydowego zabezpieczenia danych Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych. |
| 4 | Monitorowanie stanu hybrydowego bezpieczeństwa danych Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów. |
| 5 | |
| 6 | Zakończ fazę próbną, wykonując jedną z następujących czynności: |
Aktywuj wersję próbną
Przed rozpoczęciem
Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby dla organizacji. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.
| 1 | Zaloguj się do https://admin.webex.com, a następnie wybierz opcję Usługi. |
| 2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
| 3 | W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną. Stan usługi zmienia się w tryb próbny.
|
| 4 | Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług. (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, |
Przetestuj wdrożenie hybrydowego zabezpieczenia danych
Przed rozpoczęciem
Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.
Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.
| 1 | Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.
| ||
| 2 | Wysyłaj wiadomości do nowego obszaru. | ||
| 3 | Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych. |
Monitorowanie stanu hybrydowego bezpieczeństwa danych
| 1 | W Control Hub wybierz Usługi z menu po lewej stronie ekranu. |
| 2 | W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij Ustawienia. Zostanie wyświetlona strona Ustawienia zabezpieczeń danych hybrydowych.
|
| 3 | W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij przycisk Enter. |
Dodawanie lub usuwanie użytkowników z wersji próbnej
Jeśli usuniesz użytkownika z wersji próbnej, klient poprosi go o utworzenie kluczy i klawiszy z chmury KMS zamiast Twojego KMS. Jeśli klient potrzebuje klucza przechowywanego w KMS, Cloud KMS pobierze go w imieniu użytkownika.
Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory (zamiast tej procedury) do zarządzania grupą próbną, HdsTrialGroup; można wyświetlać członków grupy w Control Hub, ale nie można ich dodawać ani usuwać.
| 1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
| 2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
| 3 | W sekcji Tryby wersji próbnej w obszarze Stan usługi kliknij przycisk Dodaj użytkowników lub kliknij widok i edytuj , aby usunąć użytkowników z wersji próbnej. |
| 4 | Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania lub kliknij przycisk X identyfikatorem użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij Zapisz . |
Przeniesienie z wersji próbnej do produkcji
| 1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
| 2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
| 3 | W sekcji Stan usługi kliknij opcję Przenieś do produkcji. |
| 4 | Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji. |
Zakończ wersję próbną bez przejścia do produkcji
| 1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
| 2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
| 3 | W sekcji Dezaktywuj kliknij przycisk Dezaktywuj. |
| 4 | Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny. |
Zarządzanie wdrożeniem HDS
Użyj opisanych tutaj zadań do zarządzania wdrożeniem hybrydowego zabezpieczenia danych.
Ustaw harmonogram uaktualniania klastra
Aby ustawić harmonogram uaktualniania:
| 1 | Zaloguj się do Centrum sterowania . |
| 2 | Na stronie Przegląd w obszarze Usługi hybrydowe wybierz opcję Hybrid Data Security. |
| 3 | Na stronie Zasoby zabezpieczeń danych hybrydowych wybierz klaster. |
| 4 | W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra. |
| 5 | Na stronie Ustawienia w obszarze Uaktualnianie wybierz godzinę i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest następna dostępna data i godzina aktualizacji. W razie potrzeby można odroczyć uaktualnienie do następnego dnia, klikając opcję Odłóż. |
Zmień konfigurację węzła
Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.
Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do zarejestrowania klastra.
Aktualizowanie ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.
Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.
Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.
Ponadto, ze względów bezpieczeństwa, Hybrid Data Security używa haseł do kont usługi o dziewięciomiesięcznym okresie ważności. Gdy narzędzie konfiguracji HDS wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO . Gdy hasła organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex , aby zresetować hasło do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj API konta komputera, aby zaktualizować hasło”). Jeśli hasła jeszcze nie wygasły, narzędzie udostępnia dwie opcje:
Miękki reset — Stare i nowe hasło działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
Twardy reset — Stare hasła natychmiast przestają działać.
Jeśli hasła wygasną bez zresetowania, będzie to miało wpływ na usługę HDS i wymaga natychmiastowego twardego resetu i zastąpienia pliku ISO we wszystkich węzłach.
Ta procedura służy do generowania nowego konfiguracyjnego pliku ISO i zastosowania go do klastra.
Przed rozpoczęciem
Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas przywoływania kontenera Docker w 1.e. W tej tabeli podano kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTSerwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTSerwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTSerwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTDo wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO . ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.
| 1 | Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie konfiguracji HDS.
| ||||||
| 2 | Jeśli uruchomiony jest tylko jeden węzeł HDS , utwórz nową maszynę VM węzła Hybrid Data Security i zarejestruj ją przy użyciu nowego konfiguracyjnego pliku ISO . Aby uzyskać bardziej szczegółowe instrukcje, zobacz temat Tworzenie i rejestrowanie większej liczby węzłów. | ||||||
| 3 | W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO . Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła: | ||||||
| 4 | Powtórz krok 3, aby zastąpić konfigurację w każdym pozostałym węźle, na którym działa stara konfiguracja. |
Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS
Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznawać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb Zablokowanej zewnętrznej rozdzielczości DNS.
Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, uruchamiając ponownie test połączenia serwera proxy w każdym węźle.
Przed rozpoczęciem
| 1 | W przeglądarce internetowej otwórz interfejs węzła hybrydowego zabezpieczenia danych (adres IP/konfiguracja, na przykład https://192.0.2.0/setup), wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się. |
| 2 | Przejdź do Przegląd (strona domyślna). Po włączeniu Rozpoznawanie zablokowanego zewnętrznego DNS jest ustawiony na Tak . |
| 3 | Przejdź do strony Trust Store & Proxy. |
| 4 | Kliknij przycisk Sprawdź połączenie z serwerem proxy. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS i pozostanie w tym trybie. W przeciwnym razie po ponownym uruchomieniu węzła i powrocie na stronę Przegląd zablokowana zewnętrzna rozdzielczość DNS powinna być ustawiona na nr. |
Co zrobić dalej
Usuń węzeł
| 1 | Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi i wyłączyć maszynę wirtualną. |
| 2 | Usuń węzeł: |
| 3 | W kliencie vSphere usuń maszynę wirtualną (w lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij polecenie Usuń). Jeśli nie usuniesz VM, pamiętaj o usunięciu pliku ISO konfiguracji. Bez pliku ISO nie można użyć maszyny wirtualnej, aby uzyskać dostęp do danych bezpieczeństwa. |
Odzyskiwanie po awarii za pomocą Standby Data Center
Najbardziej krytyczną usługą oferowaną przez klaster Hybrid Data Security jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji przypisanego do hybrydowego zabezpieczenia danych nowe żądania tworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za przywrócenie kluczy, które został utworzony do wszystkich użytkowników upoważnionych do ich odzyskania, na przykład członków obszaru konwersacji.
Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby utrzymywały się odpowiednie kopie zapasowe. Utrata bazy danych hybrydowych zabezpieczeń danych lub układu ISO konfiguracji stosowanego dla schematu spowoduje NIEZBĘDNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, konieczne są następujące praktyki:
Jeśli awaria spowoduje, że wdrożenie HDS w głównym centrum danych stanie się niedostępne, postępuj zgodnie z tą procedurą, aby ręcznie przełączyć się na standby centrum danych.
| 1 | Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts. | ||
| 2 | Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
| 3 | Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń
| ||
| 4 | Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
| 5 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
| 6 | W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
| 7 | Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
| 8 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
| 9 | Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
(Opcjonalnie) Odmontować ISO Po Konfiguracji HDS
Standardowa konfiguracja HDS działa z zamontowanym ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale zamontowanych. Plik ISO można odmontować po odebraniu nowej konfiguracji przez wszystkie węzły HDS.
Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego ISO lub aktualizacji ISO za pomocą narzędzia konfiguracyjnego należy zamontować zaktualizowany ISO na wszystkich węzłach HDS. Po odebraniu zmian konfiguracji przez wszystkie węzły można ponownie rozmontować ISO za pomocą tej procedury.
Przed rozpoczęciem
Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.
| 1 | Zamknij jeden z węzłów HDS. |
| 2 | W urządzeniu VCenter Server Appliance wybierz węzeł HDS. |
| 3 | Wybierz i usuń zaznaczenie pliku Datastore ISO. |
| 4 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut. |
| 5 | Powtórz kolejno dla każdego węzła HDS. |
Wyświetlanie alertów i rozwiązywania problemów
Wdrożenie hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że wymaga przekroczenia czasu. Jeśli użytkownicy nie mogą skontaktować się z klastrem hybrydowego zabezpieczenia danych, mogą wystąpić następujące objawy:
Nie można utworzyć nowych obszarów (nie można utworzyć nowych kluczy)
Wiadomości i tytuły przestrzeni nie można odszyfrować dla:
Dodano nowych użytkowników do obszaru (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze będą z powodzeniem działać tak długo, jak ich klienci będą mieli pamięć podręczną kluczy szyfrowania
Ważne jest, aby odpowiednio monitorować klaster hybrydowego zabezpieczenia danych i szybko zwracać się do wszystkich alertów, aby uniknąć zakłóceń w obsłudze.
Alerty
Jeśli występuje problem z konfiguracją hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.
Alert | Czynność |
|---|---|
Niepowodzenie dostępu do lokalnej bazy danych. |
Sprawdź, czy występują błędy w bazie danych lub problemy z siecią lokalną. |
Niepowodzenie połączenia z lokalną bazą danych. |
Sprawdź, czy serwer bazy danych jest dostępny, a w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi. |
Niepowodzenie dostępu do usługi w chmurze. |
Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z wymaganiami Zewnętrznej łączności. |
Odnowienie rejestracji usług w chmurze. |
Zrezygnowano z rejestracji na usługi w chmurze. Trwa przedłużenie rejestracji. |
Rejestracja usług w chmurze została odrzucona. |
Rejestracja na usługi w chmurze została zakończona. Usługa jest wyłączona. |
Usługa jeszcze nie została aktywowana. |
Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do produkcji. |
Skonfigurowana domena nie odpowiada certyfikatowi serwera. |
Upewnij się, że certyfikat serwera jest zgodny z skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że certyfikat CN został ostatnio zmieniony i jest teraz inny niż CN, który był używany podczas początkowej konfiguracji. |
Nie można uwierzytelnić usług w chmurze. |
Kontrola poprawności i ewentualnego wygaśnięcia poświadczeń konta usługi. |
Nie można otworzyć lokalnego pliku keystore. |
Sprawdź integralność i dokładność hasła w lokalnym pliku keystore. |
Certyfikat lokalnego serwera jest nieprawidłowy. |
Sprawdź datę ważności certyfikatu serwera i potwierdź, że został on wydany przez zaufany urząd certyfikacji. |
Nie można publikować metryk. |
Sprawdź dostęp sieci lokalnej do zewnętrznych usług w chmurze. |
/media/configdrive/hds katalog nie istnieje. |
Sprawdź konfigurację montażu ISO na wirtualnym hostze. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu na ponownym uruchomieniu i czy został pomyślnie zainstalowany. |
Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych
| 1 | Przejrzyj Control Hub dla wszystkich alertów i naprawić wszystkie znalezione tam elementy. |
| 2 | Przejrzyj wyjście serwera dziennika systemowego pod kątem aktywności z wdrożenia hybrydowego zabezpieczenia danych. |
| 3 | Skontaktuj się z pomocą techniczną Cisco. |
Znane problemy dotyczące hybrydowych zabezpieczeń danych
Jeśli zamkniesz klaster hybrydowego zabezpieczenia danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych keystore, użytkownicy aplikacji Webex nie będą mogli już korzystać ze spacji na liście Osoby utworzonej za pomocą kluczy z KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia ani rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłudze aktywnych kont użytkowników.
Klient z istniejącym połączeniem ECDH z KMS utrzymuje to połączenie przez pewien czas (prawdopodobnie godzinę). Gdy użytkownik staje się członkiem próby hybrydowego zabezpieczenia danych, klient użytkownika nadal korzysta z istniejącego połączenia ECDH do czasu jego wyłączenia. Alternatywnie, użytkownik może wylogować się i wrócić do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w przypadku kluczy szyfrowania.
To samo zachowanie występuje podczas przenoszenia próby do produkcji dla organizacji. Wszyscy użytkownicy spoza wersji próbnej posiadający istniejące połączenia ECDH z poprzednimi służbami bezpieczeństwa danych będą nadal korzystać z tych usług do czasu renegocjacji połączenia ECDH (poprzez limit czasu lub poprzez wylogowanie i powrót).
Użyj protokołu OpenSSL, aby wygenerować plik PKCS12
Przed rozpoczęciem
OpenSSL jest jednym z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do ładowania w narzędziu konfiguracji HDS. Istnieją inne sposoby, aby to zrobić, i nie popieramy ani nie promujemy jednej drogi nad drugą.
Jeśli zdecydujesz się korzystać z OpenSSL, zapewniamy tę procedurę jako wytyczną, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatów X.509. Zrozum te wymagania, zanim przejdziesz dalej.
Zainstaluj OpenSSL w obsługiwanym środowisku. Patrz https://www.openssl.org oprogramowanie i dokumentacja.
Utwórz klucz prywatny.
Procedurę tę należy rozpocząć po otrzymaniu certyfikatu serwera od urzędu certyfikacji.
| 1 | Po otrzymaniu certyfikatu serwera z urzędu certyfikacji zapisz go jako |
| 2 | Wyświetl certyfikat jako tekst i zweryfikuj szczegóły.
|
| 3 | Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie
|
| 4 | Utwórz plik .p12 o przyjaznej nazwie
|
| 5 | Sprawdź szczegóły certyfikatu serwera. |
Co zrobić dalej
Powróć, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych. Korzystasz z hdsnode.p12 plik i ustawione dla niego hasło w Utwórz ISO konfiguracji dla prowadzących HDS.
| Możesz ponownie użyć tych plików, aby poprosić o nowy certyfikat po wygaśnięciu oryginalnego certyfikatu. |
Ruch między węzłami HDS a chmurą
Ruch zbierania metryk wychodzących
Węzły hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dla maks. stosu, stosowanego stosu, obciążenia procesora i liczenia wątków; metryki na wątkach synchronicznych i asynchronicznych; metryki na alertach obejmujące próg połączeń szyfrowania, opóźnienie lub długość kolejki żądań; metryki na zbiorniku danych; oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał poza pasmem (oddzielony od żądania).
Ruch przychodzący
Węzły hybrydowego zabezpieczenia danych otrzymują następujące typy ruchu przychodzącego z chmury Webex:
Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania
Aktualizacja do oprogramowania węzła
Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych
Websocket Nie Można Połączyć Za Pomocą Proxy Squid
Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS, mogą ingerować w tworzenie websocket ( wss:) połączenia, których wymaga Hybrid Data Security. Sekcje te zawierają wskazówki dotyczące konfigurowania różnych wersji Squid do ignorowania wss: ruch w celu prawidłowego funkcjonowania usług.
