Este posibil să observați câteva articole care afișează conținut în mod inconsecvent. Ne cerem scuze pentru disconfort pe durata actualizării site-ului.
cross icon
În acest articol
dropdown icon
Înainte
    Informații noi și modificate
    dropdown icon
    Începeți cu Securitatea datelor hibride
      Prezentare generală a securității datelor hibride
        dropdown icon
        Arhitectura domeniului securitate
          Domeniile de separare (fără securitatea datelor hibride)
        Colaborarea cu alte organizații
          Așteptări privind implementarea securității datelor hibride
            Proces de configurare la nivel înalt
              dropdown icon
              Model de implementare a securității datelor hibride
                Model de implementare a securității datelor hibride
              Modul de probă pentru securitatea datelor hibride
                dropdown icon
                Centrul de date în așteptare pentru recuperarea după dezastre
                  Configurarea centrului de date în așteptare pentru recuperarea după dezastre
                Suport proxy
                dropdown icon
                Pregătiți-vă mediul
                  dropdown icon
                  Cerințe pentru securitatea datelor hibride
                    Cerințe de licență Cisco Webex
                    Cerințe desktop docker
                    Cerințe certificat X.509
                    Cerințe pentru gazda virtuală
                    Cerințe server de bază de date
                    Cerințe de conectivitate externă
                    Cerințe server proxy
                  Completați cerințele preliminare pentru securitatea datelor hibride
                  dropdown icon
                  Configurarea unui Cluster de securitate a datelor hibride
                    Fluxul de activități de implementare a securității datelor hibride
                      Descărcare fișiere de instalare
                        Crearea unui ISO de configurare pentru gazdele HDS
                          Instalați gazda HDS OVA
                            Configurați VM de securitate a datelor hibride
                              Încărcarea și montarea ISO de configurare HDS
                                Configurarea nodului HDS pentru integrarea proxy
                                  Înscrieți primul nod în cluster
                                    Creați și înscrieți mai multe noduri
                                    dropdown icon
                                    Rulați o perioadă de încercare și treceți la producție
                                      Proces până la fluxul de activități de producție
                                        Activare perioadă de încercare
                                          Testați implementarea securității datelor hibride
                                            Monitorizați Securitatea datelor hibride
                                              Adăugarea sau eliminarea utilizatorilor din perioada dvs. de probă
                                                Treceți de la perioada de probă la cea de producție
                                                  Încheiați perioada de încercare fără a trece la producție
                                                  dropdown icon
                                                  Gestionați implementarea HDS
                                                    Gestionați implementarea HDS
                                                      Setați programarea upgrade-ului clusterului
                                                        Modificați configurația nodului
                                                          Dezactivarea modului de rezoluție DNS extern blocat
                                                            Eliminați un nod
                                                              Recuperarea după dezastru utilizând centrul de date în așteptare
                                                                (Opțional) Demontați ISO după configurarea HDS
                                                                dropdown icon
                                                                Soluționați problemele privind securitatea datelor hibride
                                                                  Vizualizați alertele și soluționarea problemelor
                                                                    dropdown icon
                                                                    Alerte
                                                                      Probleme comune și pașii pentru a le rezolva
                                                                    Soluționați problemele privind securitatea datelor hibride
                                                                    dropdown icon
                                                                    Alte note
                                                                      Probleme cunoscute privind securitatea datelor hibride
                                                                        Utilizați OpenSSL pentru a genera un fișier PKCS12
                                                                          Trafic între nodurile HDS și cloud
                                                                            dropdown icon
                                                                            Configurarea proxy-urilor Squid pentru securitatea datelor hibride
                                                                              Websocket nu se poate conecta prin Squid Proxy
                                                                          În acest articol
                                                                          cross icon
                                                                          dropdown icon
                                                                          Înainte
                                                                            Informații noi și modificate
                                                                            dropdown icon
                                                                            Începeți cu Securitatea datelor hibride
                                                                              Prezentare generală a securității datelor hibride
                                                                                dropdown icon
                                                                                Arhitectura domeniului securitate
                                                                                  Domeniile de separare (fără securitatea datelor hibride)
                                                                                Colaborarea cu alte organizații
                                                                                  Așteptări privind implementarea securității datelor hibride
                                                                                    Proces de configurare la nivel înalt
                                                                                      dropdown icon
                                                                                      Model de implementare a securității datelor hibride
                                                                                        Model de implementare a securității datelor hibride
                                                                                      Modul de probă pentru securitatea datelor hibride
                                                                                        dropdown icon
                                                                                        Centrul de date în așteptare pentru recuperarea după dezastre
                                                                                          Configurarea centrului de date în așteptare pentru recuperarea după dezastre
                                                                                        Suport proxy
                                                                                        dropdown icon
                                                                                        Pregătiți-vă mediul
                                                                                          dropdown icon
                                                                                          Cerințe pentru securitatea datelor hibride
                                                                                            Cerințe de licență Cisco Webex
                                                                                            Cerințe desktop docker
                                                                                            Cerințe certificat X.509
                                                                                            Cerințe pentru gazda virtuală
                                                                                            Cerințe server de bază de date
                                                                                            Cerințe de conectivitate externă
                                                                                            Cerințe server proxy
                                                                                          Completați cerințele preliminare pentru securitatea datelor hibride
                                                                                          dropdown icon
                                                                                          Configurarea unui Cluster de securitate a datelor hibride
                                                                                            Fluxul de activități de implementare a securității datelor hibride
                                                                                              Descărcare fișiere de instalare
                                                                                                Crearea unui ISO de configurare pentru gazdele HDS
                                                                                                  Instalați gazda HDS OVA
                                                                                                    Configurați VM de securitate a datelor hibride
                                                                                                      Încărcarea și montarea ISO de configurare HDS
                                                                                                        Configurarea nodului HDS pentru integrarea proxy
                                                                                                          Înscrieți primul nod în cluster
                                                                                                            Creați și înscrieți mai multe noduri
                                                                                                            dropdown icon
                                                                                                            Rulați o perioadă de încercare și treceți la producție
                                                                                                              Proces până la fluxul de activități de producție
                                                                                                                Activare perioadă de încercare
                                                                                                                  Testați implementarea securității datelor hibride
                                                                                                                    Monitorizați Securitatea datelor hibride
                                                                                                                      Adăugarea sau eliminarea utilizatorilor din perioada dvs. de probă
                                                                                                                        Treceți de la perioada de probă la cea de producție
                                                                                                                          Încheiați perioada de încercare fără a trece la producție
                                                                                                                          dropdown icon
                                                                                                                          Gestionați implementarea HDS
                                                                                                                            Gestionați implementarea HDS
                                                                                                                              Setați programarea upgrade-ului clusterului
                                                                                                                                Modificați configurația nodului
                                                                                                                                  Dezactivarea modului de rezoluție DNS extern blocat
                                                                                                                                    Eliminați un nod
                                                                                                                                      Recuperarea după dezastru utilizând centrul de date în așteptare
                                                                                                                                        (Opțional) Demontați ISO după configurarea HDS
                                                                                                                                        dropdown icon
                                                                                                                                        Soluționați problemele privind securitatea datelor hibride
                                                                                                                                          Vizualizați alertele și soluționarea problemelor
                                                                                                                                            dropdown icon
                                                                                                                                            Alerte
                                                                                                                                              Probleme comune și pașii pentru a le rezolva
                                                                                                                                            Soluționați problemele privind securitatea datelor hibride
                                                                                                                                            dropdown icon
                                                                                                                                            Alte note
                                                                                                                                              Probleme cunoscute privind securitatea datelor hibride
                                                                                                                                                Utilizați OpenSSL pentru a genera un fișier PKCS12
                                                                                                                                                  Trafic între nodurile HDS și cloud
                                                                                                                                                    dropdown icon
                                                                                                                                                    Configurarea proxy-urilor Squid pentru securitatea datelor hibride
                                                                                                                                                      Websocket nu se poate conecta prin Squid Proxy

                                                                                                                                                  Ghid de implementare pentru securitatea datelor hibride Webex

                                                                                                                                                  list-menuÎn acest articol
                                                                                                                                                  list-menuFeedback?
                                                                                                                                                  Prefață

                                                                                                                                                  Informații noi și modificate

                                                                                                                                                  Dată

                                                                                                                                                  Modificări efectuate

                                                                                                                                                  20 octombrie 2023

                                                                                                                                                  07 august 2023

                                                                                                                                                  23 mai 2023

                                                                                                                                                  06 decembrie 2022

                                                                                                                                                  23 noiembrie 2022

                                                                                                                                                  13 octombrie 2021

                                                                                                                                                  Docker Desktop trebuie să ruleze un program de configurare înainte de a putea instala noduri HDS. Consultați Cerințele de desktop ale Docker.

                                                                                                                                                  24 iunie 2021

                                                                                                                                                  Rețineți că puteți reutiliza fișierul cu tastatură privată și CSR pentru a solicita un alt certificat. Consultați Utilizarea OpenSSL pentru a genera un fișier PKCS12 pentru detalii.

                                                                                                                                                  30 aprilie 2021

                                                                                                                                                  A schimbat cerința VM pentru spațiul local pe hard disk la 30 GB. Consultați Cerințele Gazdei Virtuale pentru detalii.

                                                                                                                                                  24 februarie 2021

                                                                                                                                                  Instrumentul de configurare HDS poate rula acum în spatele unui proxy. Consultați Creați un ISO de configurare pentru gazdele HDS pentru detalii.

                                                                                                                                                  2 februarie 2021

                                                                                                                                                  HDS poate rula acum fără un fișier ISO montat. Consultați (Opțional) Dezasamblarea ISO după configurarea HDS pentru detalii.

                                                                                                                                                  11 ianuarie 2021

                                                                                                                                                  Au fost adăugate informații despre instrumentul de configurare HDS și proxy-uri pentru a crea un ISO de configurare pentru gazdele HDS.

                                                                                                                                                  13 octombrie 2020

                                                                                                                                                  Fișiere de instalare Descărcare actualizate.

                                                                                                                                                  8 octombrie 2020

                                                                                                                                                  Actualizat Creați un ISO de configurare pentru gazdele HDS și modificați configurația nodului cu comenzi pentru mediile FedRAMP.

                                                                                                                                                  14 august 2020

                                                                                                                                                  Actualizat Creați un ISO de configurare pentru gazdele HDS și modificați configurația nodului cu modificări ale procesului de conectare.

                                                                                                                                                  5 august 2020

                                                                                                                                                  Actualizat Testați implementarea securității datelor hibride pentru modificări ale mesajelor jurnal.

                                                                                                                                                  S-au actualizat Cerințele Gazdei Virtuale pentru a elimina numărul maxim de gazde.

                                                                                                                                                  16 iunie 2020

                                                                                                                                                  Actualizat Eliminați un nod pentru modificările din interfața cu utilizatorul Control Hub.

                                                                                                                                                  4 iunie 2020

                                                                                                                                                  Actualizat Creați un ISO de configurare pentru gazdele HDS pentru modificările din Setările avansate pe care le-ați putea seta.

                                                                                                                                                  29 mai 2020

                                                                                                                                                  Actualizat Creați un ISO de configurare pentru gazdele HDS pentru a afișa puteți utiliza, de asemenea, TLS cu baze de date SQL Server, modificări de interfață de utilizator și alte clarificări.

                                                                                                                                                  5 mai 2020

                                                                                                                                                  Actualizat Cerințele Gazdei Virtuale pentru a afișa noua cerință a ESXi 6.5.

                                                                                                                                                  21 aprilie 2020

                                                                                                                                                  Actualizat Cerințe de conectivitate externă cu noi gazde CI din America.

                                                                                                                                                  Aprilie 1, 2020

                                                                                                                                                  Actualizat Cerințele de conectivitate externă cu informații despre gazdele regionale CI.

                                                                                                                                                  20 februarie 2020Actualizat Creați un ISO de configurare pentru gazdele HDS cu informații despre noul ecran opțional de setări avansate din instrumentul de configurare HDS.
                                                                                                                                                  4 februarie 2020Cerințe server proxy actualizate.
                                                                                                                                                  16 decembrie 2019A clarificat cerința ca modul de rezoluție DNS extern blocat să funcționeze în cerințele serverului proxy.
                                                                                                                                                  19 noiembrie 2019

                                                                                                                                                  Au fost adăugate informații despre modul de rezoluție DNS extern blocat în următoarele secțiuni:

                                                                                                                                                  8 noiembrie 2019

                                                                                                                                                  Acum puteți configura setările de rețea pentru un nod în timp ce implementați OVA, mai degrabă decât ulterior.

                                                                                                                                                  Actualizat în consecință următoarele secțiuni:


                                                                                                                                                   

                                                                                                                                                  Opțiunea de configurare a setărilor de rețea în timpul implementării OVA a fost testată cu ESXi 6.5. Este posibil ca opțiunea să nu fie disponibilă în versiunile anterioare.

                                                                                                                                                  6 septembrie 2019

                                                                                                                                                  S-a adăugat standardul SQL Server la cerințele serverului bazei de date.

                                                                                                                                                  august 29, 2019A fost adăugată Configurarea proxy-urilor Squid pentru securitatea datelor hibride , cu îndrumări privind configurarea proxy-urilor Squid pentru a ignora traficul websocket pentru funcționarea corespunzătoare.
                                                                                                                                                  20 august 2019

                                                                                                                                                  Secțiuni adăugate și actualizate pentru a acoperi asistența proxy pentru comunicațiile nodului de securitate a datelor hibride în cloudul Webex.

                                                                                                                                                  Pentru a accesa doar conținutul de asistență proxy pentru o implementare existentă, consultați Asistența proxy pentru securitatea datelor hibride și articolul de ajutor Webex Video Mesh .

                                                                                                                                                  13 iunie 2019A fost actualizat Fluxul de activități de producție cu un memento pentru a sincroniza HdsTrialGroup obiectul de grup înainte de a începe un trial dacă organizația dvs. utilizează sincronizarea directorului.
                                                                                                                                                  6 martie 2019
                                                                                                                                                  februarie 28, 2019
                                                                                                                                                  • A corectat cantitatea de spațiu pe hard disk local pe server pe care ar trebui să o setați deoparte atunci când pregătiți gazdele virtuale care devin nodurile de securitate a datelor hibride, de la 50-GB la 20-GB, pentru a reflecta dimensiunea discului pe care OVA îl creează.

                                                                                                                                                  26 februarie 2019
                                                                                                                                                  • Nodurile de securitate a datelor hibride acceptă acum conexiuni criptate cu serverele bazei de date PostgreSQL și conexiuni criptate de conectare la un server syslog TLS capabil. Actualizat Creați un ISO de configurare pentru gazdele HDS cu instrucțiuni.

                                                                                                                                                  • URL-urile de destinație au fost eliminate din tabelul „Cerințe de conectivitate la internet pentru nodul de securitate a datelor hibride VMs”. Tabelul se referă acum la lista menținută în tabelul „URL-uri suplimentare pentru serviciile hibride Webex Teams” din Cerințele rețelei pentru serviciile Webex Teams.

                                                                                                                                                  24 ianuarie 2019

                                                                                                                                                  • Securitatea datelor hibride acceptă acum Microsoft SQL Server ca bază de date. SQL Server întotdeauna activat (întotdeauna pe clusterele de eșec și întotdeauna pe grupurile de disponibilitate) este acceptat de driverele JDBC care sunt utilizate în securitatea datelor hibride. Conținut adăugat legat de implementarea cu SQL Server.


                                                                                                                                                     

                                                                                                                                                    Asistența pentru serverul Microsoft SQL este destinată numai noilor implementări ale securității datelor hibride. În prezent, nu acceptăm migrarea datelor de la PostgreSQL la serverul Microsoft SQL în cadrul unei implementări existente.

                                                                                                                                                  noiembrie 5, 2018
                                                                                                                                                  19 octombrie 2018

                                                                                                                                                  31 iulie 2018

                                                                                                                                                  21 mai 2018

                                                                                                                                                  Terminologia modificată pentru a reflecta rebranding-ul Cisco Spark:

                                                                                                                                                  • Securitatea datelor hibride Cisco Spark este acum Securitatea datelor hibride.

                                                                                                                                                  • Aplicația Cisco Spark este acum aplicația Webex App.

                                                                                                                                                  • Cisco Collaboraton Cloud este acum cloudul Webex.

                                                                                                                                                  11 aprilie 2018
                                                                                                                                                  22 februarie 2018
                                                                                                                                                  februarie 15, 2018
                                                                                                                                                  • În tabelul X.509 Cerințe privind certificatul , s-a specificat că certificatul nu poate fi un certificat de carte de vizită și că KMS utilizează domeniul CN, nu orice domeniu definit în câmpurile SAN x.509v3.

                                                                                                                                                  ianuarie 18, 2018

                                                                                                                                                  noiembrie 2, 2017

                                                                                                                                                  • Sincronizarea directorului clarificată a HdsTrialGroup.

                                                                                                                                                  • Fix instrucțiuni pentru încărcarea fișierului de configurare ISO pentru montare la nodurile VM.

                                                                                                                                                  18 august 2017

                                                                                                                                                  Prima publicare

                                                                                                                                                  Începeți cu securitatea datelor hibride

                                                                                                                                                  Prezentare generală a securității datelor hibride

                                                                                                                                                  Începând cu prima zi, securitatea datelor a fost accentul principal în proiectarea Aplicației Webex. Piatra de temelie a acestei securități este criptarea conținutului end-to-end, activată de clienții aplicației Webex care interacționează cu Serviciul de gestionare a cheilor (KMS). KMS este responsabil pentru crearea și gestionarea cheilor criptografice pe care clienții le utilizează pentru a cripta și decripta în mod dinamic mesajele și fișierele.

                                                                                                                                                  În mod implicit, toți clienții Aplicației Webex primesc criptare end-to-end cu chei dinamice stocate în KMS cloud, în domeniul de securitate al Cisco. Hybrid Data Security mută KMS și alte funcții legate de securitate în centrul de date la nivel de întreprindere dvs., astfel încât nimeni în afară de dvs. să nu dețină cheile conținutului dvs. criptat.

                                                                                                                                                  Arhitectură Realm de securitate

                                                                                                                                                  Arhitectura cloud Webex separă diferite tipuri de servicii în domenii separate sau domenii de încredere, după cum este descris mai jos.

                                                                                                                                                  Domenii de separare (fără securitate hibridă a datelor)

                                                                                                                                                  Pentru a înțelege în continuare securitatea datelor hibride, să ne uităm mai întâi la acest caz cloud pur, în care Cisco oferă toate funcțiile din domeniile sale cloud. Serviciul de identitate, singurul loc în care utilizatorii pot fi direct corelați cu informațiile lor personale, cum ar fi adresa de e-mail, este separat în mod logic și fizic de domeniul de securitate din centrul de date B. Ambele sunt, la rândul lor, separate de domeniul în care conținutul criptat este stocat în cele din urmă, în centrul de date C.

                                                                                                                                                  În această diagramă, clientul este aplicația Webex care rulează pe laptopul unui utilizator și s-a autentificat cu serviciul de identitate. Când utilizatorul compune un mesaj pentru a trimite într-un spațiu, au loc următorii pași:

                                                                                                                                                  1. Clientul stabilește o conexiune securizată cu serviciul de gestionare a cheilor (KMS), apoi solicită o cheie pentru a cripta mesajul. Conexiunea securizată utilizează ECDH, iar KMS criptează cheia utilizând o cheie principală AES-256.

                                                                                                                                                  2. Mesajul este criptat înainte de a părăsi clientul. Clientul îl trimite la serviciul de indexare, care creează indexuri de căutare criptate pentru a ajuta în căutările viitoare pentru conținut.

                                                                                                                                                  3. Mesajul criptat este trimis serviciului de conformitate pentru verificări de conformitate.

                                                                                                                                                  4. Mesajul criptat este stocat în domeniul de stocare.

                                                                                                                                                  Când implementați Securitatea datelor hibride, mutați funcțiile domeniului de securitate (KMS, indexare și conformitate) în centrul dvs. de date local. Celelalte servicii cloud care alcătuiesc Webex (inclusiv stocarea identității și a conținutului) rămân în domeniile Cisco.

                                                                                                                                                  Colaborarea cu Alte Organizații

                                                                                                                                                  Utilizatorii din organizația dvs. pot utiliza în mod regulat Aplicația Webex pentru a colabora cu participanți externi din alte organizații. Când unul dintre utilizatorii dvs. solicită o cheie pentru un spațiu care este deținut de organizația dvs. (deoarece a fost creat de unul dintre utilizatorii dvs.), KMS trimite cheia către client printr-un canal ECDH securizat. Cu toate acestea, atunci când o altă organizație deține cheia pentru spațiu, KMS-ul direcționează cererea către cloudul Webex printr-un canal ECDH separat pentru a obține cheia de la KMS-ul corespunzător și apoi returnează cheia către utilizatorul dvs. pe canalul original.

                                                                                                                                                  Serviciul KMS care rulează pe Org A validează conexiunile la KMS în alte organizații utilizând x.509 certificate PKI. Consultați Pregătiți-vă mediul pentru detalii despre generarea unui certificat x.509 pe care să-l utilizați cu implementarea securității datelor hibride.

                                                                                                                                                  Așteptări pentru implementarea securității datelor hibride

                                                                                                                                                  O implementare a securității datelor hibride necesită un angajament semnificativ din partea clienților și o conștientizare a riscurilor pe care le implică deținerea cheilor de criptare.

                                                                                                                                                  Pentru a implementa securitatea datelor hibride, trebuie să furnizați:

                                                                                                                                                  Pierderea completă a configurației ISO pe care o construiți pentru securitatea datelor hibride sau a bazei de date pe care o furnizați va duce la pierderea tastelor. Pierderea tastelor împiedică utilizatorii să decripteze conținutul spațiului și alte date criptate în Aplicația Webex. Dacă se întâmplă acest lucru, puteți construi o nouă implementare, dar numai conținut nou va fi vizibil. Pentru a evita pierderea accesului la date, trebuie:

                                                                                                                                                  • Gestionați backup-ul și recuperarea bazei de date și configurația ISO.

                                                                                                                                                  • Fiți pregătiți să efectuați recuperarea rapidă a dezastrelor dacă apare o catastrofă, cum ar fi defectarea discului de bază de date sau dezastrul centrului de date.


                                                                                                                                                   

                                                                                                                                                  Nu există niciun mecanism pentru a muta cheile înapoi în Cloud după o implementare HDS.

                                                                                                                                                  Proces de configurare la nivel înalt

                                                                                                                                                  Acest document acoperă configurarea și gestionarea implementării securității datelor hibride:

                                                                                                                                                  • Configurați securitatea datelor hibride—Aceasta include pregătirea infrastructurii necesare și instalarea software-ului de securitate a datelor hibride, testarea implementării dvs. cu un subset de utilizatori în modul de încercare și, odată ce testarea dvs. este finalizată, trecerea la producție. Aceasta convertește întreaga organizație pentru a utiliza clusterul dvs. de securitate a datelor hibride pentru funcțiile de securitate.

                                                                                                                                                    Fazele de configurare, încercare și producție sunt acoperite în detaliu în următoarele trei capitole.

                                                                                                                                                  • Mențineți implementarea securității datelor hibride—cloud-ul Webex oferă automat upgrade-uri în curs. Departamentul dvs. IT poate oferi un singur nivel de asistență pentru această implementare și poate angaja asistență Cisco după cum este necesar. Puteți utiliza notificări pe ecran și puteți configura alerte pe bază de e-mail în Control Hub.

                                                                                                                                                  • Înțelegerea alertelor comune, a pașilor de depanare și a problemelor cunoscute—Dacă întâmpinați probleme la implementarea sau utilizarea securității datelor hibride, ultimul capitol din acest ghid și apendicele Probleme cunoscute vă pot ajuta să determinați și să remediați problema.

                                                                                                                                                  Model de implementare a securității datelor hibride

                                                                                                                                                  În cadrul centrului dvs. de date al întreprinderii, implementați Securitatea datelor hibride ca un singur grup de noduri pe gazde virtuale separate. Nodurile comunică cu cloudul Webex prin prize web securizate și HTTP securizat.