Squid 4 i 5
Dodaj on_unsupported_protocol dyrektywa do squid.conf:
on_unsupported_protocol tunnel allSquid 3.5.27
Z powodzeniem przetestowaliśmy hybrydowe zabezpieczenia danych, dodając następujące zasady squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizacji chmury Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allNowe i zmienione informacje
Data | Zmiany | ||
|---|---|---|---|
20 października 2023 r. |
| ||
07 sierpnia 2023 r. |
| ||
23 maja 2023 r. |
| ||
06 grudnia 2022 r. |
| ||
23 listopada 2022 r. |
| ||
13 października 2021 r. | Docker Desktop musi uruchomić program konfiguracji przed zainstalowaniem węzłów HDS. Zobacz Wymagania Dotyczące Pulpitu Docker. | ||
24 czerwca 2021 r. | Pamiętaj, że możesz ponownie użyć pliku klucza prywatnego i CSR, aby poprosić o inny certyfikat. Aby uzyskać szczegółowe informacje, zobacz Użyj OpenSSL, aby wygenerować plik PKCS12. | ||
| 30 kwietnia 2021 r. | Zmieniono wymaganie VM dla lokalnego miejsca na dysku twardym na 30 GB. Szczegółowe informacje można znaleźć w sekcji Wymagania wirtualnego prowadzącego. | ||
24 lutego 2021 r. | Narzędzie konfiguracji usługi HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie ISO konfiguracji hostów HDS. | ||
2 lutego 2021 r. | HDS może teraz działać bez zamontowanego pliku ISO. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS. | ||
11 stycznia 2021 r. | Dodano informacje o narzędziu do konfiguracji HDS i pełnomocnikach, aby utworzyć ISO konfiguracji dla prowadzących HDS. | ||
13 października 2020 r. | Zaktualizowano Pobierz pliki instalacyjne. | ||
8 października 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP. | ||
14 sierpnia 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła ze zmianami w procesie logowania. | ||
5 sierpnia 2020 r. | Zaktualizowano testowanie wdrażania hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika. Zaktualizowano wymagania hosta wirtualnego , aby usunąć maksymalną liczbę hostów. | ||
16 czerwca 2020 r. | Zaktualizowano Usuwanie węzła pod kątem zmian w interfejsie interfejsu Control Hub. | ||
4 czerwca 2020 r. | Zaktualizowano Tworzenie ISO konfiguracji dla hostów HDS w celu wprowadzenia zmian w ustawieniach zaawansowanych, które można ustawić. | ||
29 maja 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami interfejsu użytkownika i innymi wyjaśnieniami. | ||
5 maja 2020 r. | Zaktualizowano wymagania hosta wirtualnego , aby pokazać nowe wymagania ESXi 6.5. | ||
21 kwietnia 2020 r. | Zaktualizowane wymagania dotyczące łączności zewnętrznej z nowymi hostami CI Americas. | ||
1 kwietnia 2020 r. | Zaktualizowane wymagania dotyczące łączności zewnętrznej z informacjami na temat regionalnych prowadzących CI. | ||
| 20 lutego 2020 r. | Zaktualizowano Utwórz ISO konfiguracji hostów HDS z informacjami na nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu do konfiguracji HDS. | ||
| 4 lutego 2020 r. | Zaktualizowano wymagania serwera proxy. | ||
| 16 grudnia 2019 r. | Wyjaśnione wymagania dotyczące zablokowanego zewnętrznego trybu rozdzielczości DNS do pracy w wymaganiach serwera proxy. | ||
| 19 listopada 2019 r. | Dodano informacje o zablokowanym zewnętrznym trybie rozpoznawania DNS w następujących sekcjach: | ||
8 listopada 2019 r. | Teraz można skonfigurować ustawienia sieciowe węzła podczas wdrażania OVA, a nie później. Zaktualizowano odpowiednio następujące sekcje:
| ||
6 września 2019 r. | Dodano SQL Server Standard do wymagań serwera bazy danych. | ||
| 29 sierpnia 2019 r. | Dodano Configure Squid Proxies for Hybrid Data Security appendix z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu zignorowania ruchu websocket w celu prawidłowej obsługi. | ||
| 20 sierpnia 2019 r. | Dodano i zaktualizowano sekcje, aby objąć obsługę proxy komunikacji węzła hybrydowego bezpieczeństwa danych z chmurą Webex. Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł pomocy Proxy Support for Hybrid Data Security i Webex Video Mesh . | ||
| 13 czerwca 2019 r. | Zaktualizowano próbny do przepływu zadań produkcyjnych z przypomnieniem o synchronizacji HdsTrialGroup obiekt grupowy przed rozpoczęciem próby, jeśli Twoja organizacja korzysta z synchronizacji katalogu. | ||
| 6 marca 2019 r. |
| ||
| 28 lutego 2019 r. |
| ||
| 26 lutego 2019 r. |
| ||
24 stycznia 2019 r. |
| ||
| 5 listopada 2018 r. |
| ||
| 19 października 2018 r. |
| ||
31 lipca 2018 r. |
| ||
| 21 maja 2018 r. | Zmieniona terminologia odzwierciedlająca zmianę marki Cisco Spark:
| ||
| 11 kwietnia 2018 r. |
| ||
| 22 lutego 2018 r. |
| ||
| Luty 15, 2018 |
| ||
| Styczeń 18, 2018 |
| ||
2 listopada 2017 r. |
| ||
18 sierpnia 2017 r. | Pierwsza publikacja |
Przegląd zabezpieczeń danych hybrydowych
Od pierwszego dnia bezpieczeństwo danych było głównym celem projektowania aplikacji Webex. Podstawą tych zabezpieczeń jest kompleksowe szyfrowanie zawartości, włączane przez klientów aplikacji Webex , którzy wchodzą w interakcję z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.
Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS w obszarze bezpieczeństwa firmy Cisco. Hybrid Data Security przenosi usługę KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie ma kluczy do zaszyfrowanej zawartości.
Architektura domeny zabezpieczeń
Architektura chmury Webex oddziela różne rodzaje usług od osobnych domen lub domen zaufania, jak przedstawiono poniżej.
Aby lepiej zrozumieć hybrydowe zabezpieczenia danych, spójrzmy najpierw na ten przypadek czystej chmury, w którym firma Cisco zapewnia wszystkie funkcje w swoich domenach w chmurze. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od domeny bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od domeny, w której ostatecznie przechowywana jest zaszyfrowana zawartość, w centrum danych C.
Na tym schemacie klient to aplikacja Webex działająca na laptopie użytkownika i uwierzytelniona za pomocą usługi tożsamości. Gdy użytkownik komponuje wiadomość do wysłania do obszaru, wykonywane są następujące czynności:
Klient ustanawia bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie prosi o klucz do szyfrowania wiadomości. Bezpieczne połączenie korzysta z ECDH, a KMS szyfruje klucz przy użyciu klucza głównego AES-256.
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła go do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniach zawartości.
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w domenie przechowywania.
Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze, które składają się na usługę Webex (w tym pamięć masowa tożsamości i zawartości), pozostają w domenach Cisco.
Współpraca z innymi organizacjami
Użytkownicy w organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników prosi o klucz do obszaru należącego do organizacji (ponieważ został on utworzony przez jednego z użytkowników), KMS wysyła klucz do klienta za pośrednictwem kanału zabezpieczonego ECDH. Jednak gdy inna organizacja jest właścicielem klucza dla obszaru, system KMS kieruje żądanie do chmury Webex przez osobny kanał ECDH, aby uzyskać klucz z odpowiedniego systemu KMS, a następnie zwraca go do użytkownika na oryginalnym kanale.
Usługa KMS działająca na Org A weryfikuje połączenia z KMSs w innych organizacjach za pomocą certyfikatów PKI x.509. Aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użytku z wdrożeniem hybrydowego zabezpieczenia danych, zobacz Prepare Your Environment (Przygotowanie środowiska).
Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych
Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klienta i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.
Aby wdrożyć hybrydowe zabezpieczenia danych, należy zapewnić:
Bezpieczne centrum danych w kraju, który jest obsługiwaną lokalizacją dla planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w punkcie Przygotowanie środowiska.
Kompletna utrata konfiguracji ISO utworzonej dla hybrydowego zabezpieczenia danych lub dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:
Zarządzanie kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.
Przygotuj się do szybkiego odzyskiwania awaryjnego w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub awaria centrum danych.
| Nie ma mechanizmu przenoszenia kluczy z powrotem do chmury po wdrożeniu HDS. |
Proces konfiguracji na wysokim poziomie
Niniejszy dokument obejmuje konfigurację i zarządzanie wdrożeniem hybrydowego zabezpieczenia danych:
Skonfiguruj hybrydowe zabezpieczenia danych— obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, testowanie wdrożenia z podzbiorem użytkowników w trybie próbnym oraz, po zakończeniu testów, przejście do produkcji. Spowoduje to konwertowanie całej organizacji do używania klastra Hybrid Data Security dla funkcji zabezpieczeń.
Etapy konfiguracji, prób i produkcji zostały szczegółowo omówione w kolejnych trzech rozdziałach.
Utrzymuj wdrożenie hybrydowego zabezpieczenia danych— chmura Webex automatycznie zapewnia trwające uaktualnienia. Dział IT może zapewnić wsparcie poziomu pierwszego dla tego wdrożenia i zaangażować wsparcie Cisco w razie potrzeby. Możesz korzystać z powiadomień na ekranie i konfigurować alerty oparte na wiadomościach e-mail w Control Hub.
Zrozumienie wspólnych alertów, kroków rozwiązywania problemów i znanych problemów— w przypadku wystąpienia problemów z wdrożeniem lub użyciem hybrydowego zabezpieczenia danych ostatni rozdział niniejszego przewodnika i dodatku do Znanych problemów może pomóc w określeniu i rozwiązaniu problemu.
Hybrydowy model wdrażania zabezpieczeń danych
W centrum danych przedsiębiorstwa wdrażasz hybrydowe zabezpieczenia danych jako jeden klaster węzłów na osobnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych websocketów i bezpiecznego protokołu HTTP.
Podczas procesu instalacji dostarczamy Ci plik OVA do skonfigurowania urządzenia wirtualnego na dostarczonych maszynach wirtualnych. Narzędzie konfiguracyjne HDS służy do tworzenia niestandardowego pliku ISO konfiguracji klastra, który jest montowany w każdym węźle. Klaster Hybrid Data Security korzysta z dostarczonego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu konfiguracji HDS).
Minimalna liczba węzłów w klastrze to dwa. Zalecamy co najmniej trzy, a możesz mieć do pięciu. Posiadanie wielu węzłów zapewnia, że usługa nie zostanie przerwana podczas uaktualniania oprogramowania lub innej czynności konserwacyjnej w węźle. (Chmura Webex aktualizuje tylko jeden węzeł naraz).
Wszystkie węzły w klastrze mają dostęp do tego samego rekordu danych klucza i aktywności dziennika na tym samym serwerze dziennika systemowego. Same węzły są bezpaństwowe i obsługują żądania kluczy w sposób okrągły, zgodnie z zaleceniami chmury.
Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby usunąć pojedynczy węzeł z usługi, można go wyrejestrować, a następnie ponownie wyrejestrować w razie potrzeby.
Obsługujemy tylko jeden klaster na organizację.
Tryb próbny zabezpieczeń danych hybrydowych
Po skonfigurowaniu wdrożenia hybrydowego zabezpieczenia danych spróbuj go najpierw z zestawem użytkowników pilotażowych. W okresie próbnym użytkownicy ci wykorzystują lokalną domenę hybrydowego zabezpieczenia danych do szyfrowania kluczy i innych usług domeny zabezpieczeń. Inni użytkownicy nadal korzystają ze sfery zabezpieczeń w chmurze.
Jeśli zdecydujesz się nie kontynuować wdrażania podczas wersji próbnej i dezaktywować usługi, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi współpracowali, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zostanie wyświetlony komunikat „Nie można odszyfrować tej wiadomości” w aplikacji Webex.
Jeśli jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych i jesteś gotowy do rozszerzenia hybrydowego zabezpieczenia danych na wszystkich użytkowników, przenosisz wdrożenie do produkcji. Użytkownicy pilotażowi nadal mają dostęp do kluczy, które były używane podczas próby. Nie można jednak poruszać się w tę i z powrotem między trybem produkcji a oryginalnym testem. Jeśli musisz dezaktywować usługę, na przykład w celu przeprowadzenia odzyskiwania po awarii, po ponownej aktywacji musisz rozpocząć nową wersję próbną i skonfigurować zestaw użytkowników pilotażowych dla nowej wersji próbnej przed powrotem do trybu produkcji. To, czy użytkownicy zachowują w tym momencie dostęp do danych, zależy od tego, czy udało się zachować kopie zapasowe kluczowego magazynu danych i pliku konfiguracyjnego ISO dla węzłów hybrydowych zabezpieczeń danych w klastrze.
Standby Data Center for Disaster Recovery
Podczas wdrażania skonfigurowano bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie anulować wdrożenie do centrum danych w trybie gotowości.
Bazy danych aktywnych i standby centrów danych są ze sobą zsynchronizowane, co zminimalizuje czas potrzebny na wykonanie przełącznika awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają rejestrację węzłów w organizacji, ale nie obsługują ruchu. Stąd węzły standby data center zawsze pozostają aktualne z najnowszą wersją oprogramowania HDS.
| Aktywne węzły hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych. |
Konfiguracja Standby Data Center do odzyskiwania awarii
Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:
Przed rozpoczęciem
Centrum danych w stanie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych oraz zapasową bazę danych PostgreSQL lub Microsoft SQL Server. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne (zobacz Standby Data Center for Disaster Recovery , aby zapoznać się z tym modelem failover).
Upewnij się, że synchronizacja bazy danych jest włączona między bazą danych aktywnych i pasywnych węzłów klastra.
| 1 | Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.
| ||
| 2 | Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
| 3 | Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwał żadnego ruchu.
| ||
| 4 | Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
| 5 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
| 6 | W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
| 7 | Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
| 8 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
| 9 | Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
Po skonfigurowaniu passiveMode w pliku ISO i zapisanie go można utworzyć inną kopię pliku ISO bez passiveMode konfigurację i zapisanie w bezpiecznym miejscu. Ta kopia pliku ISO bez passiveMode skonfigurowany może pomóc w szybkim procesie awaryjnym podczas odzyskiwania po awarii. Aby zapoznać się ze szczegółową procedurą przywracania awaryjnego za pomocą Standby Data Center (Centrum danych gotowości).
Wsparcie proxy
Hybrydowe zabezpieczenia danych obsługują jednoznaczne, przejrzyste inspekcje i nieinspekcje serwerów proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby można było zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy można używać w węzłach do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.
Węzły hybrydowego zabezpieczenia danych obsługują następujące opcje serwera proxy:
Brak serwera proxy — ustawienie domyślne, jeśli w celu zintegrowania serwera proxy nie jest używane do konfiguracji węzła HDS Trust Store & Proxy. Nie jest wymagana aktualizacja certyfikatu.
Przejrzysty serwer proxy niekontrolowany — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z serwerem proxy niekontrolowanym. Nie jest wymagana aktualizacja certyfikatu.
Przejrzyste tunelowanie lub sprawdzanie serwera proxy — węzły nie są skonfigurowane do korzystania z określonego adresu serwera proxy. W węzłach nie są konieczne zmiany konfiguracji protokołu HTTP ani protokołu HTTPS. Węzły potrzebują jednak certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).
Wyraźny serwer proxy — w przypadku wyraźnego serwera proxy należy wskazać węzły HDS, których serwer proxy i schemat uwierzytelniania należy używać. Aby skonfigurować wyraźny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.
Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.
Protokół proxy— w zależności od tego, co obsługuje serwer proxy, wybierz między następującymi protokołami:
HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
HTTPS — udostępnia kanał do serwera. Klient odbiera i weryfikuje certyfikat serwera.
Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:
Brak — dalsze uwierzytelnianie nie jest wymagane.
Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.
Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.
Dostępne tylko po wybraniu protokołu HTTPS jako protokołu proxy.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Przykład węzłów hybrydowych zabezpieczeń danych i serwera proxy
Na tym wykresie przedstawiono przykładowe połączenie między hybrydowym zabezpieczeniem danych, siecią i serwerem proxy. W przypadku opcji przejrzystej inspekcji i jawnej inspekcji serwera proxy HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach hybrydowych zabezpieczeń danych.
Zablokowany zewnętrzny tryb rozpoznawania DNS (wyraźne konfiguracje serwera proxy)
Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. W przypadku wdrożeń z wyraźnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzną rozdzielczość DNS dla klientów wewnętrznych, jeśli węzeł nie może wyszukiwać serwerów DNS, automatycznie przechodzi on w tryb Zablokowanej zewnętrznej rozdzielczości DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.