                                                                                                                                                  În timpul procesului de instalare, vă oferim fișierul OVA pentru a configura dispozitivul virtual pe VMs pe care le furnizați. Utilizați instrumentul de configurare HDS pentru a crea un fișier ISO de configurare a clusterului personalizat pe care îl montați pe fiecare nod. Clusterul de securitate a datelor hibride utilizează serverul Syslogd furnizat și baza de date PostgreSQL sau Microsoft SQL Server. (Configurați detaliile conexiunii Syslogd și a bazei de date în Instrumentul de configurare HDS.)

                                                                                                                                                  Model de implementare a securității datelor hibride

                                                                                                                                                  Numărul minim de noduri pe care le puteți avea într-un cluster este de două. Vă recomandăm cel puțin trei, și puteți avea până la cinci. Existența mai multor noduri asigură faptul că serviciul nu este întrerupt în timpul unui upgrade de software sau al unei alte activități de întreținere pe un nod. (Cloudul Webex actualizează doar un nod la un moment dat.)

                                                                                                                                                  Toate nodurile dintr-un cluster accesează aceeași bază de date cu tastatură și înregistrează activitatea pe același server syslog. Nodurile în sine sunt apatride și se ocupă de solicitările cheie în modul rotund-robin, așa cum este direcționat de cloud.

                                                                                                                                                  Nodurile devin active atunci când le înregistrați în Control Hub. Pentru a scoate un nod individual din serviciu, îl puteți desînregistra și apoi îl puteți reînregistra, dacă este necesar.

                                                                                                                                                  Sprijinim doar un singur cluster per organizație.

                                                                                                                                                  Mod de încercare pentru securitatea datelor hibride

                                                                                                                                                  După configurarea unei implementări de securitate a datelor hibride, încercați mai întâi cu un set de utilizatori pilot. În timpul perioadei de încercare, acești utilizatori utilizează domeniul local de securitate a datelor hibride pentru cheile de criptare și alte servicii din domeniul de securitate. Ceilalți utilizatori continuă să utilizeze domeniul de securitate cloud.

                                                                                                                                                  Dacă decideți să nu continuați implementarea în timpul perioadei de încercare și să dezactivați serviciul, utilizatorii pilot și orice utilizatori cu care au interacționat prin crearea de spații noi în timpul perioadei de încercare vor pierde accesul la mesaje și conținut. Aceștia vor vedea „Acest mesaj nu poate fi decriptat” în aplicația Webex.

                                                                                                                                                  Dacă sunteți mulțumit că implementarea dvs. funcționează bine pentru utilizatorii de încercare și sunteți pregătit să extindeți Securitatea datelor hibride la toți utilizatorii dvs., mutați implementarea în producție. Utilizatorii pilot continuă să aibă acces la cheile care au fost utilizate în timpul încercării. Cu toate acestea, nu se poate muta înapoi și înainte între modul de producție și procesul inițial. Dacă trebuie să dezactivați serviciul, cum ar fi pentru a efectua recuperarea dezastrelor, atunci când reactivați, trebuie să începeți o nouă încercare și să configurați setul de utilizatori pilot pentru noua încercare înainte de a reveni la modul de producție. Dacă utilizatorii păstrează accesul la date în acest moment depinde de faptul dacă ați menținut cu succes copii de rezervă ale stocului de date cheie și ale fișierului de configurare ISO pentru nodurile de securitate a datelor hibride din cluster.

                                                                                                                                                  Centrul de date standby pentru recuperarea dezastrelor

                                                                                                                                                  În timpul implementării, ați configurat un centru de date standby securizat. În cazul unui dezastru al unui centru de date, puteți eșua manual implementarea în centrul de date standby.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Eşec manual la centrul de date standby

                                                                                                                                                  Bazele de date ale centrelor de date active și standby sunt în sincronizare unele cu altele, ceea ce va reduce la minimum timpul necesar pentru a efectua eșecul. Fișierul ISO al centrului de date standby este actualizat cu configurații suplimentare care asigură că nodurile sunt înregistrate în organizație, dar nu vor gestiona traficul. Prin urmare, nodurile centrului de date standby rămân întotdeauna la zi cu cea mai recentă versiune de software HDS.


                                                                                                                                                   

                                                                                                                                                  Nodurile active de securitate a datelor hibride trebuie să fie întotdeauna în același centru de date ca serverul de bază de date activă.

                                                                                                                                                  Configurarea Centrului de date standby pentru recuperarea dezastrelor

                                                                                                                                                  Urmați pașii de mai jos pentru a configura fișierul ISO al centrului de date standby:

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Centrul de date standby trebuie să reflecte mediul de producție al VMs și o bază de date PostgreSQL sau Microsoft SQL Server de rezervă. De exemplu, dacă producția are 3 VMs care rulează noduri HDS, mediul de rezervă ar trebui să aibă 3 VMs. (Consultați Standby Data Center for Disaster Recovery pentru o prezentare generală a acestui model de eșec.)

                                                                                                                                                  • Asigurați-vă că sincronizarea bazei de date este activată între baza de date a nodurilor de cluster active și pasive.

                                                                                                                                                  1

                                                                                                                                                  Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.


                                                                                                                                                   

                                                                                                                                                  Fișierul ISO trebuie să fie o copie a fișierului ISO original al centrului de date principal pe care urmează să fie făcute următoarele actualizări de configurare.

                                                                                                                                                  2

                                                                                                                                                  După configurarea serverului Syslogd, faceți clic pe Setări avansate

                                                                                                                                                  3

                                                                                                                                                  Pe pagina Setări avansate, adăugați configurația de mai jos pentru a plasa nodul în modul pasiv. În acest mod, nodul va fi înregistrat în organizație și conectat la cloud, dar nu va gestiona niciun trafic.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Completați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit.

                                                                                                                                                  5

                                                                                                                                                  Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare.

                                                                                                                                                  6

                                                                                                                                                  În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări..

                                                                                                                                                  7

                                                                                                                                                  Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Fișier ISO Datastore.


                                                                                                                                                   

                                                                                                                                                  Asigurați-vă că sunt verificate Conectate și Conectate la putere , astfel încât modificările de configurare actualizate să poată intra în vigoare după pornirea nodurilor.

                                                                                                                                                  8

                                                                                                                                                  Activați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute.

                                                                                                                                                  9

                                                                                                                                                  Repetați procesul pentru fiecare nod din centrul de date standby.


                                                                                                                                                   

                                                                                                                                                  Verificați jurnalele pentru a verifica dacă nodurile sunt în mod pasiv. Ar trebui să puteți vizualiza mesajul „KMS configurat în mod pasiv” în jurnalele de sistem.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  După configurare passiveMode în fișierul ISO și salvându-l, puteți crea o altă copie a fișierului ISO fără passiveMode configurare și salvați-l într-o locație sigură. Această copie a fișierului ISO fără passiveMode configurat poate ajuta într-un proces rapid de eșec în timpul recuperării dezastrelor. Consultați Recuperarea dezastrelor utilizând Centrul de date standby pentru procedura detaliată de nereușită.

                                                                                                                                                  Asistență proxy

                                                                                                                                                  Securitatea datelor hibride acceptă inspecții explicite, transparente și proxy-uri neinspectate. Puteți lega aceste proxy-uri de implementarea dvs., astfel încât să puteți securiza și monitoriza traficul de la întreprindere la cloud. Puteți utiliza o interfață de administrare a platformei pe noduri pentru gestionarea certificatelor și pentru a verifica starea generală a conectivității după ce ați configurat proxy-ul pe noduri.

                                                                                                                                                  Nodurile de securitate a datelor hibride acceptă următoarele opțiuni proxy:

                                                                                                                                                  • Fără proxy—Implicit dacă nu utilizați configurația de configurare a nodului HDS Trust Store și proxy pentru a integra un proxy. Nu este necesară nicio actualizare a certificatului.

                                                                                                                                                  • Proxy fără inspecție transparent—Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy și nu ar trebui să necesite nicio modificare pentru a lucra cu un proxy fără inspecție. Nu este necesară nicio actualizare a certificatului.

                                                                                                                                                  • Tunelare transparentă sau inspecție proxy—Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy. Nu sunt necesare modificări ale configurației HTTP sau HTTPS pe noduri. Cu toate acestea, nodurile au nevoie de un certificat rădăcină, astfel încât să aibă încredere în proxy. De obicei, proxy-urile de inspecție sunt utilizate de IT pentru a pune în aplicare politicile pe care site-urile pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).

                                                                                                                                                  • Proxy explicit—Cu proxy explicit, spuneți nodurilor HDS ce server proxy și sistem de autentificare să utilizați. Pentru a configura un proxy explicit, trebuie să introduceți următoarele informații pe fiecare nod:

                                                                                                                                                    1. IP proxy/FQDN—Adresă care poate fi utilizată pentru a ajunge la utilajul proxy.

                                                                                                                                                    2. Portul proxy—Un număr de port pe care proxy-ul îl folosește pentru a asculta traficul proxy.

                                                                                                                                                    3. Proxy Protocol—În funcție de ce acceptă serverul dvs. proxy, alegeți între următoarele protocoale:

                                                                                                                                                      • HTTP—Vizualizează și controlează toate solicitările pe care clientul le trimite.

                                                                                                                                                      • HTTPS—Oferă un canal serverului. Clientul primește și validează certificatul serverului.

                                                                                                                                                    4. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:

                                                                                                                                                      • Niciuna – Nu este necesară autentificarea suplimentară.

                                                                                                                                                        Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.

                                                                                                                                                      • De bază—Utilizat pentru un agent de utilizator HTTP pentru a furniza un nume de utilizator și o parolă atunci când efectuați o solicitare. Utilizează codificarea Base64.

                                                                                                                                                        Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.

                                                                                                                                                        Vă cere să introduceți numele de utilizator și parola pe fiecare nod.

                                                                                                                                                      • Digest—Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite în rețea.

                                                                                                                                                        Disponibil numai dacă selectați HTTPS ca protocol proxy.

                                                                                                                                                        Vă cere să introduceți numele de utilizator și parola pe fiecare nod.

                                                                                                                                                  Exemplu de noduri hibride de securitate a datelor și proxy

                                                                                                                                                  Această diagramă arată o conexiune de exemplu între securitatea datelor hibride, rețea și un proxy. Pentru inspectarea transparentă și opțiunile HTTPS de inspecție explicită a proxy-urilor, trebuie instalat același certificat rădăcină pe proxy și pe nodurile de securitate a datelor hibride.

                                                                                                                                                  Modul de rezoluție DNS extern blocat (configurații proxy explicite)

                                                                                                                                                  Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează aspectul DNS și conectivitatea la cloudul Cisco Webex. În implementările cu configurații proxy explicite care nu permit rezoluția DNS externă pentru clienții interni, dacă nodul nu poate interoga serverele DNS, acesta intră automat în modul de Rezoluție DNS Externă Blocată. În acest mod, pot continua testele de înregistrare a nodurilor și alte teste de conectivitate proxy.

                                                                                                                                                  Pregătiți-vă mediul

                                                                                                                                                  Cerințe privind securitatea datelor hibride

                                                                                                                                                  Cerințe de licență Cisco Webex

                                                                                                                                                  Pentru implementarea securității datelor hibride:

                                                                                                                                                  Cerințe Docker Desktop

                                                                                                                                                  Înainte de a instala nodurile HDS, aveți nevoie de Docker Desktop pentru a rula un program de configurare. Docker și-a actualizat recent modelul de licențiere. Este posibil ca organizația dvs. să necesite un abonament cu plată pentru Docker Desktop. Pentru detalii, consultați postarea de pe blogul Docker, " Docker actualizează și extinde abonamentele noastre la produse ".

                                                                                                                                                  X.509 Cerințe privind certificatul

                                                                                                                                                  Lanțul certificatului trebuie să îndeplinească următoarele cerințe:

                                                                                                                                                  Tabelul 1. Cerințe de certificare X.509 pentru implementarea securității datelor hibride

                                                                                                                                                  Obligatoriu

                                                                                                                                                  Detalii

                                                                                                                                                  • Semnată de o autoritate de certificare de încredere (CA)

                                                                                                                                                  În mod implicit, avem încredere în CA-urile din lista Mozilla (cu excepția WoSign și StartCom) la https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Poartă un nume de domeniu comun (CN) care identifică implementarea securității datelor hibride

                                                                                                                                                  • Nu este un certificat de carte de vizită

                                                                                                                                                  CN-ul nu trebuie să fie accesibil sau o gazdă live. Vă recomandăm să utilizați un nume care reflectă organizația dvs., de exemplu, hds.company.com.

                                                                                                                                                  CN nu trebuie să conțină un * (wildcard).

                                                                                                                                                  CN este utilizat pentru a verifica nodurile de securitate a datelor hibride pentru clienții Aplicației Webex. Toate nodurile de securitate a datelor hibride din clusterul dvs. utilizează același certificat. KMS-ul se identifică utilizând domeniul CN, nu orice domeniu care este definit în câmpurile SAN x.509v3.

                                                                                                                                                  După ce ați înregistrat un nod cu acest certificat, nu acceptăm schimbarea numelui domeniului CN. Alegeți un domeniu care se poate aplica atât implementărilor de încercare, cât și implementărilor de producție.

                                                                                                                                                  • Semnătură non-SHA1

                                                                                                                                                  Software-ul KMS nu acceptă semnăturile SHA1 pentru validarea conexiunilor la KMSs ale altor organizații.

                                                                                                                                                  • Format ca fișier PKCS #12 protejat prin parolă

                                                                                                                                                  • Utilizați numele prietenos al kms-private-key pentru a eticheta certificatul, cheia privată și orice certificate intermediare pentru a încărca.

                                                                                                                                                  Puteți utiliza un convertor, cum ar fi OpenSSL pentru a schimba formatul certificatului.

                                                                                                                                                  Va trebui să introduceți parola atunci când rulați Instrumentul de configurare HDS.

                                                                                                                                                  Software-ul KMS nu impune utilizarea cheii sau restricții extinse de utilizare a cheii. Unele autorități de certificare impun aplicarea unor restricții extinse de utilizare a cheilor pentru fiecare certificat, cum ar fi autentificarea serverului. Este în regulă să utilizați autentificarea serverului sau alte setări.

                                                                                                                                                  Cerințe Gazdă virtuală

                                                                                                                                                  Gazdele virtuale pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. au următoarele cerințe:

                                                                                                                                                  • Cel puțin două gazde separate (3 recomandate) plasate în același centru de date securizat

                                                                                                                                                  • VMware ESXi 6.5 (sau mai târziu) instalat și rulează.


                                                                                                                                                     

                                                                                                                                                    Trebuie să faceți upgrade dacă aveți o versiune anterioară a ESXi.

                                                                                                                                                  • Minim 4 vCPU-uri, 8-GB memorie principală, 30-GB spațiu pe hard disk local pe server

                                                                                                                                                  Cerințe server bază de date


                                                                                                                                                   

                                                                                                                                                  Creați o nouă bază de date pentru stocarea cheilor. Nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.

                                                                                                                                                  Există două opțiuni pentru serverul de baze de date. Cerințele pentru fiecare sunt după cum urmează:

                                                                                                                                                  Tabelul 2. Cerințe server bază de date în funcție de tipul de bază de date

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  • PostgreSQL 14, 15 sau 16, instalat și în funcțiune.

                                                                                                                                                  • Server SQL 2016, 2017 sau 2019 (Enterprise sau Standard) instalat.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 necesită pachetul de servicii 2 și actualizarea cumulativă 2 sau mai târziu.

                                                                                                                                                  Minim 8 vCPU-uri, 16-GB de memorie principală, suficient spațiu pe hard disk și monitorizare pentru a se asigura că nu este depășit (2-TB recomandat dacă doriți să rulați baza de date pentru o lungă perioadă de timp, fără a fi nevoie de a crește spațiul de stocare)

                                                                                                                                                  Minim 8 vCPU-uri, 16-GB de memorie principală, suficient spațiu pe hard disk și monitorizare pentru a se asigura că nu este depășit (2-TB recomandat dacă doriți să rulați baza de date pentru o lungă perioadă de timp, fără a fi nevoie de a crește spațiul de stocare)

                                                                                                                                                  Software-ul HDS instalează în prezent următoarele versiuni de drivere pentru comunicarea cu serverul bazei de date:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  Șofer JDBC Postgres 42.2.5

                                                                                                                                                  Driver JDBC SQL Server 4.6

                                                                                                                                                  Această versiune a driverului acceptă SQL Server întotdeauna activat (întotdeauna pe instanțe de cluster nereușite și întotdeauna pe grupuri de disponibilitate).

                                                                                                                                                  Cerințe suplimentare pentru autentificarea Windows împotriva Microsoft SQL Server

                                                                                                                                                  Dacă doriți ca nodurile HDS să utilizeze autentificarea Windows pentru a obține acces la baza dvs. de date Keystore pe Microsoft SQL Server, atunci aveți nevoie de următoarea configurație în mediul dvs.:

                                                                                                                                                  • Nodurile HDS, infrastructura Active Directory și serverul MS SQL trebuie sincronizate cu NTP.

                                                                                                                                                  • Contul Windows pe care îl furnizați nodurilor HDS trebuie să aibă acces citit/scris la baza de date.

                                                                                                                                                  • Serverele DNS pe care le furnizați nodurilor HDS trebuie să poată rezolva Centrul dvs. de distribuție a cheilor (KDC).

                                                                                                                                                  • Puteți înregistra instanța bazei de date HDS pe serverul dvs. Microsoft SQL ca nume principal al serviciului (SPN) în directorul dvs. activ. Consultați Înregistrarea unui nume principal de serviciu pentru conexiunile Kerberos.

                                                                                                                                                    Instrumentul de configurare HDS, lansatorul HDS și KMS local trebuie să utilizeze autentificarea Windows pentru a accesa baza de date Keystore. Ei folosesc detaliile din configurația ISO pentru a construi SPN atunci când solicită acces cu autentificarea Kerberos.

                                                                                                                                                  Cerințe de conectivitate externă

                                                                                                                                                  Configurați firewall-ul pentru a permite următoarea conectivitate pentru aplicațiile HDS:

                                                                                                                                                  Aplicație

                                                                                                                                                  Protocol

                                                                                                                                                  Port

                                                                                                                                                  Direcție din aplicație

                                                                                                                                                  Destinație

                                                                                                                                                  Noduri de securitate a datelor hibride

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS de ieșire și WSS

                                                                                                                                                  • Servere Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Toate gazdele de identitate comune

                                                                                                                                                  • Alte URL-uri care sunt listate pentru securitatea datelor hibride în tabelul URL-uri suplimentare pentru serviciile hibride Webex al cerințelor rețelei pentru serviciile Webex

                                                                                                                                                  Instrument de configurare HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS de ieșire

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Toate gazdele de identitate comune

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Nodurile de securitate a datelor hibride funcționează cu traducerea accesului la rețea (NAT) sau în spatele unui firewall, atâta timp cât NAT sau firewall permite conexiunile de ieșire necesare la destinațiile de domeniu din tabelul precedent. Pentru conexiunile care intră în nodurile de securitate a datelor hibride, niciun port nu trebuie să fie vizibil de pe internet. În cadrul centrului dvs. de date, clienții au nevoie de acces la nodurile de securitate a datelor hibride din porturile TCP 443 și 22, în scopuri administrative.

                                                                                                                                                  URL-urile gazdelor pentru identitatea comună (CI) sunt specifice regiunii. Acestea sunt gazdele actuale CI:

                                                                                                                                                  Regiune

                                                                                                                                                  URL-uri comune ale gazdei pentru identitate

                                                                                                                                                  Țările din America

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Uniunea Europeană

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Cerințe server proxy

                                                                                                                                                  • Sprijinim oficial următoarele soluții proxy care se pot integra cu nodurile dvs. de securitate a datelor hibride.

                                                                                                                                                  • Acceptăm următoarele combinații de tip autentificare pentru proxy-uri explicite:

                                                                                                                                                    • Nicio autentificare cu HTTP sau HTTPS

                                                                                                                                                    • Autentificare de bază cu HTTP sau HTTPS

                                                                                                                                                    • Autentificare Digest numai cu HTTPS

                                                                                                                                                  • Pentru un proxy de inspecție transparent sau un proxy explicit HTTPS, trebuie să aveți o copie a certificatului rădăcină al proxy-ului. Instrucțiunile de implementare din acest ghid vă spun cum să încărcați copia în magazinele de încredere ale nodurilor de securitate a datelor hibride.

                                                                                                                                                  • Rețeaua care găzduiește nodurile HDS trebuie să fie configurată pentru a forța traficul TCP de ieșire în portul 443 să se deplaseze prin proxy.

                                                                                                                                                  • Proxy-urile care inspectează traficul web pot interfera cu conexiunile socket-urilor web. Dacă apare această problemă, ocolirea (nu inspectarea) traficului la wbx2.com și ciscospark.com va rezolva problema.

                                                                                                                                                  Completați cerințele preliminare pentru securitatea datelor hibride

                                                                                                                                                  Utilizați această listă de verificare pentru a vă asigura că sunteți gata să instalați și să configurați clusterul de securitate a datelor hibride.
                                                                                                                                                  1

                                                                                                                                                  Asigurați-vă că organizația dvs. Webex este activată pentru pachetul Pro pentru Cisco Webex Control Hub și obțineți acreditările unui cont cu drepturi depline de administrator al organizației. Contactați-vă partenerul Cisco sau managerul de cont pentru ajutor în acest proces.

                                                                                                                                                  2

                                                                                                                                                  Alegeți un nume de domeniu pentru implementarea HDS (de exemplu, hds.company.com) și să obțină un lanț de certificate care conține un certificat X.509, cheie privată și orice certificate intermediare. Lanțul certificatului trebuie să îndeplinească cerințele din Cerințele de certificare X.509.

                                                                                                                                                  3

                                                                                                                                                  Pregătiți gazdele virtuale identice pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. Aveți nevoie de cel puțin două gazde separate (3 recomandate) plasate în același centru de date securizat, care îndeplinesc cerințele din Cerințele Gazdei Virtuale.

                                                                                                                                                  4

                                                                                                                                                  Pregătiți serverul bazei de date care va acționa ca un magazin de date cheie pentru cluster, în conformitate cu cerințele serverului bazei de date. Serverul bazei de date trebuie să fie plasat în centrul de date securizat cu gazdele virtuale.

                                                                                                                                                  1. Creați o bază de date pentru stocarea tastelor. (Trebuie să creați această bază de date—nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.)

                                                                                                                                                  2. Colectați detaliile pe care nodurile le vor utiliza pentru a comunica cu serverul bazei de date:

                                                                                                                                                    • numele gazdei sau adresa IP (gazda) și portul

                                                                                                                                                    • numele bazei de date (dbname) pentru stocarea cheilor

                                                                                                                                                    • numele de utilizator și parola unui utilizator cu toate privilegiile din baza de date de stocare cu tastatură

                                                                                                                                                  5

                                                                                                                                                  Pentru recuperarea rapidă a dezastrelor, configurați un mediu de rezervă într-un alt centru de date. Mediul de rezervă reflectă mediul de producție al VMs și un server de baze de date de rezervă. De exemplu, dacă producția are 3 VMs care rulează noduri HDS, mediul de rezervă ar trebui să aibă 3 VMs.

                                                                                                                                                  6

                                                                                                                                                  Configurați o gazdă syslog pentru a colecta jurnale de la nodurile din cluster. Aduna adresa de rețea și portul syslog (implicit este UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Creați o politică de rezervă securizată pentru nodurile de securitate a datelor hibride, serverul bazei de date și gazda syslog. Cel puțin, pentru a preveni pierderea de date nerecuperabile, trebuie să salvați baza de date și fișierul ISO de configurare generat pentru nodurile de securitate a datelor hibride.


                                                                                                                                                   

                                                                                                                                                  Deoarece nodurile de securitate a datelor hibride stochează cheile utilizate în criptarea și decriptarea conținutului, nemenținerea unei implementări operaționale va duce la PIERDEREA NERECUPERABILĂ a conținutului respectiv.