Wymagania dotyczące hybrydowego bezpieczeństwa danych
Wymagania licencyjne Cisco Webex
Aby wdrożyć hybrydowe zabezpieczenia danych:
Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub (patrz https://www.cisco.com/go/pro-pack).
Docker Wymagania pulpitowe
Przed zainstalowaniem węzłów HDS potrzebny jest Docker Desktop do uruchomienia programu konfiguracji. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis w blogu platformy Docker, „ Docker aktualizuje i rozszerza subskrypcje naszych produktów ”.
Wymagania dotyczące certyfikatu X.509
Łańcuch certyfikatów musi spełniać następujące wymagania:
Wymaganie | Szczegóły |
|---|---|
| Domyślnie ufamy urzędnikom na liście Mozilla (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs. |
| CN nie musi być osiągalne ani hostem na żywo. Zalecamy używanie nazwy odzwierciedlającej np. organizację, CN nie może zawierać * (wildcard). CN służy do weryfikacji węzłów hybrydowych zabezpieczeń danych dla klientów aplikacji Webex. Wszystkie węzły hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. System KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie obsługujemy zmiany nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych. |
| Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu weryfikacji połączeń z KMSs innych organizacji. |
| Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Po uruchomieniu narzędzia konfiguracji usługi HDS należy wprowadzić hasło. |
Oprogramowanie KMS nie wymusza użycia klucza ani nie nakłada dodatkowych ograniczeń w jego używaniu. Niektóre organy certyfikatów wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia użycia kluczy, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.
Wymagania dotyczące wirtualnego prowadzącego
Wirtualne hosty skonfigurowane jako węzły hybrydowego zabezpieczenia danych w klastrze mają następujące wymagania:
Co najmniej dwa osobne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych
Oprogramowanie VMware ESXi 6.5 (lub nowsze) zostało zainstalowane i uruchomione.
Jeśli masz wcześniejszą wersję ESXi, musisz ją uaktualnić.
Minimum 4 procesory vCPUs, 8-GB pamięci głównej, 30-GB lokalnego miejsca na dysk twardy na serwer
Wymagania serwera bazy danych
| Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych. |
Istnieją dwie opcje dla serwera bazy danych. Wymagania dla każdego z nich są następujące:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) | Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) |
Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC kierowca 42.2.5 | SQL Server JDBC sterownik 4.6 Ta wersja sterownika obsługuje program SQL Server Always On (Always On Failover Cluster Instances oraz Always On availability groups). |
Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w usłudze Microsoft SQL Server
Jeśli chcesz, aby węzły HDS używały uwierzytelniania w systemie Windows, aby uzyskać dostęp do bazy danych keystore na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w swoim środowisku:
Węzły HDS, infrastruktura Active Directory i MS SQL Server muszą być synchronizowane z NTP.
Konto systemu Windows dla węzłów HDS musi mieć dostęp do bazy danych do odczytu/zapisu.
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozwiązać klucz centrum dystrybucji (KDC).
Wystąpienie bazy danych HDS można zarejestrować na serwerze Microsoft SQL Server jako główną nazwę usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.
Narzędzie do konfigurowania HDS, uruchamianie HDS i lokalne KMS muszą używać uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych keystore. Używają szczegółów z konfiguracji ISO do budowy SPN podczas żądania dostępu za pomocą uwierzytelniania Kerberos.
Wymagania dotyczące połączeń zewnętrznych
Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:
Aplikacja | Protokół | Port | Polecenie z aplikacji | Miejsce docelowe |
|---|---|---|---|---|
Węzły hybrydowego zabezpieczenia danych | TCP | 443 | Zewnętrzne HTTPS i WSS |
|
Narzędzie do konfigurowania HDS | TCP | 443 | Zewnętrzny protokół HTTPS |
|
| Węzły hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub za zaporą, o ile NAT lub zapora zezwala na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują dostępu do węzłów hybrydowych zabezpieczeń danych w portach TCP 443 i 22 do celów administracyjnych. |
Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Są to bieżące hosty CI:
Region | Wspólne adresy URL prowadzącego tożsamości |
|---|---|
Ameryka |
|
Unia Europejska |
|
Kanada |
|
Wymagania serwera proxy
Oficjalnie obsługujemy następujące rozwiązania proxy, które mogą integrować się z węzłami hybrydowego zabezpieczenia danych.
Przejrzysty serwer proxy — Cisco Web Security Appliance (WSA).
Wyraźny serwer proxy — Squid.
Proxies Squid, które sprawdzają ruch HTTPS może kolidować z ustanowieniem websocket (wss:) połączeń. Aby rozwiązać ten problem, zobacz Configure Squid Proxies for Hybrid Data Security.
Obsługujemy następujące kombinacje typów uwierzytelniania dla serwerów proxy:
Brak uwierzytelniania przy użyciu protokołu HTTP lub HTTPS
Uwierzytelnianie podstawowe przy użyciu protokołu HTTP lub HTTPS
Uwierzytelnianie przy użyciu protokołu HTTPS
W przypadku przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS należy posiadać kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania zawarte w tym przewodniku informują o sposobie przesłania kopii do sklepów zaufania węzłów hybrydowych zabezpieczeń danych.
Sieć hostująca węzły HDS musi być skonfigurowana tak, aby wymuszać wychodzący ruch TCP na porcie 443 na trasę przez serwer proxy.
Serwery proxy, które kontrolują ruch sieciowy, mogą zakłócać połączenia z gniazdem internetowym. Jeśli wystąpi ten problem, omijając (nie kontrolując) ruch do
wbx2.comiciscospark.comrozwiąże problem.
Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych
| 1 | Upewnij się, że Twoja organizacja Webex jest włączona dla pakietu Pro Pack dla Cisco Webex Control Hub i uzyskaj poświadczenia konta z pełnymi prawami administratora organizacji. Aby uzyskać pomoc w tym procesie, skontaktuj się z partnerem firmy Cisco lub menedżerem konta. | ||
| 2 | Wybierz nazwę domeny dla wdrożenia HDS (na przykład | ||
| 3 | Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły hybrydowego zabezpieczenia danych w klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych, które spełniają wymagania w Wymagania wirtualnego hosta. | ||
| 4 | Przygotuj serwer bazy danych, który będzie działał jako kluczowy magazyn danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być zestawiony w bezpiecznym centrum danych z wirtualnymi hostami. | ||
| 5 | W celu szybkiego odzyskiwania danych po awarii należy skonfigurować środowisko tworzenia kopii zapasowych w innym centrum danych. Środowisko tworzenia kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i zapasowego serwera bazy danych. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne. | ||
| 6 | Skonfiguruj hosta dziennika systemowego, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemowego (domyślnie jest to UDP 514). | ||
| 7 | Utwórz bezpieczne zasady tworzenia kopii zapasowych węzłów hybrydowych zabezpieczeń danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec niemożliwej do odzyskania utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów hybrydowych zabezpieczeń danych.
Klienci aplikacji Webex przechowują klucze w pamięci podręcznej, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się widoczna. Chociaż tymczasowe przerwy są niemożliwe do zapobieżenia, są one do odzyskania. Jednak całkowita utrata (brak kopii zapasowych) bazy danych lub pliku konfiguracyjnego ISO spowoduje niemożliwy do odzyskania dane klienta. Oczekuje się, że operatorzy węzłów hybrydowego bezpieczeństwa danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowy centrum danych hybrydowego bezpieczeństwa danych w przypadku wystąpienia katastrofalnej awarii. | ||
| 8 | Upewnij się, że konfiguracja zapory umożliwia dostęp do łączności w węzłach hybrydowych zabezpieczeń danych, jak opisano w Zewnętrznych wymogach dotyczących łączności. | ||
| 9 | Zainstaluj Docker ( https://www.docker.com) na każdej maszynie lokalnej z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080. Za pomocą wystąpienia Docker można pobrać i uruchomić narzędzie konfiguracji HDS, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów hybrydowych zabezpieczeń danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania Dotyczące Pulpitu Dockera. Aby zainstalować i uruchomić narzędzie do konfiguracji HDS, lokalna maszyna musi mieć łączność opisaną w Zewnętrznych wymaganiach dotyczących łączności. | ||
| 10 | Jeśli integrujesz serwer proxy z hybrydowymi zabezpieczeniami danych, upewnij się, że spełnia on wymagania serwera proxy. | ||
| 11 | Jeśli Twoja organizacja używa synchronizacji katalogu, utwórz grupę w usłudze Active Directory o nazwie
|
Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych
Przed rozpoczęciem
| 1 |
Pobierz plik OVA do lokalnego komputera, aby później go użyć. | ||
| 2 | Tworzenie ISO konfiguracji dla prowadzących HDS Za pomocą narzędzia konfiguracyjnego HDS można utworzyć plik konfiguracyjny ISO dla węzłów hybrydowych zabezpieczeń danych. | ||
| 3 |
Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe.
| ||
| 4 | Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych Zaloguj się na konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA. | ||
| 5 | Prześlij i zamontuj ISO konfiguracji HDS Skonfiguruj VM z pliku konfiguracyjnego ISO utworzonego za pomocą narzędzia do konfiguracji HDS. | ||
| 6 | Konfigurowanie węzła HDS dla integracji serwera proxy Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, którego użyjesz dla węzła, i w razie potrzeby dodaj certyfikat serwera proxy do sklepu zaufania. | ||
| 7 | Zarejestruj pierwszy węzeł w klastrze Zarejestruj maszynę wirtualną za pomocą chmury Cisco Webex jako węzeł hybrydowego zabezpieczenia danych. | ||
| 8 | Tworzenie i rejestrowanie większej liczby węzłów Zakończ konfigurację klastra. | ||
| 9 | Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział) Do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
Pobierz pliki instalacyjne
| 1 | Zaloguj się do https://admin.webex.com, a następnie kliknij opcję Usługi. | ||||
| 2 | W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych, a następnie kliknij przycisk Skonfiguruj. Jeśli karta jest wyłączona lub jej nie widzisz, skontaktuj się z zespołem ds. kont lub organizacją partnerską. Podaj im numer konta i poproś o włączenie organizacji Hybrid Data Security. Aby znaleźć numer konta, kliknij bieg w prawym górnym rogu obok nazwy organizacji.
| ||||
| 3 | Wybierz Nie , aby wskazać, że węzeł nie został jeszcze skonfigurowany, a następnie kliknij przycisk Dalej. Plik OVA automatycznie zaczyna się pobierać. Zapisz plik w lokalizacji na komputerze.
| ||||
| 4 | Opcjonalnie kliknij Open Deployment Guide (Otwórz przewodnik wdrażania), aby sprawdzić, czy dostępna jest późniejsza wersja tego przewodnika. |
Tworzenie ISO konfiguracji dla prowadzących HDS
Proces konfiguracji hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie należy użyć ISO do skonfigurowania hosta hybrydowego bezpieczeństwa danych.
Przed rozpoczęciem
Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas podnoszenia kontenera Docker w kroku 5. W tej tabeli podano kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTSerwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTSerwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTSerwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTWygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Potrzebna jest najnowsza kopia tego pliku, gdy wprowadzasz zmiany w konfiguracji, takie jak:
Poświadczenia bazy danych
Aktualizacje certyfikatów
Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrowanie połączeń z bazą danych, skonfiguruj wdrożenie programu PostgreSQL lub SQL Server dla TLS.
| 1 | W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: W środowiskach FedRAMP:
| ||||||||||||
| 2 | Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: | ||||||||||||
| 3 | Po wyświetleniu monitu o hasło wprowadź ten skrót: | ||||||||||||
| 4 | Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: W środowiskach FedRAMP: | ||||||||||||
| 5 | Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:
Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”. | ||||||||||||
| 6 |
Użyj przeglądarki internetowej, aby przejść do hosta lokalizacji, Narzędzie używa tego pierwszego wpisu nazwy użytkownika, aby ustawić odpowiednie środowisko dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie. | ||||||||||||
| 7 | Po wyświetleniu monitu wprowadź poświadczenia logowania administratora klienta Control Hub, a następnie kliknij przycisk Zaloguj się , aby zezwolić na dostęp do wymaganych usług Hybrid Data Security. | ||||||||||||
| 8 | Na stronie Przegląd narzędzia konfiguracyjnego kliknij Rozpocznij. | ||||||||||||
| 9 | Na stronie ISO Import dostępne są następujące opcje:
| ||||||||||||
| 10 | Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatów X.509.
| ||||||||||||
| 11 | Wprowadź adres bazy danych i konto HDS, aby uzyskać dostęp do klucza danych: | ||||||||||||
| 12 | Wybierz tryb połączenia z bazą danych TLS:
Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracji HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie sprawdza również osobę podpisującą certyfikat i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w połączeniach węzły HDS mogą być w stanie nawiązać połączenie TLS, nawet jeśli maszyna narzędziowa HDS Setup Tool nie jest w stanie go przetestować). | ||||||||||||
| 13 | Na stronie Dzienniki systemu skonfiguruj serwer Syslogd: | ||||||||||||
| 14 | (Opcjonalnie) W ustawieniach zaawansowanych można zmienić wartość domyślną niektórych parametrów połączenia z bazą danych. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić: | ||||||||||||
| 15 | Kliknij przycisk Kontynuuj na ekranie Resetuj hasło konta usługi . Hasła konta serwisowego mają okres dziewięciu miesięcy. Użyj tego ekranu, gdy hasła zbliżają się do wygaśnięcia lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO. | ||||||||||||
| 16 | Kliknij opcję Pobierz plik ISO. Zapisz plik w lokalizacji, którą łatwo znaleźć. | ||||||||||||
| 17 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||||||||||||
| 18 | Aby zamknąć narzędzie Setup, wpisz: |
Co zrobić dalej
Kopia zapasowa pliku ISO konfiguracji. Musisz utworzyć więcej węzłów do odzyskiwania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Odzyskiwanie kluczy z bazy danych PostgreSQL lub Microsoft SQL Server nie jest możliwe.
| Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz. |
Instalowanie OVA hosta HDS
| 1 | Aby zalogować się do wirtualnego hosta ESXi, użyj klienta VMware vSphere na komputerze. | ||||||
| 2 | Wybierz Plik > Wdrożenie szablonu OVF. | ||||||
| 3 | W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij Następny. | ||||||
| 4 | Na ekranie Wybierz nazwę i folder strona, wprowadź Nazwa maszyny wirtualnej dla węzła (na przykład „HDS_Node_1”) wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Następny. | ||||||
| 5 | Na ekranie Wybierz zasób obliczeniowy strona, wybierz docelowy zasób obliczeniowy, a następnie kliknij Następny. Trwa kontrola walidacji. Po jego zakończeniu pojawiają się szczegóły szablonu. | ||||||
| 6 | Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej. | ||||||
| 7 | Jeśli zostaniesz poproszony o wybranie konfiguracji zasobów na stronie Konfiguracja strona, kliknij 4 CPU a następnie kliknij Następny. | ||||||
| 8 | Na ekranie Wybierz miejsce strona, kliknij Następny aby zaakceptować domyślny format dysku i zasady przechowywania VM. | ||||||
| 9 | Na ekranie Wybierz sieci na stronie wybierz opcję sieci z listy pozycji, aby zapewnić żądaną łączność z maszyną wirtualną. | ||||||
| 10 | Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieci:
Jeśli jest to preferowane, można pominąć konfigurację ustawień sieci i wykonać czynności opisane w punkcie Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych w celu skonfigurowania ustawień z konsoli węzła.
| ||||||
| 11 | Kliknij prawym przyciskiem myszy węzeł VM, a następnie wybierz . Oprogramowanie Hybrid Data Security jest instalowane jako gość w hostu VM. Teraz możesz zalogować się na konsoli i skonfigurować węzeł. Wskazówki dotyczące rozwiązywania problemów Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzła. Podczas pierwszego uruchamiania na konsoli pojawi się komunikat zapory mostowej, podczas którego nie można się zalogować. |
Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych
Użyj tej procedury, aby po raz pierwszy zalogować się na konsoli VM węzła hybrydowego zabezpieczenia danych i ustawić poświadczenia logowania. Konsola może również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.
| 1 | W kliencie VMware vSphere wybierz węzeł VM Hybrid Data Security i kartę Console . Maszyna zostanie uruchomiona i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie nie jest wyświetlany, naciśnij przycisk Enter.
|
| 2 | Aby się zalogować i zmienić poświadczenia, należy użyć następującego domyślnego loginu i hasła: Ponieważ logujesz się do VM po raz pierwszy, musisz zmienić hasło administratora. |
| 3 | Jeśli ustawienia sieci zostały już skonfigurowane w Instalowaniu OVA hosta usługi HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację. |
| 4 | Skonfiguruj statyczną konfigurację z adresem IP, maską, bramą i informacjami DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany. |
| 5 | (Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne do dopasowania do zasad sieci. Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509. |
| 6 | Zapisz konfigurację sieci i uruchom ponownie VM, aby zmiany weszły w życie. |
Prześlij i zamontuj ISO konfiguracji HDS
Przed rozpoczęciem
Ponieważ plik ISO zawiera klucz główny, powinien on być narażony tylko na „potrzebę wiedzy”, aby uzyskać dostęp do hybrydowych maszyn wirtualnych ds. bezpieczeństwa danych i wszystkich administratorów, którzy mogą wymagać wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mogą uzyskać dostęp do bazy danych.
| 1 | Prześlij plik ISO z komputera: |
| 2 | Montaż pliku ISO: |
Co zrobić dalej
Jeśli polityka IT wymaga, możesz opcjonalnie odmontować plik ISO po tym, jak wszystkie węzły podniosą zmiany w konfiguracji. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.
Konfigurowanie węzła HDS dla integracji serwera proxy
Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z Hybrid Data Security. Po wybraniu przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS można użyć interfejsu węzła do przesłania i zainstalowania certyfikatu głównego. Możesz również sprawdzić połączenie serwera proxy z poziomu interfejsu i rozwiązać ewentualne problemy.
Przed rozpoczęciem
Aby zapoznać się z opcjami obsługiwanego serwera proxy, zobacz Obsługa serwera proxy.
| 1 | Wprowadź adres URL konfiguracji węzła HDS |
| 2 | Przejdź do sklepu Trust Store & Proxy, a następnie wybierz opcję:
Postępuj zgodnie z kolejnymi krokami w celu przejrzystego kontrolowania serwera proxy, bezpośredniego serwera proxy HTTP z uwierzytelnianiem podstawowym lub bezpośredniego serwera proxy HTTPS. |
| 3 | Kliknij opcję Prześlij certyfikat główny lub certyfikat jednostki końcowej, a następnie przejdź do opcji Wybierz certyfikat główny serwera proxy. Certyfikat jest przesyłany, ale jeszcze nie został zainstalowany, ponieważ aby zainstalować certyfikat, należy ponownie uruchomić węzeł. Aby uzyskać więcej szczegółów, kliknij strzałkę chevron po nazwie emitenta certyfikatu lub kliknij opcję Usuń, jeśli popełniłeś błąd i chcesz ponownie przesłać plik. |
| 4 | Kliknij Check Proxy Connection (Sprawdź połączenie proxy), aby sprawdzić połączenie sieciowe między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, pojawi się komunikat o błędzie przedstawiający przyczynę i sposób naprawienia problemu. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS. Warunek ten jest oczekiwany w wielu wyraźnych konfiguracjach serwera proxy. Możesz kontynuować konfigurację, a węzeł będzie działał w trybie Zablokowanej Zewnętrznej Rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj poniższe czynności, a następnie zobacz Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS. |
| 5 | Po przejściu testu połączenia, w przypadku wyraźnego serwera proxy ustawionego tylko na https, włącz przełącznik do Trasowania wszystkich żądań portu 443/444 https z tego węzła za pomocą wyraźnego serwera proxy. To ustawienie wymaga 15 sekund działania. |
| 6 | Kliknij Instaluj Wszystkie Certyfikaty W Sklepie Zaufania (pojawi się dla wyraźnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawi się dla wyraźnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij opcję Instaluj , jeśli jesteś gotowy. Węzeł zostanie uruchomiony ponownie w ciągu kilku minut. |
| 7 | Po ponownym uruchomieniu węzła zaloguj się ponownie w razie potrzeby, a następnie otwórz stronę Przegląd , aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie mają zielony status. Kontrola połączenia z serwerem proxy sprawdza tylko poddomenę webex.com. Jeśli występują problemy z łącznością, powszechnym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy. |
Zarejestruj pierwszy węzeł w klastrze
Po zarejestrowaniu pierwszego węzła utwórz klaster, do którego jest przypisany węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia zwolnień.
Przed rozpoczęciem
Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.
| 1 | Zaloguj się w https://admin.webex.com. |
| 2 | W menu po lewej stronie ekranu wybierz opcję Usługi. |
| 3 | W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij przycisk Skonfiguruj. Zostanie wyświetlona strona węzła Zarejestruj hybrydowe zabezpieczenia danych.
|
| 4 | Wybierz Tak, aby wskazać, że węzeł został skonfigurowany i chcesz go zarejestrować, a następnie kliknij przycisk Dalej. |
| 5 | W pierwszym polu wprowadź nazwę klastra, do którego chcesz przypisać węzeł hybrydowego zabezpieczenia danych. Zalecamy nazwanie klastra na podstawie lokalizacji węzłów klastra. Przykłady: "San Francisco", "Nowy Jork" czy "Dallas" |
| 6 | W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej. Ten adres IP lub nazwa FQDN powinny być zgodne z adresem IP lub nazwą hosta i domeną używaną podczas konfigurowania hybrydowej maszyny wirtualnej ds. bezpieczeństwa danych. Pojawi się komunikat informujący, że można zarejestrować węzeł w usłudze Webex.
|
| 7 | Kliknij przycisk Przejdź do węzła. |
| 8 | Kliknij przycisk Kontynuuj w komunikacie ostrzegawczym. Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji Webex, aby uzyskać dostęp do węzła.
|
| 9 | Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
|
| 10 | Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub. Na stronie Hybrid Data Security jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.
|
Tworzenie i rejestrowanie większej liczby węzłów
| W tym czasie zapasowe maszyny wirtualne utworzone w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych są hostami gotowymi, które są używane tylko w przypadku odzyskiwania po awarii; do tego czasu nie są rejestrowane w systemie. Aby uzyskać szczegółowe informacje, patrz Przywracanie systemu po awarii za pomocą Standby Data Center. |
Przed rozpoczęciem
Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.
| 1 | Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Instalacji OVA hosta HDS. |
| 2 | Skonfiguruj konfigurację początkową na nowej maszynie wirtualnej, powtarzając kroki w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych. |
| 3 | W nowej maszynie wirtualnej wykonaj ponownie czynności opisane w polu Prześlij i zamontuj ISO konfiguracji HDS. |
| 4 | Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w Konfigurowaniu węzła HDS dla integracji serwera proxy zgodnie z potrzebami nowego węzła. |
| 5 | Zarejestruj węzeł. Twój węzeł jest zarejestrowany. Należy pamiętać, że do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie jest jeszcze aktywowana.
|
Co zrobić dalej
Przepływ próby do zadania produkcyjnego
Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.
Przed rozpoczęciem
| 1 | Jeśli dotyczy, zsynchronizuj Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać |
| 2 |
Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
| 3 | Przetestuj wdrożenie hybrydowego zabezpieczenia danych Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych. |
| 4 | Monitorowanie stanu hybrydowego bezpieczeństwa danych Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów. |
| 5 | |
| 6 | Zakończ fazę próbną, wykonując jedną z następujących czynności: |
Aktywuj wersję próbną
Przed rozpoczęciem
Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby dla organizacji. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.
| 1 | Zaloguj się do https://admin.webex.com, a następnie wybierz opcję Usługi. |
| 2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
| 3 | W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną. Stan usługi zmienia się w tryb próbny.
|
| 4 | Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług. (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, |
Przetestuj wdrożenie hybrydowego zabezpieczenia danych
Przed rozpoczęciem
Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.
Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.
| 1 | Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.
| ||
| 2 | Wysyłaj wiadomości do nowego obszaru. | ||
| 3 | Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych. |
Monitorowanie stanu hybrydowego bezpieczeństwa danych
| 1 | W Control Hub wybierz Usługi z menu po lewej stronie ekranu. |
| 2 | W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij Ustawienia. Zostanie wyświetlona strona Ustawienia zabezpieczeń danych hybrydowych.
|
| 3 | W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij przycisk Enter. |
Dodawanie lub usuwanie użytkowników z wersji próbnej
Jeśli usuniesz użytkownika z wersji próbnej, klient poprosi go o utworzenie kluczy i klawiszy z chmury KMS zamiast Twojego KMS. Jeśli klient potrzebuje klucza przechowywanego w KMS, Cloud KMS pobierze go w imieniu użytkownika.
Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory (zamiast tej procedury) do zarządzania grupą próbną, HdsTrialGroup; można wyświetlać członków grupy w Control Hub, ale nie można ich dodawać ani usuwać.
| 1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
| 2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
| 3 | W sekcji Tryby wersji próbnej w obszarze Stan usługi kliknij przycisk Dodaj użytkowników lub kliknij widok i edytuj , aby usunąć użytkowników z wersji próbnej. |
| 4 | Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania lub kliknij przycisk X identyfikatorem użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij Zapisz . |
Przeniesienie z wersji próbnej do produkcji
| 1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
| 2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
| 3 | W sekcji Stan usługi kliknij opcję Przenieś do produkcji. |
| 4 | Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji. |
Zakończ wersję próbną bez przejścia do produkcji
| 1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
| 2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
| 3 | W sekcji Dezaktywuj kliknij przycisk Dezaktywuj. |
| 4 | Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny. |
Zarządzanie wdrożeniem HDS
Użyj opisanych tutaj zadań do zarządzania wdrożeniem hybrydowego zabezpieczenia danych.
Ustaw harmonogram uaktualniania klastra
Aby ustawić harmonogram uaktualniania:
| 1 | Zaloguj się do Centrum sterowania . |
| 2 | Na stronie Przegląd w obszarze Usługi hybrydowe wybierz opcję Hybrid Data Security. |
| 3 | Na stronie Zasoby zabezpieczeń danych hybrydowych wybierz klaster. |
| 4 | W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra. |
| 5 | Na stronie Ustawienia w obszarze Uaktualnianie wybierz godzinę i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest następna dostępna data i godzina aktualizacji. W razie potrzeby można odroczyć uaktualnienie do następnego dnia, klikając opcję Odłóż. |
Zmień konfigurację węzła
Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.
Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do zarejestrowania klastra.
Aktualizowanie ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.
Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.
Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.
Ponadto, ze względów bezpieczeństwa, Hybrid Data Security używa haseł do kont usługi o dziewięciomiesięcznym okresie ważności. Gdy narzędzie konfiguracji HDS wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO . Gdy hasła organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex , aby zresetować hasło do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj API konta komputera, aby zaktualizować hasło”). Jeśli hasła jeszcze nie wygasły, narzędzie udostępnia dwie opcje:
Miękki reset — Stare i nowe hasło działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
Twardy reset — Stare hasła natychmiast przestają działać.
Jeśli hasła wygasną bez zresetowania, będzie to miało wpływ na usługę HDS i wymaga natychmiastowego twardego resetu i zastąpienia pliku ISO we wszystkich węzłach.
Ta procedura służy do generowania nowego konfiguracyjnego pliku ISO i zastosowania go do klastra.
Przed rozpoczęciem
Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas przywoływania kontenera Docker w 1.e. W tej tabeli podano kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTSerwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTSerwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTSerwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTDo wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO . ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.
| 1 | Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie konfiguracji HDS.
| ||||||
| 2 | Jeśli uruchomiony jest tylko jeden węzeł HDS , utwórz nową maszynę VM węzła Hybrid Data Security i zarejestruj ją przy użyciu nowego konfiguracyjnego pliku ISO . Aby uzyskać bardziej szczegółowe instrukcje, zobacz temat Tworzenie i rejestrowanie większej liczby węzłów. | ||||||
| 3 | W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO . Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła: | ||||||
| 4 | Powtórz krok 3, aby zastąpić konfigurację w każdym pozostałym węźle, na którym działa stara konfiguracja. |
Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS
Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznawać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb Zablokowanej zewnętrznej rozdzielczości DNS.
Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, uruchamiając ponownie test połączenia serwera proxy w każdym węźle.
Przed rozpoczęciem
| 1 | W przeglądarce internetowej otwórz interfejs węzła hybrydowego zabezpieczenia danych (adres IP/konfiguracja, na przykład https://192.0.2.0/setup), wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się. |
| 2 | Przejdź do Przegląd (strona domyślna). Po włączeniu Rozpoznawanie zablokowanego zewnętrznego DNS jest ustawiony na Tak . |
| 3 | Przejdź do strony Trust Store & Proxy. |
| 4 | Kliknij przycisk Sprawdź połączenie z serwerem proxy. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS i pozostanie w tym trybie. W przeciwnym razie po ponownym uruchomieniu węzła i powrocie na stronę Przegląd zablokowana zewnętrzna rozdzielczość DNS powinna być ustawiona na nr. |
Co zrobić dalej
Usuń węzeł
| 1 | Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi i wyłączyć maszynę wirtualną. |
| 2 | Usuń węzeł: |
| 3 | W kliencie vSphere usuń maszynę wirtualną (w lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij polecenie Usuń). Jeśli nie usuniesz VM, pamiętaj o usunięciu pliku ISO konfiguracji. Bez pliku ISO nie można użyć maszyny wirtualnej, aby uzyskać dostęp do danych bezpieczeństwa. |
Odzyskiwanie po awarii za pomocą Standby Data Center
Najbardziej krytyczną usługą oferowaną przez klaster Hybrid Data Security jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji przypisanego do hybrydowego zabezpieczenia danych nowe żądania tworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za przywrócenie kluczy, które został utworzony do wszystkich użytkowników upoważnionych do ich odzyskania, na przykład członków obszaru konwersacji.
Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby utrzymywały się odpowiednie kopie zapasowe. Utrata bazy danych hybrydowych zabezpieczeń danych lub układu ISO konfiguracji stosowanego dla schematu spowoduje NIEZBĘDNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, konieczne są następujące praktyki:
Jeśli awaria spowoduje, że wdrożenie HDS w głównym centrum danych stanie się niedostępne, postępuj zgodnie z tą procedurą, aby ręcznie przełączyć się na standby centrum danych.
| 1 | Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts. | ||
| 2 | Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
| 3 | Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń
| ||
| 4 | Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
| 5 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
| 6 | W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
| 7 | Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
| 8 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
| 9 | Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
(Opcjonalnie) Odmontować ISO Po Konfiguracji HDS
Standardowa konfiguracja HDS działa z zamontowanym ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale zamontowanych. Plik ISO można odmontować po odebraniu nowej konfiguracji przez wszystkie węzły HDS.
Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego ISO lub aktualizacji ISO za pomocą narzędzia konfiguracyjnego należy zamontować zaktualizowany ISO na wszystkich węzłach HDS. Po odebraniu zmian konfiguracji przez wszystkie węzły można ponownie rozmontować ISO za pomocą tej procedury.