                                                                                                                                                  Clienții Aplicației Webex își ascund cheile, astfel încât este posibil ca o întrerupere să nu fie vizibilă imediat, dar va deveni evidentă în timp. În timp ce ieșirile temporare sunt imposibil de prevenit, acestea sunt recuperabile. Cu toate acestea, pierderea completă (fără backup-uri disponibile) a bazei de date sau a fișierului ISO de configurare va duce la date client nerecuperabile. Operatorii nodurilor de securitate a datelor hibride se așteaptă să mențină backup-uri frecvente ale bazei de date și ale fișierului ISO de configurare și să fie pregătiți să reconstruiască centrul de date de securitate a datelor hibride în cazul în care apare un eșec catastrofal.

                                                                                                                                                  8

                                                                                                                                                  Asigurați-vă că configurația firewall-ului dvs. permite conectivitatea pentru nodurile dvs. de securitate a datelor hibride, astfel cum sunt prezentate în cerințele de conectivitate externă.

                                                                                                                                                  9

                                                                                                                                                  Instalați Docker ( https://www.docker.com) pe orice mașină locală care rulează un sistem de operare acceptat (Microsoft Windows 10 Professional sau Enterprise pe 64 de biți sau Mac OSX Yosemite 10.10.3 sau mai sus) cu un browser web care îl poate accesa la http://127.0.0.1:8080.

                                                                                                                                                  Utilizați instanța Docker pentru a descărca și rula Instrumentul de configurare HDS, care construiește informațiile de configurare locale pentru toate nodurile de securitate a datelor hibride. Este posibil ca organizația dvs. să aibă nevoie de o licență Docker Desktop. Consultați Cerințele Docker Desktop pentru mai multe informații.

                                                                                                                                                  Pentru a instala și rula Instrumentul de configurare HDS, utilajul local trebuie să aibă conectivitatea descrisă în Cerințele de conectivitate externă.

                                                                                                                                                  10

                                                                                                                                                  Dacă integrați un proxy cu securitatea datelor hibride, asigurați-vă că îndeplinește Cerințele serverului proxy.

                                                                                                                                                  11

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului, creați un grup în Active Directory numit HdsTrialGroup, și adăugați utilizatori pilot. Grupul de încercare poate avea până la 250 de utilizatori. Fișierul HdsTrialGroup obiectul trebuie să fie sincronizat în cloud înainte de a putea iniția o încercare pentru organizația dvs. Pentru a sincroniza un obiect de grup, selectați-l în Directory Connector Configurare > Meniu Selecție obiect. (Pentru instrucțiuni detaliate, consultați Ghidul de implementare pentru Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Tastele pentru un anumit spațiu sunt stabilite de creatorul spațiului. Atunci când selectați utilizatori pilot, rețineți că, dacă decideți să dezactivați definitiv implementarea securității datelor hibride, toți utilizatorii pierd accesul la conținut în spațiile create de utilizatorii pilot. Pierderea devine evidentă imediat ce aplicațiile utilizatorilor își reîmprospătează copiile cache ale conținutului.

                                                                                                                                                  Configurarea unui cluster de securitate a datelor hibride

                                                                                                                                                  Flux sarcină de implementare a securității datelor hibride

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Pregătiți-vă mediul

                                                                                                                                                  1

                                                                                                                                                  Descărcați fișierele de instalare

                                                                                                                                                  Descărcați fișierul OVA la utilajul local pentru utilizare ulterioară.

                                                                                                                                                  2

                                                                                                                                                  Creați un ISO de configurare pentru gazdele HDS

                                                                                                                                                  Utilizați instrumentul de configurare HDS pentru a crea un fișier de configurare ISO pentru nodurile de securitate a datelor hibride.

                                                                                                                                                  3

                                                                                                                                                  Instalați gazda HDS OVA

                                                                                                                                                  Creați o mașină virtuală din fișierul OVA și efectuați configurația inițială, cum ar fi setările de rețea.


                                                                                                                                                   

                                                                                                                                                  Opțiunea de configurare a setărilor de rețea în timpul implementării OVA a fost testată cu ESXi 6.5. Este posibil ca opțiunea să nu fie disponibilă în versiunile anterioare.

                                                                                                                                                  4

                                                                                                                                                  Configurați VM-ul de securitate a datelor hibride

                                                                                                                                                  Conectați-vă la consola VM și setați acreditările de conectare. Configurați setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.

                                                                                                                                                  5

                                                                                                                                                  Încărcați și montați ISO de configurare HDS

                                                                                                                                                  Configurați VM din fișierul de configurare ISO pe care l-ați creat cu instrumentul de configurare HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurați nodul HDS pentru integrarea proxy

                                                                                                                                                  Dacă mediul de rețea necesită configurare proxy, specificați tipul de proxy pe care îl veți utiliza pentru nod și adăugați certificatul proxy la magazinul de încredere, dacă este necesar.

                                                                                                                                                  7

                                                                                                                                                  Înregistrați primul nod în cluster

                                                                                                                                                  Înregistrați VM cu cloudul Cisco Webex ca nod de securitate a datelor hibrid.

                                                                                                                                                  8

                                                                                                                                                  Creați și înregistrați mai multe noduri

                                                                                                                                                  Finalizați configurarea clusterului.

                                                                                                                                                  9

                                                                                                                                                  Efectuați un proces și mutați-vă la producție (capitolul următor)

                                                                                                                                                  Până când începeți o încercare, nodurile dvs. generează o alarmă care indică faptul că serviciul dvs. nu este încă activat.

                                                                                                                                                  Descărcați fișierele de instalare

                                                                                                                                                  În această sarcină, descărcați un fișier OVA pe mașina dvs. (nu pe serverele pe care le-ați configurat ca noduri de securitate a datelor hibride). Utilizați acest fișier mai târziu în procesul de instalare.
                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la https://admin.webex.comși apoi faceți clic pe Servicii.

                                                                                                                                                  2

                                                                                                                                                  În secțiunea Servicii hibride, găsiți cardul de securitate a datelor hibride, apoi faceți clic pe Configurare.

                                                                                                                                                  Dacă cardul este dezactivat sau nu îl vedeți, contactați echipa de cont sau organizația parteneră. Dați-le numărul contului dvs. și solicitați să activați organizația dvs. pentru securitatea datelor hibride. Pentru a găsi numărul contului, faceți clic pe dispozitivul din dreapta sus, lângă numele organizației dvs.


                                                                                                                                                   

                                                                                                                                                  De asemenea, puteți descărca OVA în orice moment din secțiunea Ajutor de pe pagina Setări . Pe cardul de securitate a datelor hibride, faceți clic pe Editare setări pentru a deschide pagina. Atunci, faceți clic pe Descărcați software-ul de securitate a datelor hibride în secțiunea Ajutor .


                                                                                                                                                   

                                                                                                                                                  Versiunile mai vechi ale pachetului software (OVA) nu vor fi compatibile cu cele mai recente upgrade-uri de securitate a datelor hibride. Acest lucru poate duce la probleme în timp ce actualizarea aplicației. Asigurați-vă că descărcați cea mai recentă versiune a fișierului OVA.

                                                                                                                                                  3

                                                                                                                                                  Selectați Nu pentru a indica faptul că nu ați configurat încă nodul, apoi faceți clic pe Înainte.

                                                                                                                                                  Fișierul OVA începe automat să se descarce. Salvați fișierul într-o locație de pe utilajul dvs.
                                                                                                                                                  4

                                                                                                                                                  Opțional, faceți clic pe Deschidere Ghid de implementare pentru a verifica dacă există o versiune ulterioară a acestui ghid disponibil.

                                                                                                                                                  Creați un ISO de configurare pentru gazdele HDS

                                                                                                                                                  Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi utilizați ISO pentru a configura gazda dvs. de securitate a datelor hibride.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Instrumentul de configurare HDS rulează ca container Docker pe un computer local. Pentru a-l accesa, rulați Docker pe acel computer. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi complete de administrator pentru organizația dvs.

                                                                                                                                                    Dacă instrumentul de configurare HDS rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin variabilele de mediu Docker atunci când ridicați containerul Docker în pasul 5. Acest tabel oferă câteva variabile de mediu posibile:

                                                                                                                                                    Descriere

                                                                                                                                                    Variabilă

                                                                                                                                                    Proxy HTTP fără autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS fără autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTP cu autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS cu autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Fișierul de configurare ISO pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier oricând efectuați modificări de configurare, cum ar fi acestea:

                                                                                                                                                    • Informații bază de date

                                                                                                                                                    • Actualizări certificat

                                                                                                                                                    • Modificări ale politicii de autorizare

                                                                                                                                                  • Dacă intenționați să criptați conexiunile la baza de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

                                                                                                                                                  1

                                                                                                                                                  În linia de comandă a computerului dvs., introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                  În medii obișnuite:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  În mediile FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.

                                                                                                                                                  2

                                                                                                                                                  Pentru a vă conecta la registry de imagini Docker, introduceți următoarele:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  La solicitarea parolei, introduceți acest hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Descărcați cea mai recentă imagine stabilă pentru mediul dvs.:

                                                                                                                                                  În medii obișnuite:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  În mediile FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                  • În mediile obișnuite fără un proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • În mediile obișnuite cu un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • În mediile obișnuite cu un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • În mediile FedRAMP fără un proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • În mediile FedRAMP cu un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • În mediile FedRAMP cu un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Când containerul rulează, veți vedea „Serverul Express ascultând pe portul 8080”.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală.

                                                                                                                                                  Utilizați un browser web pentru a merge la gazda locală, http://127.0.0.1:8080, și introduceți numele de utilizator al administratorului clientului pentru Control Hub la prompt.

                                                                                                                                                  Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul adecvat pentru acel cont. Instrumentul afișează apoi apelul standard de conectare.

                                                                                                                                                  7

                                                                                                                                                  Când vi se solicită, introduceți acreditările de conectare ale administratorului clientului Control Hub, apoi faceți clic pe Conectare pentru a permite accesul la serviciile necesare pentru securitatea datelor hibride.

                                                                                                                                                  8

                                                                                                                                                  Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Get Started.

                                                                                                                                                  9

                                                                                                                                                  Pe pagina ISO Import aveți aceste opțiuni:

                                                                                                                                                  • Nu—Dacă creați primul nod HDS, nu aveți un fișier ISO pentru încărcare.
                                                                                                                                                  • Da—Dacă ați creat deja noduri HDS, apoi selectați fișierul ISO în navigare și încărcați-l.
                                                                                                                                                  10

                                                                                                                                                  Verificați dacă certificatul dvs. X.509 îndeplinește cerințele din Cerințele de certificare X.509.

                                                                                                                                                  • Dacă nu ați mai încărcat un certificat înainte, încărcați certificatul X.509, introduceți parola și faceți clic pe Continuare.
                                                                                                                                                  • Dacă certificatul dvs. este OK, faceți clic pe Continuare.
                                                                                                                                                  • Dacă certificatul dvs. a expirat sau doriți să îl înlocuiți, selectați Nu pentru Continuare utilizând lanțul certificatului HDS și cheia privată din ISO anterior?. Încărcați un nou certificat X.509, introduceți parola și faceți clic pe Continuare.
                                                                                                                                                  11

                                                                                                                                                  Introduceți adresa bazei de date și contul HDS pentru a accesa baza de date cu tastatură:

                                                                                                                                                  1. Selectați tipul bazei de date (PostgreSQL sau Microsoft SQL Server).

                                                                                                                                                    Dacă alegeți Microsoft SQL Server, primiți un câmp tip autentificare.

                                                                                                                                                  2. (Numai serverul Microsoft SQL) Selectați tipul dvs. de autentificare:

                                                                                                                                                    • Autentificare de bază: Aveți nevoie de un nume de cont SQL Server local în câmpul Nume de utilizator .

                                                                                                                                                    • Autentificare Windows: Aveți nevoie de un cont Windows în format username@DOMAIN în câmpul Nume utilizator .

                                                                                                                                                  3. Introduceți adresa serverului bazei de date în formular <hostname>:<port> sau <IP-address>:<port>.

                                                                                                                                                    Exemplu:
                                                                                                                                                    dbhost.example.org:1433 sau 198.51.100.17:1433

                                                                                                                                                    Puteți utiliza o adresă IP pentru autentificarea de bază, dacă nodurile nu pot utiliza DNS pentru a rezolva numele gazdei.

                                                                                                                                                    Dacă utilizați autentificarea Windows, trebuie să introduceți un nume de domeniu complet calificat în format dbhost.example.org:1433

                                                                                                                                                  4. Introduceți numele bazei de date.

                                                                                                                                                  5. Introduceți numele de utilizator și parola unui utilizator cu toate privilegiile din baza de date de stocare cu tastatură.

                                                                                                                                                  12

                                                                                                                                                  Selectați un mod de conectare la baza de date TLS:

                                                                                                                                                  Mod

                                                                                                                                                  Descriere

                                                                                                                                                  Prefer TLS (opțiune prestabilită)

                                                                                                                                                  Nodurile HDS nu necesită TLS pentru a se conecta la server bază de date de date . Dacă activați TLS pe serverul bazei de date, nodurile încearcă o conexiune criptată.

                                                                                                                                                  Solicită TLS

                                                                                                                                                  Nodurile HDS se conectează numai dacă server bază de date poate negocia TLS.

                                                                                                                                                  Solicită TLS și verifică semnatarul certificatului


                                                                                                                                                   

                                                                                                                                                  Acest mod nu se aplică bazelor de date SQL Server.

                                                                                                                                                  • Nodurile HDS se conectează numai dacă server bază de date poate negocia TLS.

                                                                                                                                                  • După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de pe serverul bazei de date cu autoritatea certificatului din certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul întrerupe conexiunea.

                                                                                                                                                  Utilizați certificat rădăcină bază de date de sub meniul drop-down pentru a încărca certificat rădăcină pentru această opțiune.

                                                                                                                                                  Solicită TLS și verifică semnatarul certificatului și numele gazdei

                                                                                                                                                  • Nodurile HDS se conectează numai dacă server bază de date poate negocia TLS.

                                                                                                                                                  • După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de pe serverul bazei de date cu autoritatea certificatului din certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul întrerupe conexiunea.

                                                                                                                                                  • Nodurile verifică, de asemenea, dacă numele gazdei din certificatul de server corespunde numelui gazdei din câmpul Gazdă bază de date și port . Numele trebuie să corespundă exact, sau nodul întrerupe conexiunea.

                                                                                                                                                  Utilizați certificat rădăcină bază de date de sub meniul drop-down pentru a încărca certificat rădăcină pentru această opțiune.

                                                                                                                                                  Când încărcați certificatul rădăcină (dacă este necesar) și faceți clic pe Continuare, instrumentul de configurare HDS testează conexiunea TLS la serverul bazei de date. Instrumentul verifică, de asemenea, semnatarul certificatului și numele gazdei, dacă este cazul. Dacă un test eșuează, instrumentul afișează un mesaj de eroare care descrie problema. Puteți alege să ignorați eroarea și să continuați configurarea. (Din cauza diferențelor de conectivitate, nodurile HDS ar putea fi capabile să stabilească conexiunea TLS, chiar dacă utilajul Instrumentului de configurare HDS nu o poate testa cu succes.)

                                                                                                                                                  13

                                                                                                                                                  Pe pagina Jurnale de sistem, configurați serverul Syslogd:

                                                                                                                                                  1. Introduceți URL-ul serverului syslog.

                                                                                                                                                    Dacă serverul nu poate fi rezolvat prin DNS din nodurile clusterului dvs. HDS, utilizați o adresă IP în URL.

                                                                                                                                                    Exemplu:
                                                                                                                                                    udp://10.92.43.23:514 indică conectarea la gazda Syslogd 10.92.43.23 pe portul UDP 514.
                                                                                                                                                  2. Dacă configurați serverul pentru a utiliza criptarea TLS, verificați dacă este configurat serverul syslog pentru criptarea SSL?.

                                                                                                                                                    Dacă bifați această casetă de selectare, asigurați-vă că introduceți un URL TCP, cum ar fi tcp://10.92.43.23:514.

                                                                                                                                                  3. Din lista derulantă Choose syslog record termination , alegeți setarea potrivită pentru fișierul dvs. ISO: Alegerea sau linia nouă este utilizată pentru Graylog și Rsyslog TCP

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Newline -- \n—Selectați această opțiune pentru Graylog și Rsyslog TCP.

                                                                                                                                                  4. Faceți clic pe Continuați.

                                                                                                                                                  14

                                                                                                                                                  (Opțional) Puteți modifica valoarea implicită a unor parametri de conexiune la baza de date în Setări avansate. În general, acest parametru este singurul pe care s-ar putea dori să-l modificați:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Faceți clic pe Continuare pe ecranul Resetare Conturi serviciu Parolă .

                                                                                                                                                  Parolele contului de serviciu au o durată de viață de nouă luni. Utilizați acest ecran atunci când parolele dvs. se apropie de expirare sau doriți să le resetați pentru a dezactiva fișierele ISO anterioare.

                                                                                                                                                  16

                                                                                                                                                  Faceți clic pe Descărcați fișierul ISO. Salvați fișierul într-o locație ușor de găsit.

                                                                                                                                                  17

                                                                                                                                                  Efectuați o copie de rezervă a fișierului ISO pe sistemul local.

                                                                                                                                                  Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare.

                                                                                                                                                  18

                                                                                                                                                  Pentru a închide instrumentul de configurare, tastați CTRL+C.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Backup fișierul ISO de configurare. Aveți nevoie de ea pentru a crea mai multe noduri pentru recuperare, sau pentru a face modificări de configurare. Dacă pierdeți toate copiile fișierului ISO, ați pierdut, de asemenea, cheia principală. Recuperarea tastelor din baza de date PostgreSQL sau Microsoft SQL Server nu este posibilă.


                                                                                                                                                   

                                                                                                                                                  Nu avem niciodată o copie a acestei chei și nu poate ajuta dacă îl pierzi.

                                                                                                                                                  Instalați gazda HDS OVA

                                                                                                                                                  Utilizați această procedură pentru a crea o mașină virtuală din fișierul OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilizați clientul VMware vSphere de pe computer pentru a vă conecta la gazda virtuală ESXi.

                                                                                                                                                  2

                                                                                                                                                  Selectați Fișier > Implementați șablonul OVF.

                                                                                                                                                  3

                                                                                                                                                  În expert, specificați locația fișierului OVA pe care l-ați descărcat mai devreme, apoi faceți clic pe În continuare.

                                                                                                                                                  4

                                                                                                                                                  Pe Selectați un nume și un folder pagină , introduceți o Nume mașină virtuală pentru nod (de exemplu, „HDS_Node_1”), alegeți o locație în care se poate afla implementarea nodului mașinii virtuale, apoi faceți clic pe În continuare.

                                                                                                                                                  5

                                                                                                                                                  Pe Selectați o resursă de calcul pagină , alegeți resursa de calcul destinație, apoi faceți clic pe În continuare.

                                                                                                                                                  O verificare de validare se execută. După ce se termină, apar detaliile șablonului.

                                                                                                                                                  6

                                                                                                                                                  Verificați detaliile șablonului și apoi faceți clic pe Înainte.

                                                                                                                                                  7

                                                                                                                                                  Dacă vi se solicită să alegeți configurația de resurse de pe Configurare pagină , faceți clic pe 4 CPU apoi faceți clic pe În continuare.

                                                                                                                                                  8

                                                                                                                                                  Pe Selectați spațiul de stocare pagină , faceți clic pe În continuare pentru a accepta formatul implicit al discului și politica de stocare VM.

                                                                                                                                                  9

                                                                                                                                                  Pe Selectați rețelele pagină, alege opțiunea de rețea din lista de intrări pentru a oferi conexiunea dorită la VM.

                                                                                                                                                  10

                                                                                                                                                  Pe pagina Personalizați șablonul , configurați următoarele setări ale rețelei:

                                                                                                                                                  • Nume gazdă—Introduceți FQDN (nume de gazdă și domeniu) sau un singur cuvânt nume de gazdă pentru nod.

                                                                                                                                                     
                                                                                                                                                    • Nu este necesar să setați domeniul pentru a se potrivi domeniului pe care l-ați utilizat pentru a obține certificatul X.509.

                                                                                                                                                    • Pentru a vă asigura că vă înregistrați cu succes în cloud, utilizați numai caractere din FQDN sau numele gazdei pe care le-ați setat pentru nod. Capitalizarea nu este acceptată în acest moment.

                                                                                                                                                    • Lungimea totală a FQDN nu trebuie să depășească 64 de caractere.

                                                                                                                                                  • Adresă IP— Introduceți adresa IP pentru interfața internă a nodului.

                                                                                                                                                     

                                                                                                                                                    Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat.

                                                                                                                                                  • Mască—Introduceți adresa măștii subnet în notația punct-zecimală. De exemplu, 255.255.255.0.
                                                                                                                                                  • Gateway—Introduceți adresa IP a gateway-ului. Un gateway este un nod de rețea care servește ca punct de acces la o altă rețea.
                                                                                                                                                  • Servere DNS—Introduceți o listă de servere DNS separate prin virgulă, care se ocupă cu traducerea numelor de domenii către adrese IP numerice. (Sunt permise până la 4 intrări DNS.)
                                                                                                                                                  • Servere NTP—Introduceți serverul NTP al organizației dvs. sau un alt server NTP extern care poate fi utilizat în organizația dvs. Serverele NTP implicite nu pot funcționa pentru toate întreprinderile. De asemenea, puteți utiliza o listă separată prin virgulă pentru a introduce mai multe servere NTP.
                                                                                                                                                  • Implementați toate nodurile din aceeași subrețea sau VLAN, astfel încât toate nodurile dintr-un cluster să poată fi accesate de clienții din rețeaua dvs. în scopuri administrative.

                                                                                                                                                  Dacă preferați, puteți sări peste configurația de setare a rețelei și puteți urma pașii din Configurați VM-ul de securitate a datelor hibride pentru a configura setările din consola nodului.


                                                                                                                                                   

                                                                                                                                                  Opțiunea de configurare a setărilor de rețea în timpul implementării OVA a fost testată cu ESXi 6.5. Este posibil ca opțiunea să nu fie disponibilă în versiunile anterioare.

                                                                                                                                                  11

                                                                                                                                                  Faceți clic dreapta pe nodul VM, apoi alegeți Alimentare > Pornire.

                                                                                                                                                  Software-ul de securitate a datelor hibride este instalat ca invitat pe Gazda VM. Acum sunteți gata să vă conectați la consolă și să configurați nodul.

                                                                                                                                                  Sfaturi pentru depanare

                                                                                                                                                  Este posibil să aveți o întârziere de câteva minute înainte de apariția containerelor de nod. Un mesaj de firewall de legătură apare pe consolă în timpul primei boot-ări, în timpul căreia nu vă puteți conecta.

                                                                                                                                                  Configurați VM-ul de securitate a datelor hibride

                                                                                                                                                  Utilizați această procedură pentru a vă conecta pentru prima dată la consola VM a nodului de securitate a datelor hibride și pentru a seta acreditările de conectare. De asemenea, puteți utiliza consola pentru a configura setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.

                                                                                                                                                  1

                                                                                                                                                  În clientul VMware vSphere, selectați nodul de securitate a datelor hibride VM și selectați fila Console .

                                                                                                                                                  VM pornește în sus și apare un prompt de conectare. Dacă mesajul de conectare nu se afișează, apăsați Enter.
                                                                                                                                                  2

                                                                                                                                                  Utilizați următoarea conectare implicită și parola pentru a vă conecta și a modifica datele de autentificare:

                                                                                                                                                  1. Conectare: admin

                                                                                                                                                  2. Parolă: cisco

                                                                                                                                                  Deoarece vă conectați pentru prima dată la VM, trebuie să schimbați parola de administrator.

                                                                                                                                                  3

                                                                                                                                                  Dacă ați configurat deja setările de rețea în Instalați gazda HDS OVA, omiteți restul acestei proceduri. În caz contrar, în meniul principal, selectați opțiunea Editare configurație .

                                                                                                                                                  4

                                                                                                                                                  Configurați o configurație statică cu adresă IP, Mască, Gateway și informații DNS. Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat.

                                                                                                                                                  5

                                                                                                                                                  (Opțional) Modificați numele gazdei, domeniul sau serverul (serverele) NTP, dacă este necesar pentru a se potrivi cu politica de rețea.