Przed rozpoczęciem
Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.
| 1 | Zamknij jeden z węzłów HDS. |
| 2 | W urządzeniu VCenter Server Appliance wybierz węzeł HDS. |
| 3 | Wybierz i usuń zaznaczenie pliku Datastore ISO. |
| 4 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut. |
| 5 | Powtórz kolejno dla każdego węzła HDS. |
Wyświetlanie alertów i rozwiązywania problemów
Wdrożenie hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że wymaga przekroczenia czasu. Jeśli użytkownicy nie mogą skontaktować się z klastrem hybrydowego zabezpieczenia danych, mogą wystąpić następujące objawy:
Nie można utworzyć nowych obszarów (nie można utworzyć nowych kluczy)
Wiadomości i tytuły przestrzeni nie można odszyfrować dla:
Dodano nowych użytkowników do obszaru (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze będą z powodzeniem działać tak długo, jak ich klienci będą mieli pamięć podręczną kluczy szyfrowania
Ważne jest, aby odpowiednio monitorować klaster hybrydowego zabezpieczenia danych i szybko zwracać się do wszystkich alertów, aby uniknąć zakłóceń w obsłudze.
Alerty
Jeśli występuje problem z konfiguracją hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.
Alert | Czynność |
|---|---|
Niepowodzenie dostępu do lokalnej bazy danych. |
Sprawdź, czy występują błędy w bazie danych lub problemy z siecią lokalną. |
Niepowodzenie połączenia z lokalną bazą danych. |
Sprawdź, czy serwer bazy danych jest dostępny, a w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi. |
Niepowodzenie dostępu do usługi w chmurze. |
Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z wymaganiami Zewnętrznej łączności. |
Odnowienie rejestracji usług w chmurze. |
Zrezygnowano z rejestracji na usługi w chmurze. Trwa przedłużenie rejestracji. |
Rejestracja usług w chmurze została odrzucona. |
Rejestracja na usługi w chmurze została zakończona. Usługa jest wyłączona. |
Usługa jeszcze nie została aktywowana. |
Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do produkcji. |
Skonfigurowana domena nie odpowiada certyfikatowi serwera. |
Upewnij się, że certyfikat serwera jest zgodny z skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że certyfikat CN został ostatnio zmieniony i jest teraz inny niż CN, który był używany podczas początkowej konfiguracji. |
Nie można uwierzytelnić usług w chmurze. |
Kontrola poprawności i ewentualnego wygaśnięcia poświadczeń konta usługi. |
Nie można otworzyć lokalnego pliku keystore. |
Sprawdź integralność i dokładność hasła w lokalnym pliku keystore. |
Certyfikat lokalnego serwera jest nieprawidłowy. |
Sprawdź datę ważności certyfikatu serwera i potwierdź, że został on wydany przez zaufany urząd certyfikacji. |
Nie można publikować metryk. |
Sprawdź dostęp sieci lokalnej do zewnętrznych usług w chmurze. |
/media/configdrive/hds katalog nie istnieje. |
Sprawdź konfigurację montażu ISO na wirtualnym hostze. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu na ponownym uruchomieniu i czy został pomyślnie zainstalowany. |
Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych
| 1 | Przejrzyj Control Hub dla wszystkich alertów i naprawić wszystkie znalezione tam elementy. |
| 2 | Przejrzyj wyjście serwera dziennika systemowego pod kątem aktywności z wdrożenia hybrydowego zabezpieczenia danych. |
| 3 | Skontaktuj się z pomocą techniczną Cisco. |
Znane problemy dotyczące hybrydowych zabezpieczeń danych
Jeśli zamkniesz klaster hybrydowego zabezpieczenia danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych keystore, użytkownicy aplikacji Webex nie będą mogli już korzystać ze spacji na liście Osoby utworzonej za pomocą kluczy z KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia ani rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłudze aktywnych kont użytkowników.
Klient z istniejącym połączeniem ECDH z KMS utrzymuje to połączenie przez pewien czas (prawdopodobnie godzinę). Gdy użytkownik staje się członkiem próby hybrydowego zabezpieczenia danych, klient użytkownika nadal korzysta z istniejącego połączenia ECDH do czasu jego wyłączenia. Alternatywnie, użytkownik może wylogować się i wrócić do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w przypadku kluczy szyfrowania.
To samo zachowanie występuje podczas przenoszenia próby do produkcji dla organizacji. Wszyscy użytkownicy spoza wersji próbnej posiadający istniejące połączenia ECDH z poprzednimi służbami bezpieczeństwa danych będą nadal korzystać z tych usług do czasu renegocjacji połączenia ECDH (poprzez limit czasu lub poprzez wylogowanie i powrót).
Użyj protokołu OpenSSL, aby wygenerować plik PKCS12
Przed rozpoczęciem
OpenSSL jest jednym z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do ładowania w narzędziu konfiguracji HDS. Istnieją inne sposoby, aby to zrobić, i nie popieramy ani nie promujemy jednej drogi nad drugą.
Jeśli zdecydujesz się korzystać z OpenSSL, zapewniamy tę procedurę jako wytyczną, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatów X.509. Zrozum te wymagania, zanim przejdziesz dalej.
Zainstaluj OpenSSL w obsługiwanym środowisku. Patrz https://www.openssl.org oprogramowanie i dokumentacja.
Utwórz klucz prywatny.
Procedurę tę należy rozpocząć po otrzymaniu certyfikatu serwera od urzędu certyfikacji.
| 1 | Po otrzymaniu certyfikatu serwera z urzędu certyfikacji zapisz go jako |
| 2 | Wyświetl certyfikat jako tekst i zweryfikuj szczegóły.
|
| 3 | Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie
|
| 4 | Utwórz plik .p12 o przyjaznej nazwie
|
| 5 | Sprawdź szczegóły certyfikatu serwera. |
Co zrobić dalej
Powróć, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych. Korzystasz z hdsnode.p12 plik i ustawione dla niego hasło w Utwórz ISO konfiguracji dla prowadzących HDS.
| Możesz ponownie użyć tych plików, aby poprosić o nowy certyfikat po wygaśnięciu oryginalnego certyfikatu. |
Ruch między węzłami HDS a chmurą
Ruch zbierania metryk wychodzących
Węzły hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dla maks. stosu, stosowanego stosu, obciążenia procesora i liczenia wątków; metryki na wątkach synchronicznych i asynchronicznych; metryki na alertach obejmujące próg połączeń szyfrowania, opóźnienie lub długość kolejki żądań; metryki na zbiorniku danych; oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał poza pasmem (oddzielony od żądania).
Ruch przychodzący
Węzły hybrydowego zabezpieczenia danych otrzymują następujące typy ruchu przychodzącego z chmury Webex:
Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania
Aktualizacja do oprogramowania węzła
Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych
Websocket Nie Można Połączyć Za Pomocą Proxy Squid
Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS, mogą ingerować w tworzenie websocket ( wss:) połączenia, których wymaga Hybrid Data Security. Sekcje te zawierają wskazówki dotyczące konfigurowania różnych wersji Squid do ignorowania wss: ruch w celu prawidłowego funkcjonowania usług.
Squid 4 i 5
Dodaj on_unsupported_protocol dyrektywa do squid.conf:
on_unsupported_protocol tunnel allSquid 3.5.27
Z powodzeniem przetestowaliśmy hybrydowe zabezpieczenia danych, dodając następujące zasady squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizacji chmury Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allNowe i zmienione informacje
|
Data |
Zmiany | ||
|---|---|---|---|
|
20 października 2023 r. |
| ||
|
07 sierpnia 2023 r. |
| ||
|
23 maja 2023 r. |
| ||
|
06 grudnia 2022 r. |
| ||
|
23 listopada 2022 r. |
| ||
|
13 października, 2021 |
Docker Desktop musi uruchomić program konfiguracji przed zainstalowaniem węzłów HDS. Zobacz Wymagania Dotyczące Pulpitu Docker. | ||
|
Czerwiec 24, 2021 |
Pamiętaj, że możesz ponownie użyć pliku klucza prywatnego i CSR, aby poprosić o inny certyfikat. Aby uzyskać szczegółowe informacje, zobacz Użyj OpenSSL, aby wygenerować plik PKCS12. | ||
| 30 kwietnia 2021 r. |
Zmieniono wymaganie VM dla lokalnego miejsca na dysku twardym na 30 GB. Szczegółowe informacje można znaleźć w sekcji Wymagania wirtualnego prowadzącego . | ||
|
24 lutego, 2021 |
Narzędzie konfiguracji usługi HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie ISO konfiguracji hostów HDS . | ||
|
2 lutego 2021 r |
HDS może teraz działać bez zamontowanego pliku ISO. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS . | ||
|
11 stycznia 2021 r. |
Dodano informacje o narzędziu konfiguracji HDS i pełnomocnikach, aby utworzyć ISO konfiguracji dla prowadzących HDS. | ||
|
13 października, 2020 |
Zaktualizowano Pobierz pliki instalacyjne. | ||
|
8 października 2020 r. |
Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP. | ||
|
14 sierpnia, 2020 |
Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła ze zmianami w procesie logowania. | ||
|
5 sierpnia 2020 r. |
Zaktualizowano testowanie wdrażania hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika. Zaktualizowano wymagania hosta wirtualnego , aby usunąć maksymalną liczbę hostów. | ||
|
16 czerwca 2020 r. |
Zaktualizowano Usuwanie węzła pod kątem zmian w interfejsie interfejsu Control Hub. | ||
|
4 czerwca 2020 r. |
Zaktualizowano Tworzenie ISO konfiguracji dla hostów HDS w celu wprowadzenia zmian w ustawieniach zaawansowanych, które można ustawić. | ||
|
29 maja 2020 r. |
Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami interfejsu użytkownika i innymi wyjaśnieniami. | ||
|
5 maja 2020 r. |
Zaktualizowano wymagania hosta wirtualnego , aby pokazać nowe wymagania ESXi 6.5. | ||
|
21 kwietnia 2020 r. |
Zaktualizowane wymagania dotyczące łączności zewnętrznej z nowymi hostami CI Americas. | ||
|
1 kwietnia 2020 r. |
Zaktualizowane wymagania dotyczące łączności zewnętrznej z informacjami na temat regionalnych prowadzących CI. | ||
| 20 lutego, 2020 | Zaktualizowano Utwórz ISO konfiguracji hostów HDS z informacjami na nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu do konfiguracji HDS. | ||
| 12 lutego 2020 r. | Zaktualizowano wymagania serwera proxy. | ||
| 16 grudnia 2019 r. | Wyjaśnienie wymogu działania Zablokowanego zewnętrznego trybu rozpoznawania DNS w wymaganiach serwera proxy. | ||
| 19 listopada, 2019 |
Dodano informacje o zablokowanym zewnętrznym trybie rozpoznawania DNS w następujących sekcjach: | ||
|
8 listopada, 2019 |
Teraz można skonfigurować ustawienia sieciowe węzła podczas wdrażania OVA, a nie później. Zaktualizowano odpowiednio następujące sekcje:
| ||
|
Wrzesień 6, 2019 |
Dodano SQL Server Standard do wymagań serwera bazy danych. | ||
| 29 sierpnia 2019 r. | Dodano Configure Squid Proxies for Hybrid Data Security appendix z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu zignorowania ruchu websocket w celu prawidłowej obsługi. | ||
| Sierpień 20, 2019 |
Dodano i zaktualizowano sekcje, aby objąć obsługę proxy komunikacji węzła hybrydowego bezpieczeństwa danych z chmurą Webex. Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł pomocy Proxy Support for Hybrid Data Security i Webex Video Mesh . | ||
| 13 czerwca 2019 r. | Zaktualizowano Trial to Production Task Flow z przypomnieniem o synchronizacji obiektu grupowego HdsTrialGroup przed rozpoczęciem próby, jeśli organizacja korzysta z synchronizacji katalogu. | ||
| 6 marca 2019 r. |
| ||
| 28 lutego 2019 r. |
| ||
| 26 lutego 2019 r. |
| ||
|
Styczeń 24, 2019 |
| ||
| 5 listopada 2018 r. |
| ||
| 19 października 2018 r. |
| ||
|
31 lipca 2018 r. |
| ||
| 21 maja 2018 r. |
Zmieniona terminologia odzwierciedlająca zmianę marki Cisco Spark:
| ||
| 11 kwietnia 2018 r. |
| ||
| Luty 22, 2018 |
| ||
| Luty 15, 2018 |
| ||
| Styczeń 18, 2018 |
| ||
|
2 listopada 2017 r. |
| ||
|
18 sierpnia 2017 r. |
Pierwsza publikacja |
Przegląd zabezpieczeń danych hybrydowych
Od pierwszego dnia bezpieczeństwo danych było głównym celem projektowania aplikacji Webex. Podstawą tego bezpieczeństwa jest kompleksowe szyfrowanie zawartości, włączone przez klientów aplikacji Webex współpracujących z usługą Key Management Service (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.
Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS w obszarze bezpieczeństwa firmy Cisco. Hybrid Data Security przenosi KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie posiada kluczy do zaszyfrowanej zawartości.
Architektura domeny zabezpieczeń
Architektura chmury Webex oddziela różne rodzaje usług od osobnych domen lub domen zaufania, jak przedstawiono poniżej.
Aby lepiej zrozumieć hybrydowe zabezpieczenia danych, spójrzmy najpierw na ten przypadek czystej chmury, w którym Cisco zapewnia wszystkie funkcje w swoich domenach w chmurze. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od domeny bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od domeny, w której ostatecznie przechowywana jest zaszyfrowana zawartość, w centrum danych C.
Na tym schemacie klient to aplikacja Webex działająca na laptopie użytkownika i uwierzytelniona za pomocą usługi tożsamości. Gdy użytkownik komponuje wiadomość do wysłania do obszaru, wykonywane są następujące czynności:
-
Klient ustanawia bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie prosi o klucz do szyfrowania wiadomości. Bezpieczne połączenie korzysta z ECDH, a KMS szyfruje klucz przy użyciu klucza głównego AES-256.
-
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła go do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniach zawartości.
-
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
-
Zaszyfrowana wiadomość jest przechowywana w domenie przechowywania.
Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze, które składają się na usługę Webex (w tym pamięć masowa tożsamości i zawartości), pozostają w domenach Cisco.
Współpraca z innymi organizacjami
Użytkownicy w organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników prosi o klucz do obszaru należącego do organizacji (ponieważ został on utworzony przez jednego z użytkowników), KMS wysyła klucz do klienta za pośrednictwem kanału zabezpieczonego ECDH. Jednak gdy inna organizacja jest właścicielem klucza dla obszaru, system KMS kieruje żądanie do chmury Webex przez osobny kanał ECDH, aby uzyskać klucz z odpowiedniego systemu KMS, a następnie zwraca go do użytkownika na oryginalnym kanale.
Usługa KMS działająca na Org A weryfikuje połączenia z KMSs w innych organizacjach za pomocą certyfikatów PKI x.509. Aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użytku z wdrożeniem hybrydowego zabezpieczenia danych, zobacz Prepare Your Environment (Przygotowanie środowiska).
Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych
Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klienta i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.
Aby wdrożyć hybrydowe zabezpieczenia danych, należy zapewnić:
-
Bezpieczne centrum danych w kraju, który jest obsługiwaną lokalizacją dla planów Cisco Webex Teams.
-
Sprzęt, oprogramowanie i dostęp do sieci opisane w punkcie Przygotowanie środowiska.
Kompletna utrata konfiguracji ISO utworzonej dla hybrydowego zabezpieczenia danych lub dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:
-
Zarządzanie kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.
-
Przygotuj się do szybkiego odzyskiwania awaryjnego w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub awaria centrum danych.
| Nie ma mechanizmu przenoszenia kluczy z powrotem do chmury po wdrożeniu HDS. |
Proces konfiguracji na wysokim poziomie
Niniejszy dokument obejmuje konfigurację i zarządzanie wdrożeniem hybrydowego zabezpieczenia danych:
Skonfiguruj hybrydowe zabezpieczenia danych — obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, testowanie wdrożenia z podzbiorem użytkowników w trybie próbnym oraz, po zakończeniu testów, przejście do produkcji. Spowoduje to konwertowanie całej organizacji do używania klastra Hybrid Data Security dla funkcji zabezpieczeń.