                                                                                                                                                  Nu este necesar să setați domeniul pentru a se potrivi domeniului pe care l-ați utilizat pentru a obține certificatul X.509.

                                                                                                                                                  6

                                                                                                                                                  Salvați configurația de rețea și reporniți VM, astfel încât modificările să aibă efect.

                                                                                                                                                  Încărcați și montați ISO de configurare HDS

                                                                                                                                                  Utilizați această procedură pentru a configura mașina virtuală din fișierul ISO pe care l-ați creat cu instrumentul de configurare HDS.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Deoarece fișierul ISO deține cheia principală, acesta ar trebui să fie expus numai pe o bază „trebuie să știe”, pentru a fi accesat de către VM-urile de securitate a datelor hibride și de orice administratori care ar putea avea nevoie să facă modificări. Asigurați-vă că numai acei administratori pot accesa stația de date.

                                                                                                                                                  1

                                                                                                                                                  Încărcați fișierul ISO de pe computer:

                                                                                                                                                  1. În panoul de navigare din stânga al clientului VMware vSphere, faceţi clic pe serverul ESXi.

                                                                                                                                                  2. În lista Hardware a filei de configurare, faceți clic pe Storage (Depozitare).

                                                                                                                                                  3. În lista Datastores, faceți clic dreapta pe bara de date pentru VMs și faceți clic pe Browse Datastore.

                                                                                                                                                  4. Faceți clic pe pictograma Încărcare fișiere, apoi faceți clic pe Încărcare fișier.

                                                                                                                                                  5. Navigați la locația în care ați descărcat fișierul ISO pe computer și faceți clic pe Deschidere.

                                                                                                                                                  6. Faceți clic pe Da pentru a accepta avertismentul operațiunii de încărcare/descărcare și închideți dialogul cu stația de date.

                                                                                                                                                  2

                                                                                                                                                  Montați fișierul ISO:

                                                                                                                                                  1. În panoul de navigare din stânga al clientului VMware vSphere, da clic dreapta pe VM și faceți clic Editați setările .

                                                                                                                                                  2. Faceți clic pe OK pentru a accepta avertismentul privind opțiunile de editare restricționate.

                                                                                                                                                  3. Clic CD/DVD Drive 1, selectați opțiunea de montare dintr-un fișier ISO datastore și navigați la locația în care ați încărcat fișierul ISO de configurare.

                                                                                                                                                  4. Verificați Conectat și Conectat la putere.

                                                                                                                                                  5. Salvați modificările și reporniți mașina virtuală.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Dacă politica dvs. IT necesită, puteți dezinstala opțional fișierul ISO după ce toate nodurile dvs. preiau modificările de configurare. Consultați (Opțional) Dezasamblarea ISO după configurarea HDS pentru detalii.

                                                                                                                                                  Configurați nodul HDS pentru integrarea proxy

                                                                                                                                                  Dacă mediul de rețea necesită un proxy, utilizați această procedură pentru a specifica tipul de proxy pe care doriți să îl integrați cu securitatea datelor hibride. Dacă alegeți un proxy de inspecție transparent sau un proxy explicit HTTPS, puteți utiliza interfața nodului pentru a încărca și instala certificatul rădăcină. De asemenea, puteți verifica conexiunea proxy din interfață și puteți rezolva orice probleme potențiale.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  1

                                                                                                                                                  Introduceți URL-ul de configurare a nodului HDS https://[HDS Node IP or FQDN]/setup într-un browser web, introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.

                                                                                                                                                  2

                                                                                                                                                  Accesați Trust Store & Proxy, apoi alegeți o opțiune:

                                                                                                                                                  • Nu există proxy—Opțiunea implicită înainte de a integra un proxy. Nu este necesară nicio actualizare a certificatului.
                                                                                                                                                  • Proxy transparent fără inspecție- Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy și nu ar trebui să necesite nicio modificare pentru a lucra cu un proxy fără inspecție. Nu este necesară nicio actualizare a certificatului.
                                                                                                                                                  • Inspecție transparentă proxy- Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy. Nu sunt necesare modificări ale configurației HTTPS la implementarea securității datelor hibride, cu toate acestea, nodurile HDS au nevoie de un certificat rădăcină pentru a avea încredere în proxy. De obicei, proxy-urile de inspecție sunt utilizate de IT pentru a pune în aplicare politicile pe care site-urile pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).
                                                                                                                                                  • Proxy explicit—Cu proxy explicit, spuneți clientului (noduri HDS) ce server proxy să utilizeze, iar această opțiune acceptă mai multe tipuri de autentificare. După ce alegeți această opțiune, trebuie să introduceți următoarele informații:
                                                                                                                                                    1. IP proxy/FQDN—Adresă care poate fi utilizată pentru a ajunge la utilajul proxy.

                                                                                                                                                    2. Portul proxy—Un număr de port pe care proxy-ul îl folosește pentru a asculta traficul proxy.

                                                                                                                                                    3. Proxy Protocol—Alegeți http (vizualizează și controlează toate solicitările primite de la client) sau https (oferă un canal serverului, iar clientul primește și validează certificatul serverului). Alegeți o opțiune pe baza a ceea ce acceptă serverul proxy.

                                                                                                                                                    4. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:

                                                                                                                                                      • Niciuna – Nu este necesară autentificarea suplimentară.

                                                                                                                                                        Disponibil pentru proxy-uri HTTP sau HTTPS.

                                                                                                                                                      • De bază—Utilizat pentru un agent de utilizator HTTP pentru a furniza un nume de utilizator și o parolă atunci când efectuați o solicitare. Utilizează codificarea Base64.

                                                                                                                                                        Disponibil pentru proxy-uri HTTP sau HTTPS.

                                                                                                                                                        Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola.

                                                                                                                                                      • Digest—Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite în rețea.

                                                                                                                                                        Disponibil numai pentru proxy-uri HTTPS.

                                                                                                                                                        Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola.

                                                                                                                                                  Urmați pașii următori pentru un proxy de inspecție transparent, un proxy explicit HTTP cu autentificare de bază sau un proxy explicit HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Faceți clic pe Încărcați un certificat rădăcină sau un certificat de entitate finalizată, apoi navigați la o alegere a certificatului rădăcină pentru proxy.

                                                                                                                                                  Certificatul este încărcat, dar nu este încă instalat, deoarece trebuie să reporniți nodul pentru a instala certificatul. Faceți clic pe săgeata chevron după numele emitentului certificatului pentru a obține mai multe detalii sau faceți clic pe Ștergere dacă ați făcut o greșeală și doriți să reîncărcați fișierul.

                                                                                                                                                  4

                                                                                                                                                  Faceți clic pe Verificare conexiune proxy pentru a testa conectivitatea la rețea între nod și proxy.

                                                                                                                                                  Dacă testul conexiunii eșuează, veți vedea un mesaj de eroare care arată motivul și modul în care puteți corecta problema.

                                                                                                                                                  Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a reușit, nodul nu a putut ajunge la serverul DNS. Această condiție este de așteptat în multe configurații proxy explicite. Puteți continua cu configurarea, iar nodul va funcționa în modul de Rezoluție DNS Externă Blocată. Dacă credeți că aceasta este o eroare, completați acești pași și apoi consultați Dezactivarea modului de rezoluție DNS extern blocat.

                                                                                                                                                  5

                                                                                                                                                  După ce testul conexiunii trece, pentru proxy explicit setat numai la https, activați comutatorul pentru a Ruta toate solicitările de port 443/444 https din acest nod prin proxy explicit. Această setare necesită 15 secunde pentru a intra în vigoare.

                                                                                                                                                  6

                                                                                                                                                  Faceți clic pe Instalare toate certificatele în magazinul de încredere (apare pentru un proxy explicit HTTPS sau un proxy de inspecție transparent) sau Reporniți (apare pentru un proxy explicit HTTP), citiți mesajul și apoi faceți clic pe Instalare dacă sunteți pregătit.

                                                                                                                                                  Nodul repornește în câteva minute.

                                                                                                                                                  7

                                                                                                                                                  După repornirea nodului, conectați-vă din nou dacă este necesar, apoi deschideți pagina Prezentare generală pentru a verifica verificările de conectivitate pentru a vă asigura că toate sunt în stare verde.

                                                                                                                                                  Verificarea conexiunii proxy testează numai un subdomeniu al webex.com. Dacă există probleme de conectivitate, o problemă comună este că unele dintre domeniile cloud enumerate în instrucțiunile de instalare sunt blocate la proxy.

                                                                                                                                                  Înregistrați primul nod în cluster

                                                                                                                                                  Această sarcină preia nodul generic pe care l-ați creat în Configurarea VM-ului de securitate a datelor hibride, înregistrează nodul cu cloudul Webex și îl transformă într-un nod de securitate a datelor hibride.

                                                                                                                                                  Când vă înregistrați primul nod, creați un cluster căruia i se atribuie nodul. Un cluster conține unul sau mai multe noduri implementate pentru a oferi redundanță.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Odată ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți.

                                                                                                                                                  • Asigurați-vă că orice blocare pop-up din browser-ul dvs. este dezactivată sau că permiteți o excepție pentru admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Din meniul din partea stângă a ecranului, selectați Servicii.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Servicii hibride, găsiți Securitatea datelor hibride și faceți clic pe Configurare.

                                                                                                                                                  Apare pagina Nod de securitate a datelor hibride de înregistrare.
                                                                                                                                                  4

                                                                                                                                                  Selectați Da pentru a indica faptul că ați configurat nodul și sunteți gata să îl înregistrați, apoi faceți clic pe Înainte.

                                                                                                                                                  5

                                                                                                                                                  În primul câmp, introduceți un nume pentru clusterul la care doriți să alocați nodul dvs. de securitate a datelor hibride.

                                                                                                                                                  Vă recomandăm să denumiți un cluster bazat pe locul în care nodurile clusterului sunt localizate geografic. Exemple: "San Francisco" sau "New York" sau "Dallas"

                                                                                                                                                  6

                                                                                                                                                  În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Înainte.

                                                                                                                                                  Această adresă IP sau FQDN trebuie să corespundă adresei IP sau numelui gazdei și domeniului pe care l-ați utilizat în Configurarea VM-ului de securitate a datelor hibride.

                                                                                                                                                  Apare un mesaj care indică faptul că vă puteți înregistra nodul la Webex.
                                                                                                                                                  7

                                                                                                                                                  Faceți clic pe Du-te la Nod.

                                                                                                                                                  8

                                                                                                                                                  Faceți clic pe Continuare în mesajul de avertizare.

                                                                                                                                                  După câteva momente, sunteți redirecționat către testele de conectivitate la noduri pentru serviciile Webex. Dacă toate testele au succes, apare pagina Permiteți accesul la nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați permisiuni organizației dvs. Webex pentru a accesa nodul dvs.
                                                                                                                                                  9

                                                                                                                                                  Bifați caseta de selectare Permite accesul la nodul dvs. de securitate a datelor hibride , apoi faceți clic pe Continuare.

                                                                                                                                                  Contul dvs. este validat, iar mesajul „Înscriere completă” indică faptul că nodul dvs. este acum înregistrat în cloudul Webex.
                                                                                                                                                  10

                                                                                                                                                  Faceți clic pe link-ul sau închideți fila pentru a reveni la pagina de securitate a datelor hibride Control Hub.

                                                                                                                                                  Pe pagina Securitate datelor hibride, este afișat noul cluster care conține nodul pe care l-ați înregistrat. Nodul va descărca automat cel mai recent software din cloud.

                                                                                                                                                  Creați și înregistrați mai multe noduri

                                                                                                                                                  Pentru a adăuga noduri suplimentare în cluster, creați pur și simplu VMs suplimentare și montați același fișier ISO de configurare, apoi înregistrați nodul. Vă recomandăm să aveți cel puțin 3 noduri.

                                                                                                                                                   

                                                                                                                                                  În acest moment, VMs de rezervă pe care le-ați creat în Completați Condițiile prealabile pentru securitatea datelor hibride sunt gazde standby care sunt utilizate numai în caz de recuperare a dezastrelor; acestea nu sunt înregistrate la sistem până atunci. Pentru detalii, consultați Recuperarea dezastrelor utilizând Centrul de date standby.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Odată ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți.

                                                                                                                                                  • Asigurați-vă că orice blocare pop-up din browser-ul dvs. este dezactivată sau că permiteți o excepție pentru admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Creați o nouă mașină virtuală din OVA, repetând pașii din Instalați gazda HDS OVA.

                                                                                                                                                  2

                                                                                                                                                  Configurați configurația inițială pe noul VM, repetând pașii din Configurați VM-ul de securitate a datelor hibride.

                                                                                                                                                  3

                                                                                                                                                  Pe noul VM, repetați pașii din Încărcați și montați ISO de configurare HDS.

                                                                                                                                                  4

                                                                                                                                                  Dacă configurați un proxy pentru implementarea dvs., repetați pașii din Configurați nodul HDS pentru Integrare proxy după cum este necesar pentru noul nod.

                                                                                                                                                  5

                                                                                                                                                  Înregistrați nodul.

                                                                                                                                                  1. În https://admin.webex.com, selectați Servicii din meniul din partea stângă a ecranului.

                                                                                                                                                  2. În secțiunea Servicii hibride, găsiți cardul de securitate a datelor hibride și faceți clic pe Resurse.

                                                                                                                                                    Apare pagina Resurse de securitate a datelor hibride.
                                                                                                                                                  3. Faceți clic pe Adăugare resursă.

                                                                                                                                                  4. În primul câmp, selectați numele clusterului existent.

                                                                                                                                                  5. În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Înainte.

                                                                                                                                                    Apare un mesaj care indică faptul că vă puteți înregistra nodul în cloudul Webex.
                                                                                                                                                  6. Faceți clic pe Du-te la Nod.

                                                                                                                                                    După câteva momente, sunteți redirecționat către testele de conectivitate la noduri pentru serviciile Webex. Dacă toate testele au succes, apare pagina Permiteți accesul la nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați permisiuni organizației dvs. pentru a accesa nodul dvs.
                                                                                                                                                  7. Bifați caseta de selectare Permite accesul la nodul dvs. de securitate a datelor hibride , apoi faceți clic pe Continuare.

                                                                                                                                                    Contul dvs. este validat, iar mesajul „Înscriere completă” indică faptul că nodul dvs. este acum înregistrat în cloudul Webex.
                                                                                                                                                  8. Faceți clic pe link-ul sau închideți fila pentru a reveni la pagina de securitate a datelor hibride Control Hub.

                                                                                                                                                  Nodul dvs. este înregistrat. Rețineți că până când începeți o încercare, nodurile dvs. generează o alarmă care indică faptul că serviciul dvs. nu este încă activat.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Efectuați un proces și mutați-vă la producție (capitolul următor)
                                                                                                                                                  Efectuați un proces și mutați-vă la producție

                                                                                                                                                  Încercare la fluxul sarcinilor de producție

                                                                                                                                                  După ce ați configurat un cluster de securitate a datelor hibride, puteți iniția un pilot, puteți adăuga utilizatori la acesta și puteți începe să îl utilizați pentru testarea și verificarea implementării dvs. în vederea trecerii la producție.

                                                                                                                                                  1

                                                                                                                                                  Dacă este cazul, sincronizați HdsTrialGroup obiect de grup.

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați HdsTrialGroup obiectul de grup pentru sincronizare în cloud înainte de a putea începe o încercare. Pentru instrucțiuni, consultați Ghidul de implementare pentru Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Activați procesul

                                                                                                                                                  Începeți o încercare. Până când nu efectuați această sarcină, nodurile dvs. generează o alarmă care indică faptul că serviciul nu este încă activat.

                                                                                                                                                  3

                                                                                                                                                  Testați implementarea securității datelor hibride

                                                                                                                                                  Verificați dacă solicitările cheie trec la implementarea securității datelor hibride.

                                                                                                                                                  4

                                                                                                                                                  Monitorizarea sănătății securității datelor hibride

                                                                                                                                                  Verificați starea și configurați notificările prin e-mail pentru alarme.

                                                                                                                                                  5

                                                                                                                                                  Adăugați sau eliminați utilizatori din procesul dvs.

                                                                                                                                                  6

                                                                                                                                                  Finalizați faza de probă cu una dintre următoarele acțiuni:

                                                                                                                                                  Activați procesul

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați HdsTrialGroup obiectul de grup pentru sincronizare în cloud înainte de a putea iniția o încercare pentru organizația dvs. Pentru instrucțiuni, consultați Ghidul de implementare pentru Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la https://admin.webex.comși apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  Sub Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Stare serviciu, faceți clic pe Inițiere încercare.

                                                                                                                                                  Starea serviciului se modifică în modul de încercare.
                                                                                                                                                  4

                                                                                                                                                  Faceți clic pe Adăugare utilizatori și introduceți adresa de e-mail a unuia sau mai multor utilizatori pentru a pilot utilizând nodurile dvs. de securitate a datelor hibride pentru serviciile de criptare și indexare.

                                                                                                                                                  (Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory pentru a gestiona grupul de încercare, HdsTrialGroup.)

                                                                                                                                                  Testați implementarea securității datelor hibride

                                                                                                                                                  Utilizați această procedură pentru a testa scenariile de criptare a securității datelor hibride.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Configurați implementarea securității datelor hibride.

                                                                                                                                                  • Activați procesul și adăugați mai mulți utilizatori de proces.

                                                                                                                                                  • Asigurați-vă că aveți acces la syslog pentru a verifica dacă solicitările cheie trec la implementarea securității datelor hibride.

                                                                                                                                                  1

                                                                                                                                                  Tastele pentru un anumit spațiu sunt stabilite de creatorul spațiului. Conectați-vă la Aplicația Webex ca unul dintre utilizatorii pilot, apoi creați un spațiu și invitați cel puțin un utilizator pilot și un utilizator non-pilot.


                                                                                                                                                   

                                                                                                                                                  Dacă dezactivați implementarea securității datelor hibride, conținutul din spațiile pe care utilizatorii pilot le creează nu mai este accesibil după ce copiile în cache ale cheilor de criptare sunt înlocuite.

                                                                                                                                                  2

                                                                                                                                                  Trimiteți mesaje către noul spațiu.

                                                                                                                                                  3

                                                                                                                                                  Verificați ieșirea syslog pentru a verifica dacă solicitările cheie trec la implementarea securității datelor hibride.

                                                                                                                                                  1. Pentru a verifica dacă un utilizator stabilește mai întâi un canal securizat la KMS, filtrați pe kms.data.method=create și kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Ar trebui să găsiți o intrare, cum ar fi următoarele (identificatori scurtați pentru lizibilitate):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Pentru a verifica dacă un utilizator solicită o cheie existentă din KMS, filtrați pe kms.data.method=retrieve și kms.data.type=KEY:

                                                                                                                                                    Trebuie să găsiți o intrare, cum ar fi:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Pentru a verifica dacă un utilizator solicită crearea unei noi chei KMS, filtrați pe kms.data.method=create și kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Trebuie să găsiți o intrare, cum ar fi:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Pentru a verifica dacă un utilizator solicită crearea unui nou obiect de resurse KMS (KRO) atunci când este creat un spațiu sau o altă resursă protejată, filtrați pe kms.data.method=create și kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Trebuie să găsiți o intrare, cum ar fi:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitorizarea sănătății securității datelor hibride

                                                                                                                                                  Un indicator de stare din Control Hub vă arată dacă totul este bine cu implementarea securității datelor hibride. Pentru o alertare mai proactivă, înscrieți-vă pentru notificări prin e-mail. Veți fi notificat atunci când există alarme sau upgrade-uri de software care afectează serviciul.
                                                                                                                                                  1

                                                                                                                                                  În Control Hub, selectați Servicii din meniul din partea stângă a ecranului.

                                                                                                                                                  2

                                                                                                                                                  În secțiunea Servicii hibride, găsiți Securitatea datelor hibride și faceți clic pe Setări.

                                                                                                                                                  Apare pagina Setări securitate date hibride.
                                                                                                                                                  3

                                                                                                                                                  În secțiunea Notificări prin e-mail, tastați una sau mai multe adrese de e-mail separate prin virgule și apăsați Enter.

                                                                                                                                                  Adăugați sau eliminați utilizatori din procesul dvs.

                                                                                                                                                  După ce ați activat un trial și ați adăugat setul inițial de utilizatori de trial, puteți adăuga sau elimina membri de trial în orice moment în timp ce procesul este activ.

                                                                                                                                                  Dacă eliminați un utilizator din trial, clientul utilizatorului va solicita chei și crearea de taste din KMS cloud în loc de KMS dvs. Dacă clientul are nevoie de o cheie stocată pe KMS-ul dvs., KMS-ul cloud o va prelua în numele utilizatorului.

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory (în loc de această procedură) pentru a gestiona grupul de încercare, HdsTrialGroup; puteți vizualiza membrii grupului din Control Hub, dar nu îi puteți adăuga sau elimina.

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  Sub Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Modul de încercare din zona de stare a serviciului, faceți clic pe Adăugare utilizatori sau faceți clic pe vizualizare și editare pentru a elimina utilizatorii din trial.

                                                                                                                                                  4

                                                                                                                                                  Introduceți adresa de e-mail a unuia sau mai multor utilizatori pentru a adăuga sau faceți clic pe X de către un ID de utilizator pentru a elimina utilizatorul din încercare. Apoi faceți clic Salvați .

                                                                                                                                                  Mutați de la încercare la producție

                                                                                                                                                  Când sunteți mulțumit că implementarea dvs. funcționează bine pentru utilizatorii de încercare, puteți trece la producție. Când treceți la producție, toți utilizatorii din organizație vor utiliza domeniul dvs. local de securitate a datelor hibride pentru cheile de criptare și alte servicii din domeniul de securitate. Nu puteți reveni la modul de încercare din producție decât dacă dezactivați serviciul ca parte a recuperării dezastrelor. Reactivarea serviciului vă cere să configurați o nouă încercare.
                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  Sub Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Stare serviciu, faceți clic pe Mutare în producție.

                                                                                                                                                  4

                                                                                                                                                  Confirmați că doriți să mutați toți utilizatorii la producție.

                                                                                                                                                  Încheiați procesul fără a trece la producție

                                                                                                                                                  Dacă, în timpul perioadei de probă, decideți să nu continuați cu implementarea securității datelor hibride, puteți dezactiva securitatea datelor hibride, care încheie perioada de probă și mută utilizatorii de încercare înapoi la serviciile de securitate a datelor în cloud. Utilizatorii procesului vor pierde accesul la datele care au fost criptate în timpul procesului.
                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  Sub Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Dezactivare, faceți clic pe Dezactivare.

                                                                                                                                                  4

                                                                                                                                                  Confirmați că doriți să dezactivați serviciul și să finalizați procesul.

                                                                                                                                                  Gestionați implementarea HDS

                                                                                                                                                  Gestionați implementarea HDS

                                                                                                                                                  Utilizați sarcinile descrise aici pentru a gestiona implementarea securității datelor hibride.

                                                                                                                                                  Setați programul de upgrade al clusterului

                                                                                                                                                  Upgrade-urile de software pentru securitatea datelor hibride se fac automat la nivelul clusterului, ceea ce asigură că toate nodurile rulează întotdeauna aceeași versiune de software. Upgrade-urile se efectuează în conformitate cu programul de upgrade pentru cluster. Când un upgrade de software devine disponibil, aveți opțiunea de a actualiza manual clusterul înainte de ora programată de upgrade. Puteți seta un program specific de upgrade sau puteți utiliza programul implicit de 3:00 AM Daily Statele Unite ale Americii: America/Los Angeles. De asemenea, puteți alege să amânați un upgrade viitor, dacă este necesar.

                                                                                                                                                  Pentru a seta programul de upgrade:

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub .

                                                                                                                                                  2

                                                                                                                                                  Pe pagina Prezentare generală, în secțiunea Servicii hibride, selectați Securitatea datelor hibride.

                                                                                                                                                  3

                                                                                                                                                  Pe pagina Resurse de securitate a datelor hibride, selectați clusterul.

                                                                                                                                                  4

                                                                                                                                                  În panoul Prezentare generală din dreapta, în secțiunea Setări cluster, selectați numele clusterului.

                                                                                                                                                  5

                                                                                                                                                  Pe pagina Setări, în secțiunea Upgrade, selectați ora și fusul orar pentru programul de upgrade.

                                                                                                                                                  Notă: În cadrul fusului orar, se afișează următoarea dată și oră de upgrade disponibile. Puteți amâna upgrade-ul până în ziua următoare, dacă este necesar, făcând clic pe Amânare.

                                                                                                                                                  Modificarea configurației nodului

                                                                                                                                                  Ocazional, poate fi necesar să modificați configurația nodului Hybrid Data Security dintr-un motiv precum:
                                                                                                                                                  • Modificarea certificatelor x.509 din cauza expirării sau din alte motive.


                                                                                                                                                     

                                                                                                                                                    Nu acceptăm schimbarea nume domeniu CN al unui certificat. Domeniul trebuie să corespundă domeniului inițial utilizat pentru înregistrarea clusterului.

                                                                                                                                                  • Actualizarea setărilor bazei de date pentru a trece la o replică a bazei de date PostgreSQL sau Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nu acceptăm migrarea datelor de la PostgreSQL la Microsoft SQL Server sau invers. Pentru a comuta mediul bazei de date, începeți o nouă implementare a Hybrid Data Security.

                                                                                                                                                  • Crearea unei noi configurații pentru pregătirea unui nou centru de date.

                                                                                                                                                  De asemenea, din motive de securitate, Hybrid Data Security utilizează parole ale cont al serviciului care au o durată de viață de nouă luni. După ce instrumentul de configurare HDS generează aceste parole, le implementați în fiecare dintre nodurile HDS din fișierul de configurare ISO . Când parolele organizației dvs. se apropie de expirare, primiți o notificare de la echipa Webex prin care vă rugăm să resetați parola pentru contul computerului dvs. (E-mailul include textul „Utilizați API -ul contului de computer pentru a actualiza parola.”) Dacă parolele nu au expirat încă, instrumentul vă oferă două opțiuni:

                                                                                                                                                  • Resetare soft —Parolele vechi și noi sunt valabile până la 10 zile. Utilizați această perioadă pentru a înlocui treptat fișierul ISO pe noduri.

                                                                                                                                                  • Resetare hardware — Parolele vechi nu mai funcționează imediat.

                                                                                                                                                  Dacă parolele expiră fără resetare, acest lucru afectează serviciul HDS, necesitând o resetare hardware imediată și înlocuirea fișierului ISO pe toate nodurile.

                                                                                                                                                  Utilizați această procedură pentru a genera un nou fișier ISO de configurare și a-l aplica clusterului dvs.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Instrumentul de configurare HDS rulează ca container Docker pe un computer local. Pentru a-l accesa, rulați Docker pe acel computer. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi complete de administrator pentru organizația dvs.

                                                                                                                                                    Dacă instrumentul de configurare HDS rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin variabilele de mediu Docker atunci când ridicați containerul Docker în 1.e. Acest tabel oferă câteva variabile de mediu posibile:

                                                                                                                                                    Descriere

                                                                                                                                                    Variabilă

                                                                                                                                                    Proxy HTTP fără autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS fără autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTP cu autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS cu autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Aveți nevoie de o copie a fișierului ISO de configurare curentă pentru a genera o nouă configurație. ISO conține cheia principală de criptare a bazei de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de ISO când efectuați modificări de configurare, inclusiv date de autentificare în baza de date, actualizări de certificate sau modificări ale politicii de autorizare.

                                                                                                                                                  1

                                                                                                                                                  Utilizând Docker pe un computer local, rulați Instrumentul de configurare HDS.

                                                                                                                                                  1. În linia de comandă a computerului dvs., introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                    În medii obișnuite:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    În mediile FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.

                                                                                                                                                  2. Pentru a vă conecta la registry de imagini Docker, introduceți următoarele:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. La solicitarea parolei, introduceți acest hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Descărcați cea mai recentă imagine stabilă pentru mediul dvs.:

                                                                                                                                                    În medii obișnuite:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    În mediile FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Asigurați-vă că ați extras cel mai recent instrument de configurare pentru această procedură. Versiunile instrumentului create înainte de 22 februarie 2018 nu au ecrane de resetare a parolei.

                                                                                                                                                  5. Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                    • În mediile obișnuite fără un proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • În mediile obișnuite cu un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • În medii obișnuite cu un HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • În mediile FedRAMP fără un proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • În mediile FedRAMP cu un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • În mediile FedRAMP cu un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Când containerul rulează, veți vedea „Serverul Express ascultând pe portul 8080”.

                                                                                                                                                  6. Utilizați un browser pentru a vă conecta la localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală.

                                                                                                                                                  7. Când vi se solicită, introduceți datele de conectare pentru client Control Hub și apoi faceți clic Acceptați pentru a continua.

                                                                                                                                                  8. Importați fișierul ISO de configurație curentă.

                                                                                                                                                  9. Urmați instrucțiunile pentru a finaliza instrumentul și descărcați fișierul actualizat.

                                                                                                                                                    Pentru a închide instrumentul de configurare, tastați CTRL+C.

                                                                                                                                                  10. Creați o copie de rezervă a fișierului actualizat într-un alt centru de date.

                                                                                                                                                  2

                                                                                                                                                  Dacă aveți un singur nod HDS care rulează , creați un nou VM nod Hybrid Data Security și înregistrați-l utilizând noul fișier ISO de configurare. Pentru instrucțiuni mai detaliate, consultați Creați și înregistrați mai multe noduri.

                                                                                                                                                  1. Instalați OVA gazdă HDS.

                                                                                                                                                  2. Configurați VM HDS .

                                                                                                                                                  3. Montați fișier de configurare actualizat .

                                                                                                                                                  4. Înregistrați noul nod în Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Pentru nodurile HDS existente care rulează fișierul de fișier de configurare mai vechi , montați fișierul ISO . Efectuați următoarea procedură pe fiecare nod pe rând, actualizând fiecare nod înainte de a opri următorul nod:

                                                                                                                                                  1. Opriți mașină virtuală.

                                                                                                                                                  2. În panoul de navigare din stânga al clientului VMware vSphere, da clic dreapta pe VM și faceți clic Editați setările .

                                                                                                                                                  3. Clic CD/DVD Drive 1, selectați opțiunea de montare dintr-un fișier ISO și navigați până la locația de unde ați descărcat noul fișier ISO de configurare.

                                                                                                                                                  4. Verificați Conectați la pornire .

                                                                                                                                                  5. Salvați modificările și porniți mașină virtuală.

                                                                                                                                                  4

                                                                                                                                                  Repetați pasul 3 pentru a înlocui configurația pe fiecare nod rămas care rulează configurația veche.

                                                                                                                                                  Dezactivați Modul De Rezoluție DNS Externă Blocat

                                                                                                                                                  Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează aspectul DNS și conectivitatea la cloudul Cisco Webex. Dacă serverul DNS al nodului nu poate rezolva numele DNS publice, nodul intră automat în modul de Rezoluție DNS Externă Blocată.

                                                                                                                                                  Dacă nodurile dvs. sunt capabile să rezolve numele DNS publice prin intermediul serverelor DNS interne, puteți dezactiva acest mod prin reactivarea testului de conexiune proxy pe fiecare nod.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Asigurați-vă că serverele DNS interne pot rezolva numele DNS publice și că nodurile dvs. pot comunica cu acestea.
                                                                                                                                                  1

                                                                                                                                                  Într-un browser web, deschideți interfața nodului de securitate a datelor hibride (adresă IP/configurare, de exemplu, https://192.0.2.0/setup), introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.

                                                                                                                                                  2

                                                                                                                                                  Accesați Prezentare generală (pagina implicită).

                                                                                                                                                  Când este activat, Rezoluție DNS externă blocată este setat la Da .

                                                                                                                                                  3

                                                                                                                                                  Accesați pagina Trust Store & Proxy .

                                                                                                                                                  4

                                                                                                                                                  Faceți clic pe Verificare conexiune proxy.

                                                                                                                                                  Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a avut succes, nodul nu a putut ajunge la serverul DNS și va rămâne în acest mod. În caz contrar, după ce reporniți nodul și reveniți la pagina Prezentare generală , Rezoluția DNS externă blocată trebuie setată la nr.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Repetați testul conexiunii proxy pe fiecare nod din clusterul de securitate a datelor hibride.

                                                                                                                                                  Eliminați un nod

                                                                                                                                                  Utilizați această procedură pentru a elimina un nod de securitate a datelor hibride din cloudul Webex. După ce eliminați nodul din cluster, ștergeți mașina virtuală pentru a preveni accesul suplimentar la datele dvs. de securitate.
                                                                                                                                                  1

                                                                                                                                                  Utilizați clientul VMware vSphere de pe computer pentru a vă conecta la gazda virtuală ESXi și pentru a dezactiva mașina virtuală.

                                                                                                                                                  2

                                                                                                                                                  Eliminați nodul:

                                                                                                                                                  1. Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2. Pe cardul de securitate a datelor hibride, faceți clic pe Vizualizare toate pentru a afișa pagina Resurse de securitate a datelor hibride.

                                                                                                                                                  3. Selectați clusterul pentru a afișa panoul de Prezentare generală.

                                                                                                                                                  4. Faceți clic pe lista de noduri deschise.

                                                                                                                                                  5. În fila Noduri, selectați nodul pe care doriți să îl eliminați.

                                                                                                                                                  6. Faceți clic pe Acțiuni > Deregister node.

                                                                                                                                                  3

                                                                                                                                                  În clientul vSphere, ștergeți VM. (În panoul de navigare din stânga, faceți clic dreapta pe VM și faceți clic pe Ștergere.)

                                                                                                                                                  Dacă nu ștergeți VM, nu uitați să dezasamblați fișierul de configurare ISO. Fără fișierul ISO, nu puteți utiliza VM pentru a accesa datele de securitate.

                                                                                                                                                  Recuperare dezastre utilizând Centrul de date standby

                                                                                                                                                  Cel mai important serviciu pe care îl oferă clusterul de securitate a datelor hibride este crearea și stocarea de taste utilizate pentru criptarea mesajelor și a altor conținuturi stocate în cloudul Webex. Pentru fiecare utilizator din cadrul organizației care este atribuit securității datelor hibride, noile solicitări de creare a cheii sunt direcționate către cluster. Clusterul este, de asemenea, responsabil pentru returnarea cheilor pe care le-a creat oricărui utilizator autorizat să le recupereze, de exemplu, membrii unui spațiu de conversație.

                                                                                                                                                  Deoarece clusterul îndeplinește funcția critică de furnizare a acestor chei, este imperativ ca clusterul să rămână în funcțiune și să fie menținute backup-uri corespunzătoare. Pierderea bazei de date Hybrid Data Security sau a configurației ISO utilizate pentru schemă va duce la PIERDEREA INRECUPERABILĂ a conținutului clientului. Următoarele practici sunt obligatorii pentru a preveni o astfel de pierdere:

                                                                                                                                                  Dacă un dezastru face ca implementarea HDS în centrul de date principal să devină indisponibilă, urmați această procedură pentru a eșua manual la centrul de date standby.

                                                                                                                                                  1

                                                                                                                                                  Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.

                                                                                                                                                  2

                                                                                                                                                  După configurarea serverului Syslogd, faceți clic pe Setări avansate

                                                                                                                                                  3

                                                                                                                                                  Pe pagina Setări avansate, adăugați configurația de mai jos sau eliminați passiveMode configurare pentru a activa nodul. Nodul poate gestiona traficul odată ce acesta este configurat.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Completați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit.

                                                                                                                                                  5

                                                                                                                                                  Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare.

                                                                                                                                                  6

                                                                                                                                                  În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări..

                                                                                                                                                  7

                                                                                                                                                  Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Fișier ISO Datastore.


                                                                                                                                                   

                                                                                                                                                  Asigurați-vă că sunt verificate Conectate și Conectate la putere , astfel încât modificările de configurare actualizate să poată intra în vigoare după pornirea nodurilor.

                                                                                                                                                  8

                                                                                                                                                  Activați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute.

                                                                                                                                                  9

                                                                                                                                                  Repetați procesul pentru fiecare nod din centrul de date standby.


                                                                                                                                                   

                                                                                                                                                  Verificați ieșirea syslog pentru a verifica dacă nodurile centrului de date standby nu sunt în mod pasiv. „KMS configurat în mod pasiv” nu trebuie să apară în jurnalele de sistem.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  După eșec, dacă centrul principal de date devine din nou activ, plasați centrul de date în așteptare în modul pasiv, urmând pașii descriși în Configurarea centrului de date în așteptare pentru recuperarea dezastrelor.

                                                                                                                                                  (Opțional) Dezasamblare ISO După configurarea HDS

                                                                                                                                                  Configurația standard HDS rulează cu ISO montat. Dar, unii clienți preferă să nu lase fișierele ISO montate în mod continuu. Puteți demonta fișierul ISO după ce toate nodurile HDS preiau noua configurație.

                                                                                                                                                  Utilizați în continuare fișierele ISO pentru a face modificări de configurare. Când creați un nou ISO sau actualizați un ISO prin Instrumentul de configurare, trebuie să montați ISO actualizat pe toate nodurile HDS. După ce toate nodurile dvs. au preluat modificările de configurare, puteți demonta din nou ISO cu această procedură.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Actualizați toate nodurile HDS la versiunea 2021.01.22.4720 sau o versiune ulterioară.

                                                                                                                                                  1

                                                                                                                                                  Închideți unul dintre nodurile HDS.

                                                                                                                                                  2

                                                                                                                                                  În dispozitivul server vCenter, selectați nodul HDS.

                                                                                                                                                  3

                                                                                                                                                  Alegeți Editați setările > CD/DVD drive și debifați fișierul ISO Datastore.

                                                                                                                                                  4

                                                                                                                                                  Alimentați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 20 de minute.

                                                                                                                                                  5

                                                                                                                                                  Repetați pentru fiecare nod HDS la rândul său.

                                                                                                                                                  Depanarea securității datelor hibride

                                                                                                                                                  Vizualizare alerte și depanare

                                                                                                                                                  O implementare a securității datelor hibride este considerată indisponibilă dacă toate nodurile din cluster sunt inaccesibile sau clusterul funcționează atât de lent încât solicită timp de excludere. Dacă utilizatorii nu pot ajunge la clusterul dvs. de securitate a datelor hibride, aceștia experimentează următoarele simptome:

                                                                                                                                                  • Nu se pot crea spații noi (nu se pot crea chei noi)

                                                                                                                                                  • Mesajele și titlurile spațiului nu pot fi decriptate pentru:

                                                                                                                                                    • Utilizatori noi adăugați într-un spațiu (nu se pot prelua tastele)

                                                                                                                                                    • Utilizatorii existenți dintr-un spațiu care utilizează un client nou (nu pot prelua tastele)

                                                                                                                                                  • Utilizatorii existenți într-un spațiu vor continua să ruleze cu succes atâta timp cât clienții lor au un cache al cheilor de criptare

                                                                                                                                                  Este important să monitorizați în mod corespunzător clusterul de securitate a datelor hibride și să adresați imediat orice alerte pentru a evita perturbarea serviciului.

                                                                                                                                                  Alerte

                                                                                                                                                  Dacă există o problemă cu configurarea securității datelor hibride, Control Hub afișează alerte administratorului organizației și trimite e-mailuri la adresa de e-mail configurată. Alertele acoperă multe scenarii comune.

                                                                                                                                                  Tabelul 1. Probleme comune și pașii pentru a le rezolva

                                                                                                                                                  Alertă

                                                                                                                                                  Acțiune

                                                                                                                                                  Eșecul accesului la baza de date locală.

                                                                                                                                                  Verificați erorile bazei de date sau problemele de rețea locale.

                                                                                                                                                  Eșecul conexiunii la baza de date locală.

                                                                                                                                                  Verificați dacă serverul bazei de date este disponibil, iar acreditările contului de serviciu corespunzător au fost utilizate în configurația nodului.

                                                                                                                                                  Eșecul accesului la servicii în cloud.

                                                                                                                                                  Verificați dacă nodurile pot accesa serverele Webex astfel cum sunt specificate în cerințele de conectivitate externă.

                                                                                                                                                  Reînnoirea înregistrării serviciului în cloud.

                                                                                                                                                  S-a renunțat la înscrierea în serviciile cloud. Reînnoirea înregistrării este în curs.

                                                                                                                                                  Înscrierea în serviciul Cloud a scăzut.

                                                                                                                                                  Înscrierea la serviciile cloud s-a încheiat. Serviciul se închide.

                                                                                                                                                  Serviciul nu este încă activat.

                                                                                                                                                  Activați un proces sau finalizați mutarea procesului la producție.

                                                                                                                                                  Domeniul configurat nu corespunde certificatului serverului.

                                                                                                                                                  Asigurați-vă că certificatul serverului dvs. corespunde domeniului de activare a serviciului configurat.

                                                                                                                                                  Cauza cea mai probabilă este că certificatul CN a fost modificat recent și este acum diferit de CN care a fost utilizat în timpul configurării inițiale.

                                                                                                                                                  Nu s-a reușit autentificarea la serviciile cloud.

                                                                                                                                                  Verificați acuratețea și posibila expirare a acreditărilor contului de serviciu.

                                                                                                                                                  Nu s-a reușit deschiderea fișierului local de keystore.

                                                                                                                                                  Verificați integritatea și precizia parolei în fișierul de keystore local.

                                                                                                                                                  Certificatul serverului local este nevalid.

                                                                                                                                                  Verificați data de expirare a certificatului serverului și confirmați că acesta a fost eliberat de o autoritate de certificare de încredere.

                                                                                                                                                  Nu se pot posta măsurători.

                                                                                                                                                  Verificați accesul la rețeaua locală la serviciile cloud externe.

                                                                                                                                                  directorul /media/configdrive/hds nu există.

                                                                                                                                                  Verificați configurația de montare ISO pe gazda virtuală. Verificați dacă fișierul ISO există, dacă este configurat să fie montat pe repornire și dacă se montează cu succes.

                                                                                                                                                  Depanarea securității datelor hibride

                                                                                                                                                  Utilizați următoarele orientări generale atunci când depanați problemele legate de securitatea datelor hibride.
                                                                                                                                                  1

                                                                                                                                                  Revizuiți Control Hub pentru orice alerte și remediați orice elemente pe care le găsiți acolo.

                                                                                                                                                  2

                                                                                                                                                  Revizuiți ieșirea serverului syslog pentru activitatea din implementarea securității datelor hibride.

                                                                                                                                                  3

                                                                                                                                                  Contactați asistența Cisco.

                                                                                                                                                  Alte note

                                                                                                                                                  Probleme cunoscute pentru securitatea datelor hibride

                                                                                                                                                  • Dacă închideți clusterul de securitate a datelor hibride (prin ștergerea acestuia în Control Hub sau prin închiderea tuturor nodurilor), pierdeți fișierul ISO de configurare sau pierdeți accesul la baza de date Keystore, utilizatorii aplicației Webex nu mai pot utiliza spații din lista lor de persoane care au fost create cu tastele din KMS. Acest lucru este valabil atât pentru operațiunile de încercare, cât și pentru operațiunile de producție. În prezent, nu avem un loc de muncă sau o soluție pentru această problemă și vă solicităm să nu închideți serviciile HDS odată ce acestea gestionează conturile de utilizator active.

                                                                                                                                                  • Un client care are o conexiune ECDH existentă la un KMS menține acea conexiune pentru o perioadă de timp (probabil o oră). Atunci când un utilizator devine membru al unui proces de securitate a datelor hibride, clientul utilizatorului continuă să utilizeze conexiunea ECDH existentă până la expirarea acesteia. Alternativ, utilizatorul se poate deconecta și reconecta la aplicația Aplicației Webex pentru a actualiza locația pe care aplicația o contactează pentru cheile de criptare.

                                                                                                                                                    Același comportament apare atunci când mutați un proces la producție pentru organizație. Toți utilizatorii non-trial cu conexiuni ECDH existente la serviciile anterioare de securitate a datelor vor continua să utilizeze aceste servicii până când conexiunea ECDH este renegociată (prin expirare sau prin deconectare și reconectare).

                                                                                                                                                  Utilizați OpenSSL pentru a genera un fișier PKCS12

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • OpenSSL este un instrument care poate fi folosit pentru a face fișierul PKCS12 în formatul adecvat pentru încărcare în instrumentul de configurare HDS. Există alte modalități de a face acest lucru, și nu sprijinim sau promovăm un mod peste altul.

                                                                                                                                                  • Dacă alegeți să utilizați OpenSSL, oferim această procedură ca ghid pentru a vă ajuta să creați un fișier care îndeplinește cerințele certificatului X.509 din X.509 Cerințe de certificat. Înțelegeți aceste cerințe înainte de a continua.

                                                                                                                                                  • Instalați OpenSSL într-un mediu acceptat. Consultați https://www.openssl.org pentru software și documentație.

                                                                                                                                                  • Creați o tastă privată.

                                                                                                                                                  • Începeți această procedură atunci când primiți certificatul de server de la Autoritatea dvs. de certificare (CA).

                                                                                                                                                  1

                                                                                                                                                  Când primiți certificatul de server de la CA, salvați-l ca hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Afișați certificatul ca text și verificați detaliile.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilizați un editor de text pentru a crea un fișier de pachet de certificate numit hdsnode-bundle.pem. Fișierul pachet trebuie să includă certificatul serverului, orice certificate CA intermediare și certificatele CA rădăcină, în formatul de mai jos:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Creați fișierul .p12 cu numele prietenos kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Verificați detaliile certificatului serverului.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Introduceți o parolă la solicitarea de criptare a cheii private, astfel încât aceasta să fie listată în ieșire. Apoi, verificați dacă cheia privată și primul certificat includ liniile friendlyName: kms-private-key.

                                                                                                                                                    Exemplu:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Reveniți la Completarea Condițiilor prealabile pentru securitatea datelor hibride. Veţi utiliza hdsnode.p12 fișier și parola pe care ați setat-o pentru acesta, în Creați un ISO de configurare pentru gazdele HDS.


                                                                                                                                                   

                                                                                                                                                  Puteți reutiliza aceste fișiere pentru a solicita un nou certificat atunci când certificatul original expiră.

                                                                                                                                                  Trafic între nodurile HDS și cloud

                                                                                                                                                  Trafic colecție metrică de ieșire

                                                                                                                                                  Nodurile de securitate a datelor hibride trimit anumite măsurători în cloudul Webex. Acestea includ măsurători de sistem pentru înălțimea maximă, înălțimea utilizată, sarcina CPU și numărul de fire; măsurători pe fire sincrone și asincronice; măsurători pe alerte care implică un prag de conexiuni de criptare, latență sau o lungime a cozii de solicitare; măsurători pe placa de date; și măsurători de conexiune de criptare. Nodurile trimit material cheie criptat printr-un canal în afara benzii (separat de solicitare).

                                                                                                                                                  Trafic de intrare

                                                                                                                                                  Nodurile de securitate a datelor hibride primesc următoarele tipuri de trafic de intrare din cloudul Webex:

                                                                                                                                                  • Cereri de criptare de la clienți, care sunt rutate de serviciul de criptare

                                                                                                                                                  • Actualizări la software-ul nodului

                                                                                                                                                  Configurați proxy-urile Squid pentru securitatea datelor hibride

                                                                                                                                                  Șoseta web nu se poate Conecta Prin Proxy Squid

                                                                                                                                                  Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea websocket ( wss:) conexiuni care necesită Securitatea datelor hibride. Aceste secțiuni oferă îndrumări cu privire la modul de configurare a diferitelor versiuni de Squid pentru a ignora wss: trafic pentru buna funcționare a serviciilor.

                                                                                                                                                  Squid 4 și 5

                                                                                                                                                  Adăugați on_unsupported_protocol directivă privind squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Am testat cu succes Securitatea datelor hibride cu următoarele reguli adăugate la squid.conf. Aceste reguli se pot modifica pe măsură ce dezvoltăm caracteristici și actualizăm cloudul Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Prefață

                                                                                                                                                  Informații noi și modificate

                                                                                                                                                  Dată

                                                                                                                                                  Modificări efectuate

                                                                                                                                                  20 octombrie 2023

                                                                                                                                                  07 august 2023

                                                                                                                                                  23 mai 2023

                                                                                                                                                  06 decembrie 2022

                                                                                                                                                  23 noiembrie 2022

                                                                                                                                                  13 octombrie 2021

                                                                                                                                                  Docker Desktop trebuie să ruleze un program de configurare înainte de a putea instala noduri HDS. Consultați Cerințele de desktop ale Docker.