Etapy konfiguracji, prób i produkcji zostały szczegółowo omówione w kolejnych trzech rozdziałach.
-
Utrzymaj wdrożenie hybrydowego zabezpieczenia danych — chmura Webex automatycznie zapewnia bieżące uaktualnienia. Dział IT może zapewnić wsparcie poziomu pierwszego dla tego wdrożenia i zaangażować wsparcie Cisco w razie potrzeby. Możesz używać powiadomień na ekranie i konfigurować alerty oparte na wiadomościach e-mail w Control Hub.
-
Zrozumienie wspólnych alertów, kroków rozwiązywania problemów i znanych problemów — w przypadku wystąpienia problemów z wdrożeniem lub użyciem hybrydowego zabezpieczenia danych ostatni rozdział niniejszego przewodnika i dodatku do Znanych problemów może pomóc w określeniu i rozwiązaniu problemu.
Hybrydowy model wdrażania zabezpieczeń danych
W centrum danych przedsiębiorstwa wdrażasz hybrydowe zabezpieczenia danych jako jeden klaster węzłów na osobnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych websocketów i bezpiecznego protokołu HTTP.
Podczas procesu instalacji dostarczamy Ci plik OVA do skonfigurowania urządzenia wirtualnego na dostarczonych maszynach wirtualnych. Narzędzie konfiguracyjne HDS służy do tworzenia niestandardowego pliku ISO konfiguracji klastra, który jest montowany w każdym węźle. Klaster Hybrid Data Security korzysta z dostarczonego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu konfiguracji HDS).
Minimalna liczba węzłów w klastrze to dwa. Zalecamy co najmniej trzy, a możesz mieć do pięciu. Posiadanie wielu węzłów zapewnia, że usługa nie zostanie przerwana podczas uaktualniania oprogramowania lub innej czynności konserwacyjnej w węźle. (Chmura Webex aktualizuje tylko jeden węzeł naraz).
Wszystkie węzły w klastrze mają dostęp do tego samego rekordu danych klucza i aktywności dziennika na tym samym serwerze dziennika systemowego. Same węzły są bezpaństwowe i obsługują żądania kluczy w sposób okrągły, zgodnie z zaleceniami chmury.
Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby usunąć pojedynczy węzeł z usługi, można go wyrejestrować, a następnie ponownie wyrejestrować w razie potrzeby.
Obsługujemy tylko jeden klaster na organizację.
Tryb próbny zabezpieczeń danych hybrydowych
Po skonfigurowaniu wdrożenia hybrydowego zabezpieczenia danych spróbuj go najpierw z zestawem użytkowników pilotażowych. W okresie próbnym użytkownicy ci wykorzystują lokalną domenę hybrydowego zabezpieczenia danych do szyfrowania kluczy i innych usług domeny zabezpieczeń. Inni użytkownicy nadal korzystają ze sfery zabezpieczeń w chmurze.
Jeśli zdecydujesz się nie kontynuować wdrażania podczas wersji próbnej i dezaktywować usługi, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi kontaktowali się, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zostanie wyświetlony komunikat „Nie można odszyfrować tej wiadomości” w aplikacji Webex.
Jeśli jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych i jesteś gotowy do rozszerzenia hybrydowego zabezpieczenia danych na wszystkich użytkowników, przenosisz wdrożenie do produkcji. Użytkownicy pilotażowi nadal mają dostęp do kluczy, które były używane podczas próby. Nie można jednak poruszać się w tę i z powrotem między trybem produkcji a oryginalnym testem. Jeśli musisz dezaktywować usługę, na przykład w celu przeprowadzenia odzyskiwania po awarii, po ponownej aktywacji musisz rozpocząć nową wersję próbną i skonfigurować zestaw użytkowników pilotażowych dla nowej wersji próbnej przed powrotem do trybu produkcji. To, czy użytkownicy zachowują w tym momencie dostęp do danych, zależy od tego, czy udało się zachować kopie zapasowe kluczowego magazynu danych i pliku konfiguracyjnego ISO dla węzłów hybrydowych zabezpieczeń danych w klastrze.
Standby Data Center for Disaster Recovery
Podczas wdrażania skonfigurowano bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie anulować wdrożenie do centrum danych w trybie gotowości.
Bazy danych aktywnych i standby centrów danych są ze sobą zsynchronizowane, co zminimalizuje czas potrzebny na wykonanie przełącznika awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają rejestrację węzłów w organizacji, ale nie obsługują ruchu. Stąd węzły standby data center zawsze pozostają aktualne z najnowszą wersją oprogramowania HDS.
| Aktywne węzły hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych. |
Konfiguracja Standby Data Center do odzyskiwania awarii
Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:
Przed rozpoczęciem
-
Centrum danych w stanie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych oraz zapasową bazę danych PostgreSQL lub Microsoft SQL Server. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne. (Zobacz Standby Data Center for Disaster Recovery (Centrum danych w trybie gotowości do przywracania systemu po awarii).
-
Upewnij się, że synchronizacja bazy danych jest włączona między bazą danych aktywnych i pasywnych węzłów klastra.
| 1 |
Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.
| ||
| 2 |
Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
| 3 |
Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwał żadnego ruchu.
| ||
| 4 |
Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
| 5 |
Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
| 6 |
W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
| 7 |
Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
| 8 |
Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
| 9 |
Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
Po skonfigurowaniu trybu pasywów w pliku ISO i zapisaniu go można utworzyć inną kopię pliku ISO bez konfiguracji trybu pasywów i zapisać go w bezpiecznej lokalizacji. Ta kopia pliku ISO bez skonfigurowanego trybu pasywówTryb może pomóc w szybkim procesie awaryjnym podczas odzyskiwania awarii. Aby zapoznać się ze szczegółową procedurą przywracania awaryjnego za pomocą Standby Data Center (Centrum danych gotowości).
Obsługa serwera proxy
Hybrid Data Security obsługuje jawne, przejrzyste inspekcje i niekontrolujące serwery proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy w węzłach można używać do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.
Węzły Hybrid Data Security obsługują następujące opcje serwera proxy:
-
Brak serwera proxy — ustawienie domyślne, jeśli w celu zintegrowania serwera proxy nie jest używane do konfiguracji węzła HDS Trust Store & Proxy. Aktualizacja certyfikatu nie jest wymagana.
-
Przejrzysty serwer proxy niekontrolowany — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z serwerem proxy niekontrolowanym. Aktualizacja certyfikatu nie jest wymagana.
-
Przejrzyste tunelowanie lub sprawdzanie serwera proxy — węzły nie są skonfigurowane do korzystania z określonego adresu serwera proxy. W węzłach nie są wymagane żadne zmiany konfiguracji HTTP ani HTTPS. Jednak węzły potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Inspekcja serwerów proxy jest zwykle używana przez IT do egzekwowania zasad, na których można odwiedzać witryny internetowe, a które nie są dozwolone. Ten typ serwera proxy odszyfrowuje cały ruch (nawet HTTPS).
-
Wyraźny serwer proxy — w przypadku wyraźnego serwera proxy należy wskazać węzły HDS, których serwer proxy i schemat uwierzytelniania należy używać. Aby skonfigurować jawny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
-
Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.
-
Port serwera proxy — numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.
-
Protokół proxy — w zależności od tego, co obsługuje serwer proxy, wybierz między następującymi protokołami:
-
HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
-
HTTPS — zapewnia kanał do serwera. Klient odbiera i sprawdza poprawność certyfikatu serwera.
-
-
Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:
-
Brak — dalsze uwierzytelnianie nie jest wymagane.
Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
-
Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Używa kodowania Base64.
Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
-
Cyfra — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć.
Opcja dostępna tylko po wybraniu protokołu HTTPS jako protokołu proxy.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
-
-
Przykład hybrydowych węzłów zabezpieczeń danych i serwera proxy
Ten diagram przedstawia przykładowe połączenie między hybrid data security, siecią i serwerem proxy. W przypadku opcji przezroczystego serwera proxy inspekcji i jawnego sprawdzania HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach Hybrid Data Security.
Zablokowany tryb zewnętrznego rozpoznawania DNS (jawne konfiguracje serwera proxy)
Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. We wdrożeniach z jawnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzne rozpoznawanie DNS dla klientów wewnętrznych, jeśli węzeł nie może wysłać kwerendy do serwerów DNS, automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.
Wymagania dotyczące hybrydowego bezpieczeństwa danych
Wymagania licencyjne Cisco Webex
Aby wdrożyć hybrydowe zabezpieczenia danych:
-
Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub. (patrz https://www.cisco.com/go/pro-pack.)
Docker Wymagania pulpitowe
Przed zainstalowaniem węzłów HDS potrzebny jest Docker Desktop do uruchomienia programu konfiguracji. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop.Your organization might require a paid subscription for Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis na blogu Platformy Docker " Docker aktualizuje i rozszerza nasze subskrypcje produktów".
Wymagania dotyczące certyfikatu X.509
Łańcuch certyfikatów musi spełniać następujące wymagania:
|
Wymaganie |
Szczegóły |
|---|---|
|
Domyślnie ufamy urzędnikom na liście Mozilla (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN nie musi być osiągalne ani hostem na żywo. Zalecamy używanie nazwy odzwierciedlającej organizację, na przykład CN nie może zawierać * (wildcard). CN służy do weryfikacji węzłów hybrydowych zabezpieczeń danych dla klientów aplikacji Webex. Wszystkie węzły hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. System KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie obsługujemy zmiany nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych. |
|
Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu weryfikacji połączeń z KMSs innych organizacji. |
|
Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Po uruchomieniu narzędzia konfiguracji usługi HDS należy wprowadzić hasło. |
Oprogramowanie KMS nie wymusza użycia klucza ani nie nakłada dodatkowych ograniczeń w jego używaniu. Niektóre organy certyfikatów wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia użycia kluczy, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.
Wymagania dotyczące wirtualnego prowadzącego
Wirtualne hosty skonfigurowane jako węzły hybrydowego zabezpieczenia danych w klastrze mają następujące wymagania:
-
Co najmniej dwa osobne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych
-
Oprogramowanie VMware ESXi 6.5 (lub nowsze) zostało zainstalowane i uruchomione.
Jeśli masz wcześniejszą wersję ESXi, musisz ją uaktualnić.
-
Minimum 4 procesory vCPUs, 8-GB pamięci głównej, 30-GB lokalnego miejsca na dysk twardy na serwer
Wymagania serwera bazy danych
| Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych. |
Istnieją dwie opcje dla serwera bazy danych. Wymagania dla każdego z nich są następujące:
|
PostgreSQL |
Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
|
Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) |
Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) |
Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
Postgres JDBC kierowca 42.2.5 |
SQL Server JDBC sterownik 4.6 Ta wersja sterownika obsługuje program SQL Server Always On (Always On Failover Cluster Instances oraz Always On availability groups). |
Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w usłudze Microsoft SQL Server
Jeśli chcesz, aby węzły HDS używały uwierzytelniania w systemie Windows, aby uzyskać dostęp do bazy danych keystore na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w swoim środowisku:
-
Węzły HDS, infrastruktura Active Directory i MS SQL Server muszą być synchronizowane z NTP.
-
Konto systemu Windows dla węzłów HDS musi mieć dostęp do bazy danych do odczytu/zapisu.
-
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozwiązać klucz centrum dystrybucji (KDC).
-
Wystąpienie bazy danych HDS można zarejestrować na serwerze Microsoft SQL Server jako główną nazwę usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.
Narzędzie do konfigurowania HDS, uruchamianie HDS i lokalne KMS muszą używać uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych keystore. Używają szczegółów z konfiguracji ISO do budowy SPN podczas żądania dostępu z uwierzytelnianiem Kerberos.
Wymagania dotyczące połączeń zewnętrznych
Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:
|
Aplikacja |
Protokół |
Port |
Polecenie z aplikacji |
Miejsce docelowe |
|---|---|---|---|---|
|
Węzły hybrydowego zabezpieczenia danych |
TCP |
443 |
Zewnętrzne HTTPS i WSS |
|
|
Narzędzie do konfigurowania HDS |
TCP |
443 |
Zewnętrzny protokół HTTPS |
|
| Węzły hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub za zaporą, o ile NAT lub zapora zezwala na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują dostępu do węzłów hybrydowych zabezpieczeń danych w portach TCP 443 i 22 do celów administracyjnych. |
Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Są to bieżące hosty CI:
|
Region |
Wspólne adresy URL prowadzącego tożsamości |
|---|---|
|
Ameryka |
|
|
Unia Europejska |
|
|
Kanada |
|
Wymagania dotyczące serwera proxy
-
Oficjalnie obsługujemy następujące rozwiązania proxy, które można zintegrować z węzłami Hybrid Data Security.
-
Przezroczysty serwer proxy — Cisco Web Security Appliance (WSA).
-
Jawny serwer proxy — Squid.
Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS mogą zakłócać tworzenie połączeń websocket (wss:). Aby rozwiązać ten problem, zobacz Configure Squid Proxies for Hybrid Data Security.
-
-
Obsługujemy następujące kombinacje typów uwierzytelniania dla jawnych serwerów proxy:
-
Brak uwierzytelniania za pomocą protokołu HTTP lub HTTPS
-
Uwierzytelnianie podstawowe za pomocą protokołu HTTP lub HTTPS
-
Uwierzytelnianie szyfrowane tylko przy użyciu protokołu HTTPS
-
-
W przypadku przezroczystego serwera proxy inspekcji lub jawnego serwera proxy HTTPS musisz mieć kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania w tym przewodniku informają, jak przekazać kopię do magazynów zaufania węzłów hybrid Data Security.
-
Sieć obsługująca węzły HDS musi być skonfigurowana tak, aby wymuszała kierowanie wychodzącego ruchu TCP na porcie 443 przez serwer proxy.
-
Serwery proxy, które sprawdzają ruch sieci web, mogą zakłócać połączenia gniazd internetowych. Jeśli ten problem wystąpi, ominięcie (nie inspekcja) ruchu do
wbx2.comi ciscospark.comrozwiąże problem.
Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych
| 1 |
Upewnij się, że Twoja organizacja Webex jest włączona dla pakietu Pro Pack dla Cisco Webex Control Hub i uzyskaj poświadczenia konta z pełnymi prawami administratora organizacji. Aby uzyskać pomoc w tym procesie, skontaktuj się z partnerem firmy Cisco lub menedżerem konta. | ||
| 2 |
Wybierz nazwę domeny dla wdrożenia HDS (na przykład | ||
| 3 |
Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły hybrydowego zabezpieczenia danych w klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych, które spełniają wymagania w Wymagania wirtualnego hosta. | ||
| 4 |
Przygotuj serwer bazy danych, który będzie działał jako kluczowy magazyn danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być zestawiony w bezpiecznym centrum danych z wirtualnymi hostami. | ||
| 5 |
W celu szybkiego odzyskiwania danych po awarii należy skonfigurować środowisko tworzenia kopii zapasowych w innym centrum danych. Środowisko tworzenia kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i zapasowego serwera bazy danych. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne. | ||
| 6 |
Skonfiguruj hosta dziennika systemowego, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemowego (domyślnie jest to UDP 514). | ||
| 7 |
Utwórz bezpieczne zasady tworzenia kopii zapasowych węzłów hybrydowych zabezpieczeń danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec niemożliwej do odzyskania utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów hybrydowych zabezpieczeń danych.
Klienci aplikacji Webex przechowują klucze w pamięci podręcznej, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się widoczna. Chociaż tymczasowe przerwy są niemożliwe do zapobieżenia, są one do odzyskania. Jednak całkowita utrata (brak kopii zapasowych) bazy danych lub pliku konfiguracyjnego ISO spowoduje niemożliwy do odzyskania dane klienta. Oczekuje się, że operatorzy węzłów hybrydowego bezpieczeństwa danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowy centrum danych hybrydowego bezpieczeństwa danych w przypadku wystąpienia katastrofalnej awarii. | ||
| 8 |
Upewnij się, że konfiguracja zapory umożliwia dostęp do łączności w węzłach hybrydowych zabezpieczeń danych, jak opisano w Zewnętrznych wymogach dotyczących łączności. | ||
| 9 |
Zainstaluj Docker ( https://www.docker.com) na dowolnej lokalnej maszynie z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080. Za pomocą wystąpienia Docker można pobrać i uruchomić narzędzie konfiguracji HDS, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów hybrydowych zabezpieczeń danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania Dotyczące Pulpitu Dockera. Aby zainstalować i uruchomić narzędzie do konfiguracji HDS, lokalna maszyna musi mieć łączność opisaną w Zewnętrznych wymaganiach dotyczących łączności. | ||
| 10 |
Jeśli integrujesz serwer proxy z hybrydowymi zabezpieczeniami danych, upewnij się, że spełnia on wymagania serwera proxy. | ||
| 11 |
Jeśli organizacja korzysta z synchronizacji katalogu, utwórz grupę w usłudze Active Directory o nazwie
|
Hybrid Data Security Deployment Task Flow
Przed rozpoczęciem
| 1 |
Download the OVA file to your local machine for later use. | ||
| 2 |
Create a Configuration ISO for the HDS Hosts Use the HDS Setup Tool to create an ISO configuration file for the Hybrid Data Security nodes. | ||
| 3 |
Create a virtual machine from the OVA file and perform initial configuration, such as network settings.
| ||
| 4 |
Set up the Hybrid Data Security VM Sign in to the VM console and set the sign-in credentials. Configure the network settings for the node if you didn't configure them at the time of OVA deployment. | ||
| 5 |
Upload and Mount the HDS Configuration ISO Configure the VM from the ISO configuration file that you created with the HDS Setup Tool. | ||
| 6 |
Konfigurowanie węzła HDS do integracji z serwerem proxy If the network environment requires proxy configuration, specify the type of proxy that you will use for the node, and add the proxy certificate to the trust store if needed. | ||
| 7 |
Register the First Node in the Cluster Register the VM with the Cisco Webex cloud as a Hybrid Data Security node. | ||
| 8 |
Create and Register More Nodes Complete the cluster setup. | ||
| 9 |
Run a Trial and Move to Production (next chapter) Until you start a trial, your nodes generate an alarm indicating that your service is not yet activated. |
Download Installation Files
| 1 |
Sign in to https://admin.webex.com, and then click Services. | ||||
| 2 |
In the Hybrid Services section, find the Hybrid Data Security card, and then click Set up. If the card is disabled or you don’t see it, contact your account team or your partner organization. Give them your account number and ask to enable your organization for Hybrid Data Security. To find the account number, click the gear at the top right, next to your organization name.
| ||||
| 3 |
Select No to indicate that you haven’t set up the node yet, and then click Next. The OVA file automatically begins to download. Save the file to a location on your machine.
| ||||
| 4 |
Optionally, click Open Deployment Guide to check if there’s a later version of this guide available. |
Create a Configuration ISO for the HDS Hosts
The Hybrid Data Security setup process creates an ISO file. You then use the ISO to configure your Hybrid Data Security host.
Przed rozpoczęciem
-
Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora w organizacji.
If the HDS Setup tool runs behind a proxy in your environment, provide the proxy settings (server, port, credentials) through Docker environment variables when bringing up the Docker container in step 5. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTSerwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTSerwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTSerwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
The configuration ISO file that you generate contains the master key encrypting the PostgreSQL or Microsoft SQL Server database. You need the latest copy of this file anytime you make configuration changes, like these:
-
Database credentials
-
Certificate updates
-
Changes to authorization policy
-
-
If you plan to encrypt database connections, set up your PostgreSQL or SQL Server deployment for TLS.
| 1 |
W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: W środowiskach FedRAMP:
| ||||||||||||
| 2 |
Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: | ||||||||||||
| 3 |
Po wyświetleniu monitu o hasło wprowadź ten skrót: | ||||||||||||
| 4 |
Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: W środowiskach FedRAMP: | ||||||||||||
| 5 |
Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska:
Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”. | ||||||||||||
| 6 |
Use a web browser to go to the localhost, The tool uses this first entry of the username to set the proper environment for that account. The tool then displays the standard sign-in prompt. | ||||||||||||
| 7 |
When prompted, enter your Control Hub customer admin sign-in credentials, and then click Log in to allow access to the required services for Hybrid Data Security. | ||||||||||||
| 8 |
On the Setup Tool overview page, click Get Started. | ||||||||||||
| 9 |
On the ISO Import page, you have these options:
| ||||||||||||
| 10 |
Check that your X.509 certificate meets the requirements in X.509 Certificate Requirements.
| ||||||||||||
| 11 |
Enter the database address and account for HDS to access your key datastore: | ||||||||||||
| 12 |
Select a TLS Database Connection Mode:
When you upload the root certificate (if necessary) and click Continue, the HDS Setup Tool tests the TLS connection to the database server. Narzędzie weryfikuje również sygnatariusza certyfikatu i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Because of connectivity differences, the HDS nodes might be able to establish the TLS connection even if the HDS Setup Tool machine can't successfully test it.) | ||||||||||||
| 13 |
On the System Logs page, configure your Syslogd server: | ||||||||||||
| 14 |
(Optional) You can change the default value for some database connection parameters in Advanced Settings. Generally, this parameter is the only one that you might want to change: | ||||||||||||
| 15 |
Click Continue on the Reset Service Accounts Password screen. Service account passwords have a nine-month lifespan. Use this screen when your passwords are nearing expiry or you want to reset them to invalidate previous ISO files. | ||||||||||||
| 16 |
Click Download ISO File. Save the file in a location that's easy to find. | ||||||||||||
| 17 |
Make a backup copy of the ISO file on your local system. Keep the backup copy secure. This file contains a master encryption key for the database contents. Restrict access to only those Hybrid Data Security administrators who should make configuration changes. | ||||||||||||
| 18 |
To shut down the Setup tool, type |
Co zrobić dalej
Back up the configuration ISO file. You need it to create more nodes for recovery, or to make configuration changes. If you lose all copies of the ISO file, you've also lost the master key. Recovering the keys from your PostgreSQL or Microsoft SQL Server database isn't possible.
| We never have a copy of this key and can't help if you lose it. |
Install the HDS Host OVA
| 1 |
Use the VMware vSphere client on your computer to log into the ESXi virtual host. | ||||||
| 2 |
Select File > Deploy OVF Template. | ||||||
| 3 |
In the wizard, specify the location of the OVA file that you downloaded earlier, and then click Next. | ||||||
| 4 |
On the Select a name and folder page, enter a Virtual machine name for the node (for example, "HDS_Node_1"), choose a location where the virtual machine node deployment can reside, and then click Next. | ||||||
| 5 |
On the Select a compute resource page, choose the destination compute resource, and then click Next. A validation check runs. After it finishes, the template details appear. | ||||||
| 6 |
Verify the template details and then click Next. | ||||||
| 7 |
If you are asked to choose the resource configuration on the Configuration page, click 4 CPU and then click Next. | ||||||
| 8 |
On the Select storage page, click Next to accept the default disk format and VM storage policy. | ||||||
| 9 |
On the Select networks page, choose the network option from the list of entries to provide the desired connectivity to the VM. | ||||||
| 10 |
On the Customize template page, configure the following network settings:
If preferred, you can skip the network setting configuration and follow the steps in Set up the Hybrid Data Security VM to configure the settings from the node console.
| ||||||
| 11 |
Right-click the node VM, and then choose . The Hybrid Data Security software is installed as a guest on the VM Host. You are now ready to sign in to the console and configure the node. Wskazówki dotyczące rozwiązywania problemów You may experience a delay of a few minutes before the node containers come up. A bridge firewall message appears on the console during first boot, during which you can't sign in. |
Set up the Hybrid Data Security VM
Use this procedure to sign in to the Hybrid Data Security node VM console for the first time and set the sign-in credentials. You can also use the console to configure the network settings for the node if you didn't configure them at the time of OVA deployment.
| 1 |
In the VMware vSphere client, select your Hybrid Data Security node VM and select the Console tab. The VM boots up and a login prompt appears. If the login prompt does not display, press Enter.
|
| 2 |
Use the following default login and password to sign in and change the credentials: Since you are signing in to your VM for the first time, you are required to change the administrator password. |
| 3 |
If you already configured the network settings in Install the HDS Host OVA, skip the rest of this procedure. Otherwise, in the main menu, select the Edit Configuration option. |
| 4 |
Set up a static configuration with IP address, Mask, Gateway and DNS information. Your node should have an internal IP address and DNS name. DHCP is not supported. |
| 5 |
(Optional) Change the hostname, domain or NTP server(s), if needed to match your network policy. You do not need to set the domain to match the domain that you used to obtain the X.509 certificate. |
| 6 |
Save the network configuration and reboot the VM so that the changes take effect. |
Upload and Mount the HDS Configuration ISO
Przed rozpoczęciem
Because the ISO file holds the master key, it should only be exposed on a "need to know" basis, for access by the Hybrid Data Security VMs and any administrators who might need to make changes. Make sure that only those administrators can access the datastore.
| 1 |
Upload the ISO file from your computer: |
| 2 |
Mount the ISO file: |
Co zrobić dalej
If your IT policy requires, you can optionally unmount the ISO file after all your nodes pick up the configuration changes. See (Optional) Unmount ISO After HDS Configuration for details.
Konfigurowanie węzła HDS do integracji z serwerem proxy
Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z hybrid Data Security. Jeśli wybierzesz przezroczysty serwer proxy inspekcji lub jawny serwer proxy HTTPS, możesz użyć interfejsu węzła do przekazania i zainstalowania certyfikatu głównego. Możesz także sprawdzić połączenie proxy z poziomu interfejsu i rozwiązać wszelkie potencjalne problemy.
Przed rozpoczęciem
-
Zobacz Obsługa serwera proxy, aby zapoznać się z omówieniem obsługiwanych opcji serwera proxy.
| 1 |
Wprowadź adres URL konfiguracji węzła HDS |
| 2 |
Przejdź do pozycji Sklep zaufania i serwer proxy, a następnie wybierz opcję:
Wykonaj kolejne kroki, aby uzyskać przezroczysty serwer proxy inspekcji, jawny serwer proxy HTTP z uwierzytelnianiem podstawowym lub jawny serwer proxy HTTPS. |
| 3 |
Kliknij przycisk Przekaż certyfikat główny lub Certyfikat jednostkikońcowej , a następnie przejdź do wybierz certyfikat główny dla serwera proxy. Certyfikat został przekazany, ale nie został jeszcze zainstalowany, ponieważ należy ponownie uruchomić węzeł, aby zainstalować certyfikat. Kliknij strzałkę cudzysłów ostrokątnych przy nazwie wystawcy certyfikatu, aby uzyskać więcej szczegółów, lub kliknij przycisk Usuń, jeśli popełnisz błąd i chcesz ponownie przesłać plik. |
| 4 |
Kliknij przycisk Sprawdź połączenie z serwerem proxy, aby przetestować łączność sieciową między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, zostanie wyświetlony komunikat o błędzie z przyczyną i sposobem rozwiązania problemu. Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie może połączyć się z serwerem DNS. Ten warunek jest oczekiwany w wielu jawnych konfiguracjach proxy. You can continue with the setup, and the node will function in Blocked External DNS Resolution mode. If you think this is an error, complete these steps, and then see Turn off Blocked External DNS Resolution Mode. |
| 5 |
Po przejściu testu połączenia, dla jawnego serwera proxy ustawionego tylko na https, włącz przełącznik na Kieruj wszystkie żądania https portu 443/444 z tego węzła za pośrednictwem jawnego serwera proxy. To ustawienie wymaga 15 sekund, aby zostało wprowadzone. |
| 6 |
Kliknij opcję Zainstaluj wszystkie certyfikaty w magazynie zaufania (pojawia się w przypadku jawnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawia się w przypadku jawnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij przycisk Zainstaluj, jeśli wszystko jest gotowe. Węzeł uruchomi się ponownie w ciągu kilku minut. |
| 7 |
Po ponownym uruchomieniu węzła zaloguj się ponownie, jeśli to konieczne, a następnie otwórz stronę Przegląd, aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie są w stanie zielonym. Sprawdzanie połączenia proxy testuje tylko subdomenę webex.com. Jeśli występują problemy z łącznością, typowym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy. |
Register the First Node in the Cluster
When you register your first node, you create a cluster to which the node is assigned. A cluster contains one or more nodes deployed to provide redundancy.
Przed rozpoczęciem
-
Once you begin registration of a node, you must complete it within 60 minutes or you have to start over.
-
Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.
| 1 |
Zaloguj się w https://admin.webex.com. |
| 2 |
From the menu on the left side of the screen, select Services. |
| 3 |
In the Hybrid Services section, find Hybrid Data Security and click Set up. The Register Hybrid Data Security Node page appears.
|
| 4 |
Select Yes to indicate that you have set up the node and are ready to register it, and then click Next. |
| 5 |
In the first field, enter a name for the cluster to which you want to assign your Hybrid Data Security node. We recommend that you name a cluster based on where the nodes of the cluster are located geographically. Examples: "San Francisco" or "New York" or "Dallas" |
| 6 |
In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next. This IP address or FQDN should match the IP address or hostname and domain that you used in Set up the Hybrid Data Security VM. A message appears indicating you can register your node to the Webex.
|
| 7 |
Click Go to Node. |
| 8 |
Click Continue in the warning message. After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your Webex organization to access your node.
|
| 9 |
Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue. Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud.
|
| 10 |
Click the link or close the tab to go back to the Control Hub Hybrid Data Security page. On the Hybrid Data Security page, the new cluster containing the node that you registered is displayed. The node will automatically download the latest software from the cloud.
|
Create and Register More Nodes
| At this time, the backup VMs that you created in Complete the Prerequisites for Hybrid Data Security are standby hosts which are only used in the event of disaster recovery; they are not registered with the system until then. For details, see Disaster Recovery using Standby Data Center. |
Przed rozpoczęciem
-
Once you begin registration of a node, you must complete it within 60 minutes or you have to start over.
-
Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.
| 1 |
Create a new virtual machine from the OVA, repeating the steps in Install the HDS Host OVA. |
| 2 |
Set up the initial configuration on the new VM, repeating the steps in Set up the Hybrid Data Security VM. |
| 3 |
On the new VM, repeat the steps in Upload and Mount the HDS Configuration ISO. |
| 4 |
If you are setting up a proxy for your deployment, repeat the steps in Configure the HDS Node for Proxy Integration as needed for the new node. |
| 5 |
Register the node. Your node is registered. Note that until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.
|
Co zrobić dalej
Przepływ próby do zadania produkcyjnego
Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.
Przed rozpoczęciem
| 1 |
Jeśli dotyczy, zsynchronizuj obiekt grupowy Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, przed rozpoczęciem próby należy wybrać obiekt grupowy |
| 2 |
Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
| 3 |
Przetestuj wdrożenie hybrydowego zabezpieczenia danych Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych. |
| 4 |
Monitorowanie stanu hybrydowego bezpieczeństwa danych Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów. |
| 5 | |
| 6 |
Zakończ fazę próbną, wykonując jedną z następujących czynności: |
Aktywuj wersję próbną
Przed rozpoczęciem
Jeśli Twoja organizacja używa synchronizacji katalogów dla użytkowników, przed rozpoczęciem próby w organizacji należy wybrać obiekt grupowy HdsTrialGroup do synchronizacji z chmurą. Instrukcje można znaleźć w przewodniku wdrażania Cisco Directory Connector.
| 1 |
Zaloguj się do https://admin.webex.com, a następnie wybierz Usługi. |
| 2 |
W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
| 3 |
W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną. Stan usługi zmienia się w tryb próbny.
|
| 4 |
Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług. (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, |
Przetestuj wdrożenie hybrydowego zabezpieczenia danych
Przed rozpoczęciem
-
Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.