                                                                                                                                                  24 iunie 2021

                                                                                                                                                  Rețineți că puteți reutiliza fișierul cu tastatură privată și CSR pentru a solicita un alt certificat. Consultați Utilizarea OpenSSL pentru a genera un fișier PKCS12 pentru detalii.

                                                                                                                                                  30 aprilie 2021

                                                                                                                                                  A schimbat cerința VM pentru spațiul local pe hard disk la 30 GB. Consultați Cerințele Gazdei Virtuale pentru detalii.

                                                                                                                                                  24 februarie 2021

                                                                                                                                                  Instrumentul de configurare HDS poate rula acum în spatele unui proxy. Consultați Creați un ISO de configurare pentru gazdele HDS pentru detalii.

                                                                                                                                                  2 februarie 2021

                                                                                                                                                  HDS poate rula acum fără un fișier ISO montat. Consultați (Opțional) Dezasamblarea ISO după configurarea HDS pentru detalii.

                                                                                                                                                  11 ianuarie 2021

                                                                                                                                                  Au fost adăugate informații despre instrumentul de configurare HDS și proxy-uri pentru a crea un ISO de configurare pentru gazdele HDS.

                                                                                                                                                  13 octombrie 2020

                                                                                                                                                  Fișiere de instalare Descărcare actualizate.

                                                                                                                                                  8 octombrie 2020

                                                                                                                                                  Actualizat Creați un ISO de configurare pentru gazdele HDS și modificați configurația nodului cu comenzi pentru mediile FedRAMP.

                                                                                                                                                  14 august 2020

                                                                                                                                                  Actualizat Creați un ISO de configurare pentru gazdele HDS și modificați configurația nodului cu modificări ale procesului de conectare.

                                                                                                                                                  5 august 2020

                                                                                                                                                  Actualizat Testați implementarea securității datelor hibride pentru modificări ale mesajelor jurnal.

                                                                                                                                                  S-au actualizat Cerințele Gazdei Virtuale pentru a elimina numărul maxim de gazde.

                                                                                                                                                  16 iunie 2020

                                                                                                                                                  Actualizat Eliminați un nod pentru modificările din interfața cu utilizatorul Control Hub.

                                                                                                                                                  4 iunie 2020

                                                                                                                                                  Actualizat Creați un ISO de configurare pentru gazdele HDS pentru modificările din Setările avansate pe care le-ați putea seta.

                                                                                                                                                  29 mai 2020

                                                                                                                                                  Actualizat Creați un ISO de configurare pentru gazdele HDS pentru a afișa puteți utiliza, de asemenea, TLS cu baze de date SQL Server, modificări de interfață de utilizator și alte clarificări.

                                                                                                                                                  5 mai 2020

                                                                                                                                                  Actualizat Cerințele Gazdei Virtuale pentru a afișa noua cerință a ESXi 6.5.

                                                                                                                                                  21 aprilie 2020

                                                                                                                                                  Actualizat Cerințe de conectivitate externă cu noi gazde CI din America.

                                                                                                                                                  Aprilie 1, 2020

                                                                                                                                                  Actualizat Cerințele de conectivitate externă cu informații despre gazdele regionale CI.

                                                                                                                                                  20 februarie 2020Actualizat Creați un ISO de configurare pentru gazdele HDS cu informații despre noul ecran opțional de setări avansate din instrumentul de configurare HDS.
                                                                                                                                                  4 februarie 2020Cerințe server proxy actualizate.
                                                                                                                                                  16 decembrie 2019A clarificat cerința ca modul de rezoluție DNS extern blocat să funcționeze în cerințele serverului proxy.
                                                                                                                                                  19 noiembrie 2019

                                                                                                                                                  Au fost adăugate informații despre modul de rezoluție DNS extern blocat în următoarele secțiuni:

                                                                                                                                                  8 noiembrie 2019

                                                                                                                                                  Acum puteți configura setările de rețea pentru un nod în timp ce implementați OVA, mai degrabă decât ulterior.

                                                                                                                                                  Actualizat în consecință următoarele secțiuni:


                                                                                                                                                   

                                                                                                                                                  Opțiunea de configurare a setărilor de rețea în timpul implementării OVA a fost testată cu ESXi 6.5. Este posibil ca opțiunea să nu fie disponibilă în versiunile anterioare.

                                                                                                                                                  6 septembrie 2019

                                                                                                                                                  S-a adăugat standardul SQL Server la cerințele serverului bazei de date.

                                                                                                                                                  august 29, 2019A fost adăugată Configurarea proxy-urilor Squid pentru securitatea datelor hibride , cu îndrumări privind configurarea proxy-urilor Squid pentru a ignora traficul websocket pentru funcționarea corespunzătoare.
                                                                                                                                                  20 august 2019

                                                                                                                                                  Secțiuni adăugate și actualizate pentru a acoperi asistența proxy pentru comunicațiile nodului de securitate a datelor hibride în cloudul Webex.

                                                                                                                                                  Pentru a accesa doar conținutul de asistență proxy pentru o implementare existentă, consultați Asistența proxy pentru securitatea datelor hibride și articolul de ajutor Webex Video Mesh .

                                                                                                                                                  13 iunie 2019A fost actualizat Fluxul de activități de producție cu un memento pentru a sincroniza HdsTrialGroup obiectul de grup înainte de a începe un trial dacă organizația dvs. utilizează sincronizarea directorului.
                                                                                                                                                  6 martie 2019
                                                                                                                                                  februarie 28, 2019
                                                                                                                                                  • A corectat cantitatea de spațiu pe hard disk local pe server pe care ar trebui să o setați deoparte atunci când pregătiți gazdele virtuale care devin nodurile de securitate a datelor hibride, de la 50-GB la 20-GB, pentru a reflecta dimensiunea discului pe care OVA îl creează.

                                                                                                                                                  26 februarie 2019
                                                                                                                                                  • Nodurile de securitate a datelor hibride acceptă acum conexiuni criptate cu serverele bazei de date PostgreSQL și conexiuni criptate de conectare la un server syslog TLS capabil. Actualizat Creați un ISO de configurare pentru gazdele HDS cu instrucțiuni.

                                                                                                                                                  • URL-urile de destinație au fost eliminate din tabelul „Cerințe de conectivitate la internet pentru nodul de securitate a datelor hibride VMs”. Tabelul se referă acum la lista menținută în tabelul „URL-uri suplimentare pentru serviciile hibride Webex Teams” din Cerințele rețelei pentru serviciile Webex Teams.

                                                                                                                                                  24 ianuarie 2019

                                                                                                                                                  • Securitatea datelor hibride acceptă acum Microsoft SQL Server ca bază de date. SQL Server întotdeauna activat (întotdeauna pe clusterele de eșec și întotdeauna pe grupurile de disponibilitate) este acceptat de driverele JDBC care sunt utilizate în securitatea datelor hibride. Conținut adăugat legat de implementarea cu SQL Server.


                                                                                                                                                     

                                                                                                                                                    Asistența pentru serverul Microsoft SQL este destinată numai noilor implementări ale securității datelor hibride. În prezent, nu acceptăm migrarea datelor de la PostgreSQL la serverul Microsoft SQL în cadrul unei implementări existente.

                                                                                                                                                  noiembrie 5, 2018
                                                                                                                                                  19 octombrie 2018

                                                                                                                                                  31 iulie 2018

                                                                                                                                                  21 mai 2018

                                                                                                                                                  Terminologia modificată pentru a reflecta rebranding-ul Cisco Spark:

                                                                                                                                                  • Securitatea datelor hibride Cisco Spark este acum Securitatea datelor hibride.

                                                                                                                                                  • Aplicația Cisco Spark este acum aplicația Webex App.

                                                                                                                                                  • Cisco Collaboraton Cloud este acum cloudul Webex.

                                                                                                                                                  11 aprilie 2018
                                                                                                                                                  22 februarie 2018
                                                                                                                                                  februarie 15, 2018
                                                                                                                                                  • În tabelul X.509 Cerințe privind certificatul , s-a specificat că certificatul nu poate fi un certificat de carte de vizită și că KMS utilizează domeniul CN, nu orice domeniu definit în câmpurile SAN x.509v3.

                                                                                                                                                  ianuarie 18, 2018

                                                                                                                                                  noiembrie 2, 2017

                                                                                                                                                  • Sincronizarea directorului clarificată a HdsTrialGroup.

                                                                                                                                                  • Fix instrucțiuni pentru încărcarea fișierului de configurare ISO pentru montare la nodurile VM.

                                                                                                                                                  18 august 2017

                                                                                                                                                  Prima publicare

                                                                                                                                                  Începeți cu securitatea datelor hibride

                                                                                                                                                  Prezentare generală a securității datelor hibride

                                                                                                                                                  Începând cu prima zi, securitatea datelor a fost accentul principal în proiectarea Aplicației Webex. Piatra de temelie a acestei securități este criptarea conținutului end-to-end, activată de clienții aplicației Webex care interacționează cu Serviciul de gestionare a cheilor (KMS). KMS este responsabil pentru crearea și gestionarea cheilor criptografice pe care clienții le utilizează pentru a cripta și decripta în mod dinamic mesajele și fișierele.

                                                                                                                                                  În mod implicit, toți clienții Aplicației Webex primesc criptare end-to-end cu chei dinamice stocate în KMS cloud, în domeniul de securitate al Cisco. Hybrid Data Security mută KMS și alte funcții legate de securitate în centrul de date la nivel de întreprindere dvs., astfel încât nimeni în afară de dvs. să nu dețină cheile conținutului dvs. criptat.

                                                                                                                                                  Arhitectură Realm de securitate

                                                                                                                                                  Arhitectura cloud Webex separă diferite tipuri de servicii în domenii separate sau domenii de încredere, după cum este descris mai jos.

                                                                                                                                                  Domenii de separare (fără securitate hibridă a datelor)

                                                                                                                                                  Pentru a înțelege în continuare securitatea datelor hibride, să ne uităm mai întâi la acest caz cloud pur, în care Cisco oferă toate funcțiile din domeniile sale cloud. Serviciul de identitate, singurul loc în care utilizatorii pot fi direct corelați cu informațiile lor personale, cum ar fi adresa de e-mail, este separat în mod logic și fizic de domeniul de securitate din centrul de date B. Ambele sunt, la rândul lor, separate de domeniul în care conținutul criptat este stocat în cele din urmă, în centrul de date C.

                                                                                                                                                  În această diagramă, clientul este aplicația Webex care rulează pe laptopul unui utilizator și s-a autentificat cu serviciul de identitate. Când utilizatorul compune un mesaj pentru a trimite într-un spațiu, au loc următorii pași:

                                                                                                                                                  1. Clientul stabilește o conexiune securizată cu serviciul de gestionare a cheilor (KMS), apoi solicită o cheie pentru a cripta mesajul. Conexiunea securizată utilizează ECDH, iar KMS criptează cheia utilizând o cheie principală AES-256.

                                                                                                                                                  2. Mesajul este criptat înainte de a părăsi clientul. Clientul îl trimite la serviciul de indexare, care creează indexuri de căutare criptate pentru a ajuta în căutările viitoare pentru conținut.

                                                                                                                                                  3. Mesajul criptat este trimis serviciului de conformitate pentru verificări de conformitate.

                                                                                                                                                  4. Mesajul criptat este stocat în domeniul de stocare.

                                                                                                                                                  Când implementați Securitatea datelor hibride, mutați funcțiile domeniului de securitate (KMS, indexare și conformitate) în centrul dvs. de date local. Celelalte servicii cloud care alcătuiesc Webex (inclusiv stocarea identității și a conținutului) rămân în domeniile Cisco.

                                                                                                                                                  Colaborarea cu Alte Organizații

                                                                                                                                                  Utilizatorii din organizația dvs. pot utiliza în mod regulat Aplicația Webex pentru a colabora cu participanți externi din alte organizații. Când unul dintre utilizatorii dvs. solicită o cheie pentru un spațiu care este deținut de organizația dvs. (deoarece a fost creat de unul dintre utilizatorii dvs.), KMS trimite cheia către client printr-un canal ECDH securizat. Cu toate acestea, atunci când o altă organizație deține cheia pentru spațiu, KMS-ul direcționează cererea către cloudul Webex printr-un canal ECDH separat pentru a obține cheia de la KMS-ul corespunzător și apoi returnează cheia către utilizatorul dvs. pe canalul original.

                                                                                                                                                  Serviciul KMS care rulează pe Org A validează conexiunile la KMS în alte organizații utilizând x.509 certificate PKI. Consultați Pregătiți-vă mediul pentru detalii despre generarea unui certificat x.509 pe care să-l utilizați cu implementarea securității datelor hibride.

                                                                                                                                                  Așteptări pentru implementarea securității datelor hibride

                                                                                                                                                  O implementare a securității datelor hibride necesită un angajament semnificativ din partea clienților și o conștientizare a riscurilor pe care le implică deținerea cheilor de criptare.

                                                                                                                                                  Pentru a implementa securitatea datelor hibride, trebuie să furnizați:

                                                                                                                                                  Pierderea completă a configurației ISO pe care o construiți pentru securitatea datelor hibride sau a bazei de date pe care o furnizați va duce la pierderea tastelor. Pierderea tastelor împiedică utilizatorii să decripteze conținutul spațiului și alte date criptate în Aplicația Webex. Dacă se întâmplă acest lucru, puteți construi o nouă implementare, dar numai conținut nou va fi vizibil. Pentru a evita pierderea accesului la date, trebuie:

                                                                                                                                                  • Gestionați backup-ul și recuperarea bazei de date și configurația ISO.

                                                                                                                                                  • Fiți pregătiți să efectuați recuperarea rapidă a dezastrelor dacă apare o catastrofă, cum ar fi defectarea discului de bază de date sau dezastrul centrului de date.


                                                                                                                                                   

                                                                                                                                                  Nu există niciun mecanism pentru a muta cheile înapoi în Cloud după o implementare HDS.

                                                                                                                                                  Proces de configurare la nivel înalt

                                                                                                                                                  Acest document acoperă configurarea și gestionarea implementării securității datelor hibride:

                                                                                                                                                  • Configurați securitatea datelor hibride—Aceasta include pregătirea infrastructurii necesare și instalarea software-ului de securitate a datelor hibride, testarea implementării dvs. cu un subset de utilizatori în modul de încercare și, odată ce testarea dvs. este finalizată, trecerea la producție. Aceasta convertește întreaga organizație pentru a utiliza clusterul dvs. de securitate a datelor hibride pentru funcțiile de securitate.

                                                                                                                                                    Fazele de configurare, încercare și producție sunt acoperite în detaliu în următoarele trei capitole.

                                                                                                                                                  • Mențineți implementarea securității datelor hibride—cloud-ul Webex oferă automat upgrade-uri în curs. Departamentul dvs. IT poate oferi un singur nivel de asistență pentru această implementare și poate angaja asistență Cisco după cum este necesar. Puteți utiliza notificări pe ecran și puteți configura alerte pe bază de e-mail în Control Hub.

                                                                                                                                                  • Înțelegerea alertelor comune, a pașilor de depanare și a problemelor cunoscute—Dacă întâmpinați probleme la implementarea sau utilizarea securității datelor hibride, ultimul capitol din acest ghid și apendicele Probleme cunoscute vă pot ajuta să determinați și să remediați problema.

                                                                                                                                                  Model de implementare a securității datelor hibride

                                                                                                                                                  În cadrul centrului dvs. de date al întreprinderii, implementați Securitatea datelor hibride ca un singur grup de noduri pe gazde virtuale separate. Nodurile comunică cu cloudul Webex prin prize web securizate și HTTP securizat.

                                                                                                                                                  În timpul procesului de instalare, vă oferim fișierul OVA pentru a configura dispozitivul virtual pe VMs pe care le furnizați. Utilizați instrumentul de configurare HDS pentru a crea un fișier ISO de configurare a clusterului personalizat pe care îl montați pe fiecare nod. Clusterul de securitate a datelor hibride utilizează serverul Syslogd furnizat și baza de date PostgreSQL sau Microsoft SQL Server. (Configurați detaliile conexiunii Syslogd și a bazei de date în Instrumentul de configurare HDS.)

                                                                                                                                                  Model de implementare a securității datelor hibride

                                                                                                                                                  Numărul minim de noduri pe care le puteți avea într-un cluster este de două. Vă recomandăm cel puțin trei, și puteți avea până la cinci. Existența mai multor noduri asigură faptul că serviciul nu este întrerupt în timpul unui upgrade de software sau al unei alte activități de întreținere pe un nod. (Cloudul Webex actualizează doar un nod la un moment dat.)

                                                                                                                                                  Toate nodurile dintr-un cluster accesează aceeași bază de date cu tastatură și înregistrează activitatea pe același server syslog. Nodurile în sine sunt apatride și se ocupă de solicitările cheie în modul rotund-robin, așa cum este direcționat de cloud.

                                                                                                                                                  Nodurile devin active atunci când le înregistrați în Control Hub. Pentru a scoate un nod individual din serviciu, îl puteți desînregistra și apoi îl puteți reînregistra, dacă este necesar.

                                                                                                                                                  Sprijinim doar un singur cluster per organizație.

                                                                                                                                                  Mod de încercare pentru securitatea datelor hibride

                                                                                                                                                  După configurarea unei implementări de securitate a datelor hibride, încercați mai întâi cu un set de utilizatori pilot. În timpul perioadei de încercare, acești utilizatori utilizează domeniul local de securitate a datelor hibride pentru cheile de criptare și alte servicii din domeniul de securitate. Ceilalți utilizatori continuă să utilizeze domeniul de securitate cloud.

                                                                                                                                                  Dacă decideți să nu continuați implementarea în timpul perioadei de încercare și să dezactivați serviciul, utilizatorii pilot și orice utilizatori cu care au interacționat prin crearea de spații noi în timpul perioadei de încercare vor pierde accesul la mesaje și conținut. Aceștia vor vedea „Acest mesaj nu poate fi decriptat” în aplicația Webex.

                                                                                                                                                  Dacă sunteți mulțumit că implementarea dvs. funcționează bine pentru utilizatorii de încercare și sunteți pregătit să extindeți Securitatea datelor hibride la toți utilizatorii dvs., mutați implementarea în producție. Utilizatorii pilot continuă să aibă acces la cheile care au fost utilizate în timpul încercării. Cu toate acestea, nu se poate muta înapoi și înainte între modul de producție și procesul inițial. Dacă trebuie să dezactivați serviciul, cum ar fi pentru a efectua recuperarea dezastrelor, atunci când reactivați, trebuie să începeți o nouă încercare și să configurați setul de utilizatori pilot pentru noua încercare înainte de a reveni la modul de producție. Dacă utilizatorii păstrează accesul la date în acest moment depinde de faptul dacă ați menținut cu succes copii de rezervă ale stocului de date cheie și ale fișierului de configurare ISO pentru nodurile de securitate a datelor hibride din cluster.

                                                                                                                                                  Centrul de date standby pentru recuperarea dezastrelor

                                                                                                                                                  În timpul implementării, ați configurat un centru de date standby securizat. În cazul unui dezastru al unui centru de date, puteți eșua manual implementarea în centrul de date standby.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Eşec manual la centrul de date standby

                                                                                                                                                  Bazele de date ale centrelor de date active și standby sunt în sincronizare unele cu altele, ceea ce va reduce la minimum timpul necesar pentru a efectua eșecul. Fișierul ISO al centrului de date standby este actualizat cu configurații suplimentare care asigură că nodurile sunt înregistrate în organizație, dar nu vor gestiona traficul. Prin urmare, nodurile centrului de date standby rămân întotdeauna la zi cu cea mai recentă versiune de software HDS.


                                                                                                                                                   

                                                                                                                                                  Nodurile active de securitate a datelor hibride trebuie să fie întotdeauna în același centru de date ca serverul de bază de date activă.

                                                                                                                                                  Configurarea Centrului de date standby pentru recuperarea dezastrelor

                                                                                                                                                  Urmați pașii de mai jos pentru a configura fișierul ISO al centrului de date standby:

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Centrul de date standby trebuie să reflecte mediul de producție al VMs și o bază de date PostgreSQL sau Microsoft SQL Server de rezervă. De exemplu, dacă producția are 3 VMs care rulează noduri HDS, mediul de rezervă ar trebui să aibă 3 VMs. (Consultați Standby Data Center for Disaster Recovery pentru o prezentare generală a acestui model de eșec.)

                                                                                                                                                  • Asigurați-vă că sincronizarea bazei de date este activată între baza de date a nodurilor de cluster active și pasive.

                                                                                                                                                  1

                                                                                                                                                  Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.


                                                                                                                                                   

                                                                                                                                                  Fișierul ISO trebuie să fie o copie a fișierului ISO original al centrului de date principal pe care urmează să fie făcute următoarele actualizări de configurare.

                                                                                                                                                  2

                                                                                                                                                  După configurarea serverului Syslogd, faceți clic pe Setări avansate

                                                                                                                                                  3

                                                                                                                                                  Pe pagina Setări avansate, adăugați configurația de mai jos pentru a plasa nodul în modul pasiv. În acest mod, nodul va fi înregistrat în organizație și conectat la cloud, dar nu va gestiona niciun trafic.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Completați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit.

                                                                                                                                                  5

                                                                                                                                                  Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare.

                                                                                                                                                  6

                                                                                                                                                  În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări..

                                                                                                                                                  7

                                                                                                                                                  Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Fișier ISO Datastore.


                                                                                                                                                   

                                                                                                                                                  Asigurați-vă că sunt verificate Conectate și Conectate la putere , astfel încât modificările de configurare actualizate să poată intra în vigoare după pornirea nodurilor.

                                                                                                                                                  8

                                                                                                                                                  Activați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute.

                                                                                                                                                  9

                                                                                                                                                  Repetați procesul pentru fiecare nod din centrul de date standby.


                                                                                                                                                   

                                                                                                                                                  Verificați jurnalele pentru a verifica dacă nodurile sunt în mod pasiv. Ar trebui să puteți vizualiza mesajul „KMS configurat în mod pasiv” în jurnalele de sistem.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  După configurare passiveMode în fișierul ISO și salvându-l, puteți crea o altă copie a fișierului ISO fără passiveMode configurare și salvați-l într-o locație sigură. Această copie a fișierului ISO fără passiveMode configurat poate ajuta într-un proces rapid de eșec în timpul recuperării dezastrelor. Consultați Recuperarea dezastrelor utilizând Centrul de date standby pentru procedura detaliată de nereușită.

                                                                                                                                                  Asistență proxy

                                                                                                                                                  Securitatea datelor hibride acceptă inspecții explicite, transparente și proxy-uri neinspectate. Puteți lega aceste proxy-uri de implementarea dvs., astfel încât să puteți securiza și monitoriza traficul de la întreprindere la cloud. Puteți utiliza o interfață de administrare a platformei pe noduri pentru gestionarea certificatelor și pentru a verifica starea generală a conectivității după ce ați configurat proxy-ul pe noduri.

                                                                                                                                                  Nodurile de securitate a datelor hibride acceptă următoarele opțiuni proxy:

                                                                                                                                                  • Fără proxy—Implicit dacă nu utilizați configurația de configurare a nodului HDS Trust Store și proxy pentru a integra un proxy. Nu este necesară nicio actualizare a certificatului.

                                                                                                                                                  • Proxy fără inspecție transparent—Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy și nu ar trebui să necesite nicio modificare pentru a lucra cu un proxy fără inspecție. Nu este necesară nicio actualizare a certificatului.

                                                                                                                                                  • Tunelare transparentă sau inspecție proxy—Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy. Nu sunt necesare modificări ale configurației HTTP sau HTTPS pe noduri. Cu toate acestea, nodurile au nevoie de un certificat rădăcină, astfel încât să aibă încredere în proxy. De obicei, proxy-urile de inspecție sunt utilizate de IT pentru a pune în aplicare politicile pe care site-urile pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).