-
Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.
-
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.
| 1 |
Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.
| ||
| 2 |
Wysyłaj wiadomości do nowego obszaru. | ||
| 3 |
Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych. |
Monitorowanie stanu hybrydowego bezpieczeństwa danych
| 1 |
W Control Hub wybierz Usługi z menu po lewej stronie ekranu. |
| 2 |
W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij Ustawienia. Zostanie wyświetlona strona Ustawienia zabezpieczeń danych hybrydowych.
|
| 3 |
W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij przycisk Enter. |
Dodawanie lub usuwanie użytkowników z wersji próbnej
Jeśli usuniesz użytkownika z wersji próbnej, klient poprosi go o utworzenie kluczy i kluczy z chmury KMS zamiast Twojego KMS. Jeśli klient potrzebuje klucza przechowywanego w KMS, Cloud KMS pobierze go w imieniu użytkownika.
Jeśli Twoja organizacja używa synchronizacji katalogu, użyj Active Directory (zamiast tej procedury) do zarządzania grupą próbną, HdsTrialGroup; możesz wyświetlać członków grupy w Control Hub, ale nie możesz ich dodawać ani usuwać.
| 1 |
Zaloguj się do Control Hub, a następnie wybierz Usługi. |
| 2 |
W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
| 3 |
W sekcji Tryby wersji próbnej w obszarze Stan usługi kliknij przycisk Dodaj użytkowników lub kliknij widok i edytuj , aby usunąć użytkowników z wersji próbnej. |
| 4 |
Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania lub kliknij przycisk X identyfikatorem użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij przycisk Zapisz. |
Przeniesienie z wersji próbnej do produkcji
| 1 |
Zaloguj się do Control Hub, a następnie wybierz Usługi. |
| 2 |
W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
| 3 |
W sekcji Stan usługi kliknij opcję Przenieś do produkcji. |
| 4 |
Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji. |
Zakończ wersję próbną bez przejścia do produkcji
| 1 |
Zaloguj się do Control Hub, a następnie wybierz Usługi. |
| 2 |
W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
| 3 |
W sekcji Dezaktywuj kliknij przycisk Dezaktywuj. |
| 4 |
Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny. |
Zarządzanie wdrożeniem HDS
Użyj opisanych tutaj zadań do zarządzania wdrożeniem hybrydowego zabezpieczenia danych.
Ustaw harmonogram uaktualniania klastra
Aby ustawić harmonogram uaktualniania:
| 1 |
Zaloguj się do Centrum sterowania. |
| 2 |
Na stronie Przegląd w obszarze Usługi hybrydowe wybierz opcję Hybrid Data Security. |
| 3 |
Na stronie Zasoby zabezpieczeń danych hybrydowych wybierz klaster. |
| 4 |
W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra. |
| 5 |
Na stronie Ustawienia w obszarze Uaktualnianie wybierz godzinę i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest następna dostępna data i godzina aktualizacji. W razie potrzeby można odroczyć uaktualnienie do następnego dnia, klikając opcję Odłóż. |
Zmień konfigurację węzła
-
Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.
Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do rejestracji klastra.
-
Aktualizacja ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.
Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.
-
Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.
Ponadto ze względów bezpieczeństwa usługa Hybrid Data Security używa haseł do kont usług, które mają dziewięciomiesięczny okres użytkowania. Gdy narzędzie HdS Setup wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO. Gdy hasła Twojej organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex o zresetowaniu hasła do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj interfejsu API konta komputera, aby zaktualizować hasło”). Jeśli Twoje hasła jeszcze nie wygasły, narzędzie oferuje dwie opcje:
-
Delikatne resetowanie — stare i nowe hasła działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
-
Twarde resetowanie — stare hasła natychmiast przestają działać.
Jeśli hasła wygasną bez resetowania, ma to wpływ na usługę HDS, wymagając natychmiastowego twardego resetu i wymiany pliku ISO na wszystkich węzłach.
Użyj tej procedury, aby wygenerować nowy konfiguracyjny plik ISO i zastosować go do klastra.
Przed rozpoczęciem
-
Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora w organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas przywoływania kontenera Docker w 1.e. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTSerwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTSerwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTSerwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://NAZWA UŻYTKOWNIKA:HASŁO@SERVER_IP:PORT -
Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO. ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.
| 1 |
Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie HDS Setup Tool.
| ||||||
| 2 |
Jeśli jest uruchomiony tylko jeden węzeł HDS, utwórz nowy węzeł hybrydowego zabezpieczenia danych VM i zarejestruj go przy użyciu nowego pliku ISO konfiguracji. Aby uzyskać bardziej szczegółowe instrukcje, zobacz temat Tworzenie i rejestrowanie większej liczby węzłów. | ||||||
| 3 |
W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO. Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła: | ||||||
| 4 |
Powtórz krok 3, aby zastąpić konfigurację na każdym pozostałym węźle, na którym działa stara konfiguracja. |
Wyłączanie trybu zablokowanego zewnętrznego rozpoznawania DNS
Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS.
Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, ponownie uruchamiając test połączenia proxy w każdym węźle.
Przed rozpoczęciem
| 1 |
W przeglądarce sieci Web otwórz interfejs węzła Hybrid Data Security (na przykład adres IP/konfiguracja https://192.0.2.0/setup), wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj. |
| 2 |
Przejdź do Przegląd (strona domyślna). Gdy ta opcja jest włączona, opcja Zablokowane zewnętrzne rozpoznawanie DNS jest ustawiona na Tak. |
| 3 |
Przejdź do strony Trust Store & Proxy. |
| 4 |
Kliknij przycisk Sprawdź połączenie proxy. Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie mógł połączyć się z serwerem DNS i pozostanie w tym trybie. W przeciwnym razie, po ponownym uruchomieniu węzła i powrocie do strony Przegląd, Zablokowane zewnętrzne rozpoznawanie DNS powinno być ustawione na nie. |
Co dalej?
Usuń węzeł
| 1 |
Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi i wyłączyć maszynę wirtualną. |
| 2 |
Usuń węzeł: |
| 3 |
W kliencie vSphere usuń maszynę wirtualną. (W lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij przycisk Usuń.) Jeśli nie usuniesz VM, pamiętaj o usunięciu pliku ISO konfiguracji. Bez pliku ISO nie można użyć maszyny wirtualnej, aby uzyskać dostęp do danych bezpieczeństwa. |
Odzyskiwanie po awarii za pomocą Standby Data Center
Najbardziej krytyczną usługą oferowaną przez klaster hybrydowego bezpieczeństwa danych jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji przypisanego do hybrydowego zabezpieczenia danych nowe żądania tworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za przywrócenie kluczy, które został utworzony do wszystkich użytkowników upoważnionych do ich odzyskania, na przykład członków obszaru konwersacji.
Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby utrzymywały się odpowiednie kopie zapasowe. Utrata bazy danych hybrydowych zabezpieczeń danych lub układu ISO konfiguracji stosowanego dla schematu spowoduje NIEZBĘDNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, konieczne są następujące praktyki:
Jeśli awaria spowoduje, że wdrożenie HDS w głównym centrum danych stanie się niedostępne, postępuj zgodnie z tą procedurą, aby ręcznie przełączyć się na standby centrum danych.
| 1 |
Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts. | ||
| 2 |
Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
| 3 |
Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń konfigurację
| ||
| 4 |
Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
| 5 |
Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
| 6 |
W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
| 7 |
Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
| 8 |
Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
| 9 |
Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
(Opcjonalnie) Odmontować ISO Po Konfiguracji HDS
Standardowa konfiguracja HDS działa z zamontowanym ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale zamontowanych. Plik ISO można odmontować po odebraniu nowej konfiguracji przez wszystkie węzły HDS.
Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego ISO lub aktualizacji ISO za pomocą narzędzia konfiguracyjnego należy zamontować zaktualizowany ISO na wszystkich węzłach HDS. Po odebraniu zmian konfiguracji przez wszystkie węzły można ponownie rozmontować ISO za pomocą tej procedury.
Przed rozpoczęciem
Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.
| 1 |
Zamknij jeden z węzłów HDS. |
| 2 |
W urządzeniu VCenter Server Appliance wybierz węzeł HDS. |
| 3 |
Wybierz i usuń zaznaczenie pliku Datastore ISO. |
| 4 |
Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut. |
| 5 |
Powtórz kolejno dla każdego węzła HDS. |
Wyświetlanie alertów i rozwiązywania problemów
Wdrożenie hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że wymaga przekroczenia czasu. Jeśli użytkownicy nie mogą skontaktować się z klastrem hybrydowego zabezpieczenia danych, mogą wystąpić następujące objawy:
-
Nie można utworzyć nowych obszarów (nie można utworzyć nowych kluczy)
-
Wiadomości i tytuły przestrzeni nie można odszyfrować dla:
-
Dodano nowych użytkowników do obszaru (nie można pobrać kluczy)
-
Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
-
-
Istniejący użytkownicy w obszarze będą z powodzeniem działać tak długo, jak ich klienci będą mieli pamięć podręczną kluczy szyfrowania
Ważne jest, aby odpowiednio monitorować klaster hybrydowego zabezpieczenia danych i szybko zwracać się do wszystkich alertów, aby uniknąć zakłóceń w obsłudze.
Alerty
Jeśli występuje problem z konfiguracją hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.
|
Alert |
Czynność |
|---|---|
|
Błąd dostępu do lokalnej bazy danych. |
Sprawdź, czy występują błędy w bazie danych lub problemy z siecią lokalną. |
|
Niepowodzenie połączenia z lokalną bazą danych. |
Sprawdź, czy serwer bazy danych jest dostępny, a w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi. |
|
Niepowodzenie dostępu do usługi w chmurze. |
Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z wymaganiami Zewnętrznej łączności. |
|
Odnowienie rejestracji usług w chmurze. |
Zrezygnowano z rejestracji na usługi w chmurze. Trwa przedłużenie rejestracji. |
|
Rejestracja usług w chmurze została odrzucona. |
Rejestracja na usługi w chmurze została zakończona. Usługa jest wyłączona. |
|
Usługa jeszcze nie została aktywowana. |
Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do produkcji. |
|
Skonfigurowana domena nie odpowiada certyfikatowi serwera. |
Upewnij się, że certyfikat serwera jest zgodny z skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że certyfikat CN został ostatnio zmieniony i jest teraz inny niż CN, który był używany podczas początkowej konfiguracji. |
|
Uwierzytelnianie usług w chmurze nie powiodło się. |
Kontrola poprawności i ewentualnego wygaśnięcia poświadczeń konta usługi. |
|
Nie można otworzyć lokalnego pliku keystore. |
Sprawdź integralność i dokładność hasła w lokalnym pliku keystore. |
|
Certyfikat lokalnego serwera jest nieprawidłowy. |
Sprawdź datę ważności certyfikatu serwera i potwierdź, że został on wydany przez zaufany urząd certyfikacji. |
|
Nie można publikować metryk. |
Sprawdź dostęp sieci lokalnej do zewnętrznych usług w chmurze. |
|
/media/configdrive/hds katalog nie istnieje. |
Sprawdź konfigurację montażu ISO na wirtualnym hostze. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu na ponownym uruchomieniu i czy został pomyślnie zainstalowany. |
Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych
| 1 |
Przejrzyj Control Hub dla wszystkich alertów i naprawić wszystkie znalezione tam elementy. |
| 2 |
Przejrzyj wyjście serwera dziennika systemowego pod kątem aktywności z wdrożenia hybrydowego zabezpieczenia danych. |
| 3 |
Skontaktuj się z pomocą techniczną Cisco. |
Znane problemy dotyczące hybrydowego bezpieczeństwa danych
-
Jeśli zamkniesz klaster hybrydowego bezpieczeństwa danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych keystore, użytkownicy aplikacji Webex nie będą mogli już korzystać z obszarów na liście osób utworzonych za pomocą kluczy z KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia ani rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłudze aktywnych kont użytkowników.
-
Klient z istniejącym połączeniem ECDH z KMS utrzymuje to połączenie przez pewien czas (prawdopodobnie godzinę). Gdy użytkownik staje się członkiem próby hybrydowego zabezpieczenia danych, klient użytkownika nadal korzysta z istniejącego połączenia ECDH do czasu jego wyłączenia. Alternatywnie, użytkownik może wylogować się i wrócić do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w przypadku kluczy szyfrowania.
To samo zachowanie występuje podczas przenoszenia próby do produkcji dla organizacji. Wszyscy użytkownicy spoza wersji próbnej posiadający istniejące połączenia ECDH z poprzednimi służbami bezpieczeństwa danych będą nadal korzystać z tych usług do czasu renegocjacji połączenia ECDH (poprzez limit czasu lub poprzez wylogowanie i powrót).
Użyj protokołu OpenSSL do generowania pliku PKCS12
Przed rozpoczęciem
-
OpenSSL jest jednym z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do ładowania w narzędziu konfiguracji HDS. Istnieją inne sposoby, aby to zrobić, a my nie popieramy ani nie promujemy jednej drogi nad drugą.
-
Jeśli zdecydujesz się korzystać z OpenSSL, zapewniamy tę procedurę jako wytyczną, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatów X.509. Zrozum te wymagania, zanim przejdziesz dalej.
-
Zainstaluj OpenSSL w obsługiwanym środowisku. Patrz https://www.openssl.org oprogramowanie i dokumentacja.
-
Utwórz klucz prywatny.
-
Procedurę tę należy rozpocząć po otrzymaniu certyfikatu serwera od urzędu certyfikacji.
| 1 |
Po otrzymaniu certyfikatu serwera od urzędu certyfikacji zapisz go jako |
| 2 |
Wyświetl certyfikat jako tekst i zweryfikuj szczegóły.
|
| 3 |
Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie
|
| 4 |
Utwórz plik .p12 za pomocą przyjaznej nazwy
|
| 5 |
Sprawdź szczegóły certyfikatu serwera. |
Co zrobić dalej
Powróć, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych. Plik hdsnode.p12 i ustawione dla niego hasło będą używane w Utwórz ISO konfiguracji hostów HDS.
| Możesz ponownie użyć tych plików, aby poprosić o nowy certyfikat po wygaśnięciu oryginalnego certyfikatu. |
Ruch między węzłami HDS a chmurą
Ruch zbierania metryk wychodzących
Węzły hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dla maks. stosu, stosowanego stosu, obciążenia procesora i liczenia wątków; metryki na wątkach synchronicznych i asynchronicznych; metryki na alertach obejmujące próg połączeń szyfrowania, opóźnienie lub długość kolejki żądań; metryki na zbiorniku danych; oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał poza pasmem (oddzielony od żądania).
Ruch przychodzący
Węzły hybrydowego zabezpieczenia danych otrzymują następujące typy ruchu przychodzącego z chmury Webex:
-
Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania
-
Aktualizacja do oprogramowania węzła
Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych
Websocket nie może połączyć się przez Squid Proxy
Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS, mogą zakłócać tworzenie połączeń typu websocket (wss:), których wymaga Hybrid Data Security. Te sekcje dają wskazówki, jak skonfigurować różne wersje Squid ignorować wss: ruch w celu prawidłowego funkcjonowania usług.
Kalmary 4 i 5
Dodać on_unsupported_protocol dyrektywę do squid.conf:
on_unsupported_protocol tunel wszystkieKalmary 3.5.27
Z powodzeniem przetestowaliśmy Hybrid Data Security z następującymi regułami dodanymi do squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizowania chmury Webex.
acl wssMercuryConnection ssl::server_name_regex rtęciowe połączenie ssl_bump splice wssMercuryPołączenie acl krok1 at_step SslBump1 acl krok2 at_step SslBump2 acl krok3 at_step SslBump3 ssl_bump rzut oka krok1 wszystkie ssl_bump stare krok2 wszystkie ssl_bump bump krok3 wszystko