                                                                                                                                                  • Proxy explicit—Cu proxy explicit, spuneți nodurilor HDS ce server proxy și sistem de autentificare să utilizați. Pentru a configura un proxy explicit, trebuie să introduceți următoarele informații pe fiecare nod:

                                                                                                                                                    1. IP proxy/FQDN—Adresă care poate fi utilizată pentru a ajunge la utilajul proxy.

                                                                                                                                                    2. Portul proxy—Un număr de port pe care proxy-ul îl folosește pentru a asculta traficul proxy.

                                                                                                                                                    3. Proxy Protocol—În funcție de ce acceptă serverul dvs. proxy, alegeți între următoarele protocoale:

                                                                                                                                                      • HTTP—Vizualizează și controlează toate solicitările pe care clientul le trimite.

                                                                                                                                                      • HTTPS—Oferă un canal serverului. Clientul primește și validează certificatul serverului.

                                                                                                                                                    4. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:

                                                                                                                                                      • Niciuna – Nu este necesară autentificarea suplimentară.

                                                                                                                                                        Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.

                                                                                                                                                      • De bază—Utilizat pentru un agent de utilizator HTTP pentru a furniza un nume de utilizator și o parolă atunci când efectuați o solicitare. Utilizează codificarea Base64.

                                                                                                                                                        Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.

                                                                                                                                                        Vă cere să introduceți numele de utilizator și parola pe fiecare nod.

                                                                                                                                                      • Digest—Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite în rețea.

                                                                                                                                                        Disponibil numai dacă selectați HTTPS ca protocol proxy.

                                                                                                                                                        Vă cere să introduceți numele de utilizator și parola pe fiecare nod.

                                                                                                                                                  Exemplu de noduri hibride de securitate a datelor și proxy

                                                                                                                                                  Această diagramă arată o conexiune de exemplu între securitatea datelor hibride, rețea și un proxy. Pentru inspectarea transparentă și opțiunile HTTPS de inspecție explicită a proxy-urilor, trebuie instalat același certificat rădăcină pe proxy și pe nodurile de securitate a datelor hibride.

                                                                                                                                                  Modul de rezoluție DNS extern blocat (configurații proxy explicite)

                                                                                                                                                  Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează aspectul DNS și conectivitatea la cloudul Cisco Webex. În implementările cu configurații proxy explicite care nu permit rezoluția DNS externă pentru clienții interni, dacă nodul nu poate interoga serverele DNS, acesta intră automat în modul de Rezoluție DNS Externă Blocată. În acest mod, pot continua testele de înregistrare a nodurilor și alte teste de conectivitate proxy.

                                                                                                                                                  Pregătiți-vă mediul

                                                                                                                                                  Cerințe privind securitatea datelor hibride

                                                                                                                                                  Cerințe de licență Cisco Webex

                                                                                                                                                  Pentru implementarea securității datelor hibride:

                                                                                                                                                  Cerințe Docker Desktop

                                                                                                                                                  Înainte de a instala nodurile HDS, aveți nevoie de Docker Desktop pentru a rula un program de configurare. Docker și-a actualizat recent modelul de licențiere. Este posibil ca organizația dvs. să necesite un abonament cu plată pentru Docker Desktop. Pentru detalii, consultați postarea de pe blogul Docker, " Docker actualizează și extinde abonamentele noastre la produse ".

                                                                                                                                                  X.509 Cerințe privind certificatul

                                                                                                                                                  Lanțul certificatului trebuie să îndeplinească următoarele cerințe:

                                                                                                                                                  Tabelul 1. Cerințe de certificare X.509 pentru implementarea securității datelor hibride

                                                                                                                                                  Obligatoriu

                                                                                                                                                  Detalii

                                                                                                                                                  • Semnată de o autoritate de certificare de încredere (CA)

                                                                                                                                                  În mod implicit, avem încredere în CA-urile din lista Mozilla (cu excepția WoSign și StartCom) la https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Poartă un nume de domeniu comun (CN) care identifică implementarea securității datelor hibride

                                                                                                                                                  • Nu este un certificat de carte de vizită

                                                                                                                                                  CN-ul nu trebuie să fie accesibil sau o gazdă live. Vă recomandăm să utilizați un nume care reflectă organizația dvs., de exemplu, hds.company.com.

                                                                                                                                                  CN nu trebuie să conțină un * (wildcard).

                                                                                                                                                  CN este utilizat pentru a verifica nodurile de securitate a datelor hibride pentru clienții Aplicației Webex. Toate nodurile de securitate a datelor hibride din clusterul dvs. utilizează același certificat. KMS-ul se identifică utilizând domeniul CN, nu orice domeniu care este definit în câmpurile SAN x.509v3.

                                                                                                                                                  După ce ați înregistrat un nod cu acest certificat, nu acceptăm schimbarea numelui domeniului CN. Alegeți un domeniu care se poate aplica atât implementărilor de încercare, cât și implementărilor de producție.

                                                                                                                                                  • Semnătură non-SHA1

                                                                                                                                                  Software-ul KMS nu acceptă semnăturile SHA1 pentru validarea conexiunilor la KMSs ale altor organizații.

                                                                                                                                                  • Format ca fișier PKCS #12 protejat prin parolă

                                                                                                                                                  • Utilizați numele prietenos al kms-private-key pentru a eticheta certificatul, cheia privată și orice certificate intermediare pentru a încărca.

                                                                                                                                                  Puteți utiliza un convertor, cum ar fi OpenSSL pentru a schimba formatul certificatului.

                                                                                                                                                  Va trebui să introduceți parola atunci când rulați Instrumentul de configurare HDS.

                                                                                                                                                  Software-ul KMS nu impune utilizarea cheii sau restricții extinse de utilizare a cheii. Unele autorități de certificare impun aplicarea unor restricții extinse de utilizare a cheilor pentru fiecare certificat, cum ar fi autentificarea serverului. Este în regulă să utilizați autentificarea serverului sau alte setări.

                                                                                                                                                  Cerințe Gazdă virtuală

                                                                                                                                                  Gazdele virtuale pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. au următoarele cerințe:

                                                                                                                                                  • Cel puțin două gazde separate (3 recomandate) plasate în același centru de date securizat

                                                                                                                                                  • VMware ESXi 6.5 (sau mai târziu) instalat și rulează.


                                                                                                                                                     

                                                                                                                                                    Trebuie să faceți upgrade dacă aveți o versiune anterioară a ESXi.

                                                                                                                                                  • Minim 4 vCPU-uri, 8-GB memorie principală, 30-GB spațiu pe hard disk local pe server

                                                                                                                                                  Cerințe server bază de date


                                                                                                                                                   

                                                                                                                                                  Creați o nouă bază de date pentru stocarea cheilor. Nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.

                                                                                                                                                  Există două opțiuni pentru serverul de baze de date. Cerințele pentru fiecare sunt după cum urmează:

                                                                                                                                                  Tabelul 2. Cerințe server bază de date în funcție de tipul de bază de date

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  • PostgreSQL 14, 15 sau 16, instalat și în funcțiune.

                                                                                                                                                  • Server SQL 2016, 2017 sau 2019 (Enterprise sau Standard) instalat.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 necesită pachetul de servicii 2 și actualizarea cumulativă 2 sau mai târziu.

                                                                                                                                                  Minim 8 vCPU-uri, 16-GB de memorie principală, suficient spațiu pe hard disk și monitorizare pentru a se asigura că nu este depășit (2-TB recomandat dacă doriți să rulați baza de date pentru o lungă perioadă de timp, fără a fi nevoie de a crește spațiul de stocare)

                                                                                                                                                  Minim 8 vCPU-uri, 16-GB de memorie principală, suficient spațiu pe hard disk și monitorizare pentru a se asigura că nu este depășit (2-TB recomandat dacă doriți să rulați baza de date pentru o lungă perioadă de timp, fără a fi nevoie de a crește spațiul de stocare)

                                                                                                                                                  Software-ul HDS instalează în prezent următoarele versiuni de drivere pentru comunicarea cu serverul bazei de date:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  Șofer JDBC Postgres 42.2.5

                                                                                                                                                  Driver JDBC SQL Server 4.6

                                                                                                                                                  Această versiune a driverului acceptă SQL Server întotdeauna activat (întotdeauna pe instanțe de cluster nereușite și întotdeauna pe grupuri de disponibilitate).

                                                                                                                                                  Cerințe suplimentare pentru autentificarea Windows împotriva Microsoft SQL Server

                                                                                                                                                  Dacă doriți ca nodurile HDS să utilizeze autentificarea Windows pentru a obține acces la baza dvs. de date Keystore pe Microsoft SQL Server, atunci aveți nevoie de următoarea configurație în mediul dvs.:

                                                                                                                                                  • Nodurile HDS, infrastructura Active Directory și serverul MS SQL trebuie sincronizate cu NTP.

                                                                                                                                                  • Contul Windows pe care îl furnizați nodurilor HDS trebuie să aibă acces citit/scris la baza de date.

                                                                                                                                                  • Serverele DNS pe care le furnizați nodurilor HDS trebuie să poată rezolva Centrul dvs. de distribuție a cheilor (KDC).

                                                                                                                                                  • Puteți înregistra instanța bazei de date HDS pe serverul dvs. Microsoft SQL ca nume principal al serviciului (SPN) în directorul dvs. activ. Consultați Înregistrarea unui nume principal de serviciu pentru conexiunile Kerberos.

                                                                                                                                                    Instrumentul de configurare HDS, lansatorul HDS și KMS local trebuie să utilizeze autentificarea Windows pentru a accesa baza de date Keystore. Ei folosesc detaliile din configurația ISO pentru a construi SPN atunci când solicită acces cu autentificarea Kerberos.

                                                                                                                                                  Cerințe de conectivitate externă

                                                                                                                                                  Configurați firewall-ul pentru a permite următoarea conectivitate pentru aplicațiile HDS:

                                                                                                                                                  Aplicație

                                                                                                                                                  Protocol

                                                                                                                                                  Port

                                                                                                                                                  Direcție din aplicație

                                                                                                                                                  Destinație

                                                                                                                                                  Noduri de securitate a datelor hibride

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS de ieșire și WSS

                                                                                                                                                  • Servere Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Toate gazdele de identitate comune

                                                                                                                                                  • Alte URL-uri care sunt listate pentru securitatea datelor hibride în tabelul URL-uri suplimentare pentru serviciile hibride Webex al cerințelor rețelei pentru serviciile Webex

                                                                                                                                                  Instrument de configurare HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS de ieșire

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Toate gazdele de identitate comune

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Nodurile de securitate a datelor hibride funcționează cu traducerea accesului la rețea (NAT) sau în spatele unui firewall, atâta timp cât NAT sau firewall permite conexiunile de ieșire necesare la destinațiile de domeniu din tabelul precedent. Pentru conexiunile care intră în nodurile de securitate a datelor hibride, niciun port nu trebuie să fie vizibil de pe internet. În cadrul centrului dvs. de date, clienții au nevoie de acces la nodurile de securitate a datelor hibride din porturile TCP 443 și 22, în scopuri administrative.

                                                                                                                                                  URL-urile gazdelor pentru identitatea comună (CI) sunt specifice regiunii. Acestea sunt gazdele actuale CI:

                                                                                                                                                  Regiune

                                                                                                                                                  URL-uri comune ale gazdei pentru identitate

                                                                                                                                                  Țările din America

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Uniunea Europeană

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Cerințe server proxy

                                                                                                                                                  • Sprijinim oficial următoarele soluții proxy care se pot integra cu nodurile dvs. de securitate a datelor hibride.

                                                                                                                                                  • Acceptăm următoarele combinații de tip autentificare pentru proxy-uri explicite:

                                                                                                                                                    • Nicio autentificare cu HTTP sau HTTPS

                                                                                                                                                    • Autentificare de bază cu HTTP sau HTTPS

                                                                                                                                                    • Autentificare Digest numai cu HTTPS

                                                                                                                                                  • Pentru un proxy de inspecție transparent sau un proxy explicit HTTPS, trebuie să aveți o copie a certificatului rădăcină al proxy-ului. Instrucțiunile de implementare din acest ghid vă spun cum să încărcați copia în magazinele de încredere ale nodurilor de securitate a datelor hibride.

                                                                                                                                                  • Rețeaua care găzduiește nodurile HDS trebuie să fie configurată pentru a forța traficul TCP de ieșire în portul 443 să se deplaseze prin proxy.

                                                                                                                                                  • Proxy-urile care inspectează traficul web pot interfera cu conexiunile socket-urilor web. Dacă apare această problemă, ocolirea (nu inspectarea) traficului la wbx2.com și ciscospark.com va rezolva problema.

                                                                                                                                                  Completați cerințele preliminare pentru securitatea datelor hibride

                                                                                                                                                  Utilizați această listă de verificare pentru a vă asigura că sunteți gata să instalați și să configurați clusterul de securitate a datelor hibride.
                                                                                                                                                  1

                                                                                                                                                  Asigurați-vă că organizația dvs. Webex este activată pentru pachetul Pro pentru Cisco Webex Control Hub și obțineți acreditările unui cont cu drepturi depline de administrator al organizației. Contactați-vă partenerul Cisco sau managerul de cont pentru ajutor în acest proces.

                                                                                                                                                  2

                                                                                                                                                  Alegeți un nume de domeniu pentru implementarea HDS (de exemplu, hds.company.com) și să obțină un lanț de certificate care conține un certificat X.509, cheie privată și orice certificate intermediare. Lanțul certificatului trebuie să îndeplinească cerințele din Cerințele de certificare X.509.

                                                                                                                                                  3

                                                                                                                                                  Pregătiți gazdele virtuale identice pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. Aveți nevoie de cel puțin două gazde separate (3 recomandate) plasate în același centru de date securizat, care îndeplinesc cerințele din Cerințele Gazdei Virtuale.

                                                                                                                                                  4

                                                                                                                                                  Pregătiți serverul bazei de date care va acționa ca un magazin de date cheie pentru cluster, în conformitate cu cerințele serverului bazei de date. Serverul bazei de date trebuie să fie plasat în centrul de date securizat cu gazdele virtuale.

                                                                                                                                                  1. Creați o bază de date pentru stocarea tastelor. (Trebuie să creați această bază de date—nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.)

                                                                                                                                                  2. Colectați detaliile pe care nodurile le vor utiliza pentru a comunica cu serverul bazei de date:

                                                                                                                                                    • numele gazdei sau adresa IP (gazda) și portul

                                                                                                                                                    • numele bazei de date (dbname) pentru stocarea cheilor

                                                                                                                                                    • numele de utilizator și parola unui utilizator cu toate privilegiile din baza de date de stocare cu tastatură

                                                                                                                                                  5

                                                                                                                                                  Pentru recuperarea rapidă a dezastrelor, configurați un mediu de rezervă într-un alt centru de date. Mediul de rezervă reflectă mediul de producție al VMs și un server de baze de date de rezervă. De exemplu, dacă producția are 3 VMs care rulează noduri HDS, mediul de rezervă ar trebui să aibă 3 VMs.

                                                                                                                                                  6

                                                                                                                                                  Configurați o gazdă syslog pentru a colecta jurnale de la nodurile din cluster. Aduna adresa de rețea și portul syslog (implicit este UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Creați o politică de rezervă securizată pentru nodurile de securitate a datelor hibride, serverul bazei de date și gazda syslog. Cel puțin, pentru a preveni pierderea de date nerecuperabile, trebuie să salvați baza de date și fișierul ISO de configurare generat pentru nodurile de securitate a datelor hibride.


                                                                                                                                                   

                                                                                                                                                  Deoarece nodurile de securitate a datelor hibride stochează cheile utilizate în criptarea și decriptarea conținutului, nemenținerea unei implementări operaționale va duce la PIERDEREA NERECUPERABILĂ a conținutului respectiv.

                                                                                                                                                  Clienții Aplicației Webex își ascund cheile, astfel încât este posibil ca o întrerupere să nu fie vizibilă imediat, dar va deveni evidentă în timp. În timp ce ieșirile temporare sunt imposibil de prevenit, acestea sunt recuperabile. Cu toate acestea, pierderea completă (fără backup-uri disponibile) a bazei de date sau a fișierului ISO de configurare va duce la date client nerecuperabile. Operatorii nodurilor de securitate a datelor hibride se așteaptă să mențină backup-uri frecvente ale bazei de date și ale fișierului ISO de configurare și să fie pregătiți să reconstruiască centrul de date de securitate a datelor hibride în cazul în care apare un eșec catastrofal.

                                                                                                                                                  8

                                                                                                                                                  Asigurați-vă că configurația firewall-ului dvs. permite conectivitatea pentru nodurile dvs. de securitate a datelor hibride, astfel cum sunt prezentate în cerințele de conectivitate externă.

                                                                                                                                                  9

                                                                                                                                                  Instalați Docker ( https://www.docker.com) pe orice mașină locală care rulează un sistem de operare acceptat (Microsoft Windows 10 Professional sau Enterprise pe 64 de biți sau Mac OSX Yosemite 10.10.3 sau mai sus) cu un browser web care îl poate accesa la http://127.0.0.1:8080.

                                                                                                                                                  Utilizați instanța Docker pentru a descărca și rula Instrumentul de configurare HDS, care construiește informațiile de configurare locale pentru toate nodurile de securitate a datelor hibride. Este posibil ca organizația dvs. să aibă nevoie de o licență Docker Desktop. Consultați Cerințele Docker Desktop pentru mai multe informații.

                                                                                                                                                  Pentru a instala și rula Instrumentul de configurare HDS, utilajul local trebuie să aibă conectivitatea descrisă în Cerințele de conectivitate externă.

                                                                                                                                                  10

                                                                                                                                                  Dacă integrați un proxy cu securitatea datelor hibride, asigurați-vă că îndeplinește Cerințele serverului proxy.

                                                                                                                                                  11

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului, creați un grup în Active Directory numit HdsTrialGroup, și adăugați utilizatori pilot. Grupul de încercare poate avea până la 250 de utilizatori. Fișierul HdsTrialGroup obiectul trebuie să fie sincronizat în cloud înainte de a putea iniția o încercare pentru organizația dvs. Pentru a sincroniza un obiect de grup, selectați-l în Directory Connector Configurare > Meniu Selecție obiect. (Pentru instrucțiuni detaliate, consultați Ghidul de implementare pentru Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Tastele pentru un anumit spațiu sunt stabilite de creatorul spațiului. Atunci când selectați utilizatori pilot, rețineți că, dacă decideți să dezactivați definitiv implementarea securității datelor hibride, toți utilizatorii pierd accesul la conținut în spațiile create de utilizatorii pilot. Pierderea devine evidentă imediat ce aplicațiile utilizatorilor își reîmprospătează copiile cache ale conținutului.

                                                                                                                                                  Configurarea unui cluster de securitate a datelor hibride

                                                                                                                                                  Flux sarcină de implementare a securității datelor hibride

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Pregătiți-vă mediul

                                                                                                                                                  1

                                                                                                                                                  Descărcați fișierele de instalare

                                                                                                                                                  Descărcați fișierul OVA la utilajul local pentru utilizare ulterioară.

                                                                                                                                                  2

                                                                                                                                                  Creați un ISO de configurare pentru gazdele HDS

                                                                                                                                                  Utilizați instrumentul de configurare HDS pentru a crea un fișier de configurare ISO pentru nodurile de securitate a datelor hibride.

                                                                                                                                                  3

                                                                                                                                                  Instalați gazda HDS OVA

                                                                                                                                                  Creați o mașină virtuală din fișierul OVA și efectuați configurația inițială, cum ar fi setările de rețea.


                                                                                                                                                   

                                                                                                                                                  Opțiunea de configurare a setărilor de rețea în timpul implementării OVA a fost testată cu ESXi 6.5. Este posibil ca opțiunea să nu fie disponibilă în versiunile anterioare.

                                                                                                                                                  4

                                                                                                                                                  Configurați VM-ul de securitate a datelor hibride

                                                                                                                                                  Conectați-vă la consola VM și setați acreditările de conectare. Configurați setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.

                                                                                                                                                  5

                                                                                                                                                  Încărcați și montați ISO de configurare HDS

                                                                                                                                                  Configurați VM din fișierul de configurare ISO pe care l-ați creat cu instrumentul de configurare HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurați nodul HDS pentru integrarea proxy

                                                                                                                                                  Dacă mediul de rețea necesită configurare proxy, specificați tipul de proxy pe care îl veți utiliza pentru nod și adăugați certificatul proxy la magazinul de încredere, dacă este necesar.

                                                                                                                                                  7

                                                                                                                                                  Înregistrați primul nod în cluster

                                                                                                                                                  Înregistrați VM cu cloudul Cisco Webex ca nod de securitate a datelor hibrid.

                                                                                                                                                  8

                                                                                                                                                  Creați și înregistrați mai multe noduri

                                                                                                                                                  Finalizați configurarea clusterului.

                                                                                                                                                  9

                                                                                                                                                  Efectuați un proces și mutați-vă la producție (capitolul următor)

                                                                                                                                                  Până când începeți o încercare, nodurile dvs. generează o alarmă care indică faptul că serviciul dvs. nu este încă activat.

                                                                                                                                                  Descărcați fișierele de instalare

                                                                                                                                                  În această sarcină, descărcați un fișier OVA pe mașina dvs. (nu pe serverele pe care le-ați configurat ca noduri de securitate a datelor hibride). Utilizați acest fișier mai târziu în procesul de instalare.
                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la https://admin.webex.comși apoi faceți clic pe Servicii.

                                                                                                                                                  2

                                                                                                                                                  În secțiunea Servicii hibride, găsiți cardul de securitate a datelor hibride, apoi faceți clic pe Configurare.

                                                                                                                                                  Dacă cardul este dezactivat sau nu îl vedeți, contactați echipa de cont sau organizația parteneră. Dați-le numărul contului dvs. și solicitați să activați organizația dvs. pentru securitatea datelor hibride. Pentru a găsi numărul contului, faceți clic pe dispozitivul din dreapta sus, lângă numele organizației dvs.


                                                                                                                                                   

                                                                                                                                                  De asemenea, puteți descărca OVA în orice moment din secțiunea Ajutor de pe pagina Setări . Pe cardul de securitate a datelor hibride, faceți clic pe Editare setări pentru a deschide pagina. Atunci, faceți clic pe Descărcați software-ul de securitate a datelor hibride în secțiunea Ajutor .


                                                                                                                                                   

                                                                                                                                                  Versiunile mai vechi ale pachetului software (OVA) nu vor fi compatibile cu cele mai recente upgrade-uri de securitate a datelor hibride. Acest lucru poate duce la probleme în timp ce actualizarea aplicației. Asigurați-vă că descărcați cea mai recentă versiune a fișierului OVA.

                                                                                                                                                  3

                                                                                                                                                  Selectați Nu pentru a indica faptul că nu ați configurat încă nodul, apoi faceți clic pe Înainte.

                                                                                                                                                  Fișierul OVA începe automat să se descarce. Salvați fișierul într-o locație de pe utilajul dvs.
                                                                                                                                                  4

                                                                                                                                                  Opțional, faceți clic pe Deschidere Ghid de implementare pentru a verifica dacă există o versiune ulterioară a acestui ghid disponibil.

                                                                                                                                                  Creați un ISO de configurare pentru gazdele HDS

                                                                                                                                                  Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi utilizați ISO pentru a configura gazda dvs. de securitate a datelor hibride.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Instrumentul de configurare HDS rulează ca container Docker pe un computer local. Pentru a-l accesa, rulați Docker pe acel computer. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi complete de administrator pentru organizația dvs.

                                                                                                                                                    Dacă instrumentul de configurare HDS rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin variabilele de mediu Docker atunci când ridicați containerul Docker în pasul 5. Acest tabel oferă câteva variabile de mediu posibile:

                                                                                                                                                    Descriere

                                                                                                                                                    Variabilă

                                                                                                                                                    Proxy HTTP fără autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS fără autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTP cu autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS cu autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Fișierul de configurare ISO pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier oricând efectuați modificări de configurare, cum ar fi acestea:

                                                                                                                                                    • Informații bază de date

                                                                                                                                                    • Actualizări certificat

                                                                                                                                                    • Modificări ale politicii de autorizare

                                                                                                                                                  • Dacă intenționați să criptați conexiunile la baza de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

                                                                                                                                                  1

                                                                                                                                                  În linia de comandă a computerului dvs., introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                  În medii obișnuite:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  În mediile FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.

                                                                                                                                                  2

                                                                                                                                                  Pentru a vă conecta la registry de imagini Docker, introduceți următoarele:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  La solicitarea parolei, introduceți acest hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Descărcați cea mai recentă imagine stabilă pentru mediul dvs.:

                                                                                                                                                  În medii obișnuite:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  În mediile FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                  • În mediile obișnuite fără un proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • În mediile obișnuite cu un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • În mediile obișnuite cu un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • În mediile FedRAMP fără un proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • În mediile FedRAMP cu un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • În mediile FedRAMP cu un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Când containerul rulează, veți vedea „Serverul Express ascultând pe portul 8080”.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală.

                                                                                                                                                  Utilizați un browser web pentru a merge la gazda locală, http://127.0.0.1:8080, și introduceți numele de utilizator al administratorului clientului pentru Control Hub la prompt.

                                                                                                                                                  Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul adecvat pentru acel cont. Instrumentul afișează apoi apelul standard de conectare.

                                                                                                                                                  7

                                                                                                                                                  Când vi se solicită, introduceți acreditările de conectare ale administratorului clientului Control Hub, apoi faceți clic pe Conectare pentru a permite accesul la serviciile necesare pentru securitatea datelor hibride.

                                                                                                                                                  8

                                                                                                                                                  Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Get Started.

                                                                                                                                                  9

                                                                                                                                                  Pe pagina ISO Import aveți aceste opțiuni:

                                                                                                                                                  • Nu—Dacă creați primul nod HDS, nu aveți un fișier ISO pentru încărcare.
                                                                                                                                                  • Da—Dacă ați creat deja noduri HDS, apoi selectați fișierul ISO în navigare și încărcați-l.
                                                                                                                                                  10

                                                                                                                                                  Verificați dacă certificatul dvs. X.509 îndeplinește cerințele din Cerințele de certificare X.509.

                                                                                                                                                  • Dacă nu ați mai încărcat un certificat înainte, încărcați certificatul X.509, introduceți parola și faceți clic pe Continuare.
                                                                                                                                                  • Dacă certificatul dvs. este OK, faceți clic pe Continuare.
                                                                                                                                                  • Dacă certificatul dvs. a expirat sau doriți să îl înlocuiți, selectați Nu pentru Continuare utilizând lanțul certificatului HDS și cheia privată din ISO anterior?. Încărcați un nou certificat X.509, introduceți parola și faceți clic pe Continuare.
                                                                                                                                                  11

                                                                                                                                                  Introduceți adresa bazei de date și contul HDS pentru a accesa baza de date cu tastatură:

                                                                                                                                                  1. Selectați tipul bazei de date (PostgreSQL sau Microsoft SQL Server).

                                                                                                                                                    Dacă alegeți Microsoft SQL Server, primiți un câmp tip autentificare.

                                                                                                                                                  2. (Numai serverul Microsoft SQL) Selectați tipul dvs. de autentificare:

                                                                                                                                                    • Autentificare de bază: Aveți nevoie de un nume de cont SQL Server local în câmpul Nume de utilizator .

                                                                                                                                                    • Autentificare Windows: Aveți nevoie de un cont Windows în format username@DOMAIN în câmpul Nume utilizator .

                                                                                                                                                  3. Introduceți adresa serverului bazei de date în formular <hostname>:<port> sau <IP-address>:<port>.

                                                                                                                                                    Exemplu:
                                                                                                                                                    dbhost.example.org:1433 sau 198.51.100.17:1433

                                                                                                                                                    Puteți utiliza o adresă IP pentru autentificarea de bază, dacă nodurile nu pot utiliza DNS pentru a rezolva numele gazdei.

                                                                                                                                                    Dacă utilizați autentificarea Windows, trebuie să introduceți un nume de domeniu complet calificat în format dbhost.example.org:1433

                                                                                                                                                  4. Introduceți numele bazei de date.

                                                                                                                                                  5. Introduceți numele de utilizator și parola unui utilizator cu toate privilegiile din baza de date de stocare cu tastatură.

                                                                                                                                                  12

                                                                                                                                                  Selectați un mod de conectare la baza de date TLS:

                                                                                                                                                  Mod

                                                                                                                                                  Descriere

                                                                                                                                                  Prefer TLS (opțiune prestabilită)

                                                                                                                                                  Nodurile HDS nu necesită TLS pentru a se conecta la server bază de date de date . Dacă activați TLS pe serverul bazei de date, nodurile încearcă o conexiune criptată.

                                                                                                                                                  Solicită TLS

                                                                                                                                                  Nodurile HDS se conectează numai dacă server bază de date poate negocia TLS.

                                                                                                                                                  Solicită TLS și verifică semnatarul certificatului


                                                                                                                                                   

                                                                                                                                                  Acest mod nu se aplică bazelor de date SQL Server.

                                                                                                                                                  • Nodurile HDS se conectează numai dacă server bază de date poate negocia TLS.

                                                                                                                                                  • După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de pe serverul bazei de date cu autoritatea certificatului din certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul întrerupe conexiunea.

                                                                                                                                                  Utilizați certificat rădăcină bază de date de sub meniul drop-down pentru a încărca certificat rădăcină pentru această opțiune.

                                                                                                                                                  Solicită TLS și verifică semnatarul certificatului și numele gazdei

                                                                                                                                                  • Nodurile HDS se conectează numai dacă server bază de date poate negocia TLS.

                                                                                                                                                  • După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de pe serverul bazei de date cu autoritatea certificatului din certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul întrerupe conexiunea.

                                                                                                                                                  • Nodurile verifică, de asemenea, dacă numele gazdei din certificatul de server corespunde numelui gazdei din câmpul Gazdă bază de date și port . Numele trebuie să corespundă exact, sau nodul întrerupe conexiunea.

                                                                                                                                                  Utilizați certificat rădăcină bază de date de sub meniul drop-down pentru a încărca certificat rădăcină pentru această opțiune.

                                                                                                                                                  Când încărcați certificatul rădăcină (dacă este necesar) și faceți clic pe Continuare, instrumentul de configurare HDS testează conexiunea TLS la serverul bazei de date. Instrumentul verifică, de asemenea, semnatarul certificatului și numele gazdei, dacă este cazul. Dacă un test eșuează, instrumentul afișează un mesaj de eroare care descrie problema. Puteți alege să ignorați eroarea și să continuați configurarea. (Din cauza diferențelor de conectivitate, nodurile HDS ar putea fi capabile să stabilească conexiunea TLS, chiar dacă utilajul Instrumentului de configurare HDS nu o poate testa cu succes.)

                                                                                                                                                  13

                                                                                                                                                  Pe pagina Jurnale de sistem, configurați serverul Syslogd:

                                                                                                                                                  1. Introduceți URL-ul serverului syslog.

                                                                                                                                                    Dacă serverul nu poate fi rezolvat prin DNS din nodurile clusterului dvs. HDS, utilizați o adresă IP în URL.

                                                                                                                                                    Exemplu:
                                                                                                                                                    udp://10.92.43.23:514 indică conectarea la gazda Syslogd 10.92.43.23 pe portul UDP 514.
                                                                                                                                                  2. Dacă configurați serverul pentru a utiliza criptarea TLS, verificați dacă este configurat serverul syslog pentru criptarea SSL?.

                                                                                                                                                    Dacă bifați această casetă de selectare, asigurați-vă că introduceți un URL TCP, cum ar fi tcp://10.92.43.23:514.

                                                                                                                                                  3. Din lista derulantă Choose syslog record termination , alegeți setarea potrivită pentru fișierul dvs. ISO: Alegerea sau linia nouă este utilizată pentru Graylog și Rsyslog TCP

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Newline -- \n—Selectați această opțiune pentru Graylog și Rsyslog TCP.

                                                                                                                                                  4. Faceți clic pe Continuați.

                                                                                                                                                  14

                                                                                                                                                  (Opțional) Puteți modifica valoarea implicită a unor parametri de conexiune la baza de date în Setări avansate. În general, acest parametru este singurul pe care s-ar putea dori să-l modificați:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Faceți clic pe Continuare pe ecranul Resetare Conturi serviciu Parolă .

                                                                                                                                                  Parolele contului de serviciu au o durată de viață de nouă luni. Utilizați acest ecran atunci când parolele dvs. se apropie de expirare sau doriți să le resetați pentru a dezactiva fișierele ISO anterioare.

                                                                                                                                                  16

                                                                                                                                                  Faceți clic pe Descărcați fișierul ISO. Salvați fișierul într-o locație ușor de găsit.

                                                                                                                                                  17

                                                                                                                                                  Efectuați o copie de rezervă a fișierului ISO pe sistemul local.

                                                                                                                                                  Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare.

                                                                                                                                                  18

                                                                                                                                                  Pentru a închide instrumentul de configurare, tastați CTRL+C.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Backup fișierul ISO de configurare. Aveți nevoie de ea pentru a crea mai multe noduri pentru recuperare, sau pentru a face modificări de configurare. Dacă pierdeți toate copiile fișierului ISO, ați pierdut, de asemenea, cheia principală. Recuperarea tastelor din baza de date PostgreSQL sau Microsoft SQL Server nu este posibilă.


                                                                                                                                                   

                                                                                                                                                  Nu avem niciodată o copie a acestei chei și nu poate ajuta dacă îl pierzi.

                                                                                                                                                  Instalați gazda HDS OVA

                                                                                                                                                  Utilizați această procedură pentru a crea o mașină virtuală din fișierul OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilizați clientul VMware vSphere de pe computer pentru a vă conecta la gazda virtuală ESXi.

                                                                                                                                                  2

                                                                                                                                                  Selectați Fișier > Implementați șablonul OVF.

                                                                                                                                                  3

                                                                                                                                                  În expert, specificați locația fișierului OVA pe care l-ați descărcat mai devreme, apoi faceți clic pe În continuare.

                                                                                                                                                  4

                                                                                                                                                  Pe Selectați un nume și un folder pagină , introduceți o Nume mașină virtuală pentru nod (de exemplu, „HDS_Node_1”), alegeți o locație în care se poate afla implementarea nodului mașinii virtuale, apoi faceți clic pe În continuare.

                                                                                                                                                  5

                                                                                                                                                  Pe Selectați o resursă de calcul pagină , alegeți resursa de calcul destinație, apoi faceți clic pe În continuare.

                                                                                                                                                  O verificare de validare se execută. După ce se termină, apar detaliile șablonului.

                                                                                                                                                  6

                                                                                                                                                  Verificați detaliile șablonului și apoi faceți clic pe Înainte.

                                                                                                                                                  7

                                                                                                                                                  Dacă vi se solicită să alegeți configurația de resurse de pe Configurare pagină , faceți clic pe 4 CPU apoi faceți clic pe În continuare.

                                                                                                                                                  8

                                                                                                                                                  Pe Selectați spațiul de stocare pagină , faceți clic pe În continuare pentru a accepta formatul implicit al discului și politica de stocare VM.

                                                                                                                                                  9

                                                                                                                                                  Pe Selectați rețelele pagină, alege opțiunea de rețea din lista de intrări pentru a oferi conexiunea dorită la VM.

                                                                                                                                                  10

                                                                                                                                                  Pe pagina Personalizați șablonul , configurați următoarele setări ale rețelei:

                                                                                                                                                  • Nume gazdă—Introduceți FQDN (nume de gazdă și domeniu) sau un singur cuvânt nume de gazdă pentru nod.

                                                                                                                                                     
                                                                                                                                                    • Nu este necesar să setați domeniul pentru a se potrivi domeniului pe care l-ați utilizat pentru a obține certificatul X.509.

                                                                                                                                                    • Pentru a vă asigura că vă înregistrați cu succes în cloud, utilizați numai caractere din FQDN sau numele gazdei pe care le-ați setat pentru nod. Capitalizarea nu este acceptată în acest moment.

                                                                                                                                                    • Lungimea totală a FQDN nu trebuie să depășească 64 de caractere.

                                                                                                                                                  • Adresă IP— Introduceți adresa IP pentru interfața internă a nodului.

                                                                                                                                                     

                                                                                                                                                    Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat.

                                                                                                                                                  • Mască—Introduceți adresa măștii subnet în notația punct-zecimală. De exemplu, 255.255.255.0.
                                                                                                                                                  • Gateway—Introduceți adresa IP a gateway-ului. Un gateway este un nod de rețea care servește ca punct de acces la o altă rețea.
                                                                                                                                                  • Servere DNS—Introduceți o listă de servere DNS separate prin virgulă, care se ocupă cu traducerea numelor de domenii către adrese IP numerice. (Sunt permise până la 4 intrări DNS.)
                                                                                                                                                  • Servere NTP—Introduceți serverul NTP al organizației dvs. sau un alt server NTP extern care poate fi utilizat în organizația dvs. Serverele NTP implicite nu pot funcționa pentru toate întreprinderile. De asemenea, puteți utiliza o listă separată prin virgulă pentru a introduce mai multe servere NTP.
                                                                                                                                                  • Implementați toate nodurile din aceeași subrețea sau VLAN, astfel încât toate nodurile dintr-un cluster să poată fi accesate de clienții din rețeaua dvs. în scopuri administrative.

                                                                                                                                                  Dacă preferați, puteți sări peste configurația de setare a rețelei și puteți urma pașii din Configurați VM-ul de securitate a datelor hibride pentru a configura setările din consola nodului.


                                                                                                                                                   

                                                                                                                                                  Opțiunea de configurare a setărilor de rețea în timpul implementării OVA a fost testată cu ESXi 6.5. Este posibil ca opțiunea să nu fie disponibilă în versiunile anterioare.

                                                                                                                                                  11

                                                                                                                                                  Faceți clic dreapta pe nodul VM, apoi alegeți Alimentare > Pornire.

                                                                                                                                                  Software-ul de securitate a datelor hibride este instalat ca invitat pe Gazda VM. Acum sunteți gata să vă conectați la consolă și să configurați nodul.

                                                                                                                                                  Sfaturi pentru depanare

                                                                                                                                                  Este posibil să aveți o întârziere de câteva minute înainte de apariția containerelor de nod. Un mesaj de firewall de legătură apare pe consolă în timpul primei boot-ări, în timpul căreia nu vă puteți conecta.

                                                                                                                                                  Configurați VM-ul de securitate a datelor hibride

                                                                                                                                                  Utilizați această procedură pentru a vă conecta pentru prima dată la consola VM a nodului de securitate a datelor hibride și pentru a seta acreditările de conectare. De asemenea, puteți utiliza consola pentru a configura setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.

                                                                                                                                                  1

                                                                                                                                                  În clientul VMware vSphere, selectați nodul de securitate a datelor hibride VM și selectați fila Console .

                                                                                                                                                  VM pornește în sus și apare un prompt de conectare. Dacă mesajul de conectare nu se afișează, apăsați Enter.
                                                                                                                                                  2

                                                                                                                                                  Utilizați următoarea conectare implicită și parola pentru a vă conecta și a modifica datele de autentificare:

                                                                                                                                                  1. Conectare: admin

                                                                                                                                                  2. Parolă: cisco

                                                                                                                                                  Deoarece vă conectați pentru prima dată la VM, trebuie să schimbați parola de administrator.

                                                                                                                                                  3

                                                                                                                                                  Dacă ați configurat deja setările de rețea în Instalați gazda HDS OVA, omiteți restul acestei proceduri. În caz contrar, în meniul principal, selectați opțiunea Editare configurație .

                                                                                                                                                  4

                                                                                                                                                  Configurați o configurație statică cu adresă IP, Mască, Gateway și informații DNS. Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat.

                                                                                                                                                  5

                                                                                                                                                  (Opțional) Modificați numele gazdei, domeniul sau serverul (serverele) NTP, dacă este necesar pentru a se potrivi cu politica de rețea.

                                                                                                                                                  Nu este necesar să setați domeniul pentru a se potrivi domeniului pe care l-ați utilizat pentru a obține certificatul X.509.

                                                                                                                                                  6

                                                                                                                                                  Salvați configurația de rețea și reporniți VM, astfel încât modificările să aibă efect.

                                                                                                                                                  Încărcați și montați ISO de configurare HDS

                                                                                                                                                  Utilizați această procedură pentru a configura mașina virtuală din fișierul ISO pe care l-ați creat cu instrumentul de configurare HDS.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Deoarece fișierul ISO deține cheia principală, acesta ar trebui să fie expus numai pe o bază „trebuie să știe”, pentru a fi accesat de către VM-urile de securitate a datelor hibride și de orice administratori care ar putea avea nevoie să facă modificări. Asigurați-vă că numai acei administratori pot accesa stația de date.

                                                                                                                                                  1

                                                                                                                                                  Încărcați fișierul ISO de pe computer:

                                                                                                                                                  1. În panoul de navigare din stânga al clientului VMware vSphere, faceţi clic pe serverul ESXi.

                                                                                                                                                  2. În lista Hardware a filei de configurare, faceți clic pe Storage (Depozitare).

                                                                                                                                                  3. În lista Datastores, faceți clic dreapta pe bara de date pentru VMs și faceți clic pe Browse Datastore.

                                                                                                                                                  4. Faceți clic pe pictograma Încărcare fișiere, apoi faceți clic pe Încărcare fișier.

                                                                                                                                                  5. Navigați la locația în care ați descărcat fișierul ISO pe computer și faceți clic pe Deschidere.

                                                                                                                                                  6. Faceți clic pe Da pentru a accepta avertismentul operațiunii de încărcare/descărcare și închideți dialogul cu stația de date.

                                                                                                                                                  2

                                                                                                                                                  Montați fișierul ISO:

                                                                                                                                                  1. În panoul de navigare din stânga al clientului VMware vSphere, da clic dreapta pe VM și faceți clic Editați setările .

                                                                                                                                                  2. Faceți clic pe OK pentru a accepta avertismentul privind opțiunile de editare restricționate.

                                                                                                                                                  3. Clic CD/DVD Drive 1, selectați opțiunea de montare dintr-un fișier ISO datastore și navigați la locația în care ați încărcat fișierul ISO de configurare.

                                                                                                                                                  4. Verificați Conectat și Conectat la putere.

                                                                                                                                                  5. Salvați modificările și reporniți mașina virtuală.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Dacă politica dvs. IT necesită, puteți dezinstala opțional fișierul ISO după ce toate nodurile dvs. preiau modificările de configurare. Consultați (Opțional) Dezasamblarea ISO după configurarea HDS pentru detalii.

                                                                                                                                                  Configurați nodul HDS pentru integrarea proxy

                                                                                                                                                  Dacă mediul de rețea necesită un proxy, utilizați această procedură pentru a specifica tipul de proxy pe care doriți să îl integrați cu securitatea datelor hibride. Dacă alegeți un proxy de inspecție transparent sau un proxy explicit HTTPS, puteți utiliza interfața nodului pentru a încărca și instala certificatul rădăcină. De asemenea, puteți verifica conexiunea proxy din interfață și puteți rezolva orice probleme potențiale.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  1

                                                                                                                                                  Introduceți URL-ul de configurare a nodului HDS https://[HDS Node IP or FQDN]/setup într-un browser web, introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.

                                                                                                                                                  2

                                                                                                                                                  Accesați Trust Store & Proxy, apoi alegeți o opțiune:

                                                                                                                                                  • Nu există proxy—Opțiunea implicită înainte de a integra un proxy. Nu este necesară nicio actualizare a certificatului.
                                                                                                                                                  • Proxy transparent fără inspecție- Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy și nu ar trebui să necesite nicio modificare pentru a lucra cu un proxy fără inspecție. Nu este necesară nicio actualizare a certificatului.
                                                                                                                                                  • Inspecție transparentă proxy- Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy. Nu sunt necesare modificări ale configurației HTTPS la implementarea securității datelor hibride, cu toate acestea, nodurile HDS au nevoie de un certificat rădăcină pentru a avea încredere în proxy. De obicei, proxy-urile de inspecție sunt utilizate de IT pentru a pune în aplicare politicile pe care site-urile pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).
                                                                                                                                                  • Proxy explicit—Cu proxy explicit, spuneți clientului (noduri HDS) ce server proxy să utilizeze, iar această opțiune acceptă mai multe tipuri de autentificare. După ce alegeți această opțiune, trebuie să introduceți următoarele informații:
                                                                                                                                                    1. IP proxy/FQDN—Adresă care poate fi utilizată pentru a ajunge la utilajul proxy.

                                                                                                                                                    2. Portul proxy—Un număr de port pe care proxy-ul îl folosește pentru a asculta traficul proxy.

                                                                                                                                                    3. Proxy Protocol—Alegeți http (vizualizează și controlează toate solicitările primite de la client) sau https (oferă un canal serverului, iar clientul primește și validează certificatul serverului). Alegeți o opțiune pe baza a ceea ce acceptă serverul proxy.

                                                                                                                                                    4. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:

                                                                                                                                                      • Niciuna – Nu este necesară autentificarea suplimentară.

                                                                                                                                                        Disponibil pentru proxy-uri HTTP sau HTTPS.

                                                                                                                                                      • De bază—Utilizat pentru un agent de utilizator HTTP pentru a furniza un nume de utilizator și o parolă atunci când efectuați o solicitare. Utilizează codificarea Base64.

                                                                                                                                                        Disponibil pentru proxy-uri HTTP sau HTTPS.

                                                                                                                                                        Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola.

                                                                                                                                                      • Digest—Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite în rețea.

                                                                                                                                                        Disponibil numai pentru proxy-uri HTTPS.

                                                                                                                                                        Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola.

                                                                                                                                                  Urmați pașii următori pentru un proxy de inspecție transparent, un proxy explicit HTTP cu autentificare de bază sau un proxy explicit HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Faceți clic pe Încărcați un certificat rădăcină sau un certificat de entitate finalizată, apoi navigați la o alegere a certificatului rădăcină pentru proxy.

                                                                                                                                                  Certificatul este încărcat, dar nu este încă instalat, deoarece trebuie să reporniți nodul pentru a instala certificatul. Faceți clic pe săgeata chevron după numele emitentului certificatului pentru a obține mai multe detalii sau faceți clic pe Ștergere dacă ați făcut o greșeală și doriți să reîncărcați fișierul.

                                                                                                                                                  4

                                                                                                                                                  Faceți clic pe Verificare conexiune proxy pentru a testa conectivitatea la rețea între nod și proxy.

                                                                                                                                                  Dacă testul conexiunii eșuează, veți vedea un mesaj de eroare care arată motivul și modul în care puteți corecta problema.

                                                                                                                                                  Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a reușit, nodul nu a putut ajunge la serverul DNS. Această condiție este de așteptat în multe configurații proxy explicite. Puteți continua cu configurarea, iar nodul va funcționa în modul de Rezoluție DNS Externă Blocată. Dacă credeți că aceasta este o eroare, completați acești pași și apoi consultați Dezactivarea modului de rezoluție DNS extern blocat.

                                                                                                                                                  5

                                                                                                                                                  După ce testul conexiunii trece, pentru proxy explicit setat numai la https, activați comutatorul pentru a Ruta toate solicitările de port 443/444 https din acest nod prin proxy explicit. Această setare necesită 15 secunde pentru a intra în vigoare.

                                                                                                                                                  6

                                                                                                                                                  Faceți clic pe Instalare toate certificatele în magazinul de încredere (apare pentru un proxy explicit HTTPS sau un proxy de inspecție transparent) sau Reporniți (apare pentru un proxy explicit HTTP), citiți mesajul și apoi faceți clic pe Instalare dacă sunteți pregătit.

                                                                                                                                                  Nodul repornește în câteva minute.

                                                                                                                                                  7

                                                                                                                                                  După repornirea nodului, conectați-vă din nou dacă este necesar, apoi deschideți pagina Prezentare generală pentru a verifica verificările de conectivitate pentru a vă asigura că toate sunt în stare verde.

                                                                                                                                                  Verificarea conexiunii proxy testează numai un subdomeniu al webex.com. Dacă există probleme de conectivitate, o problemă comună este că unele dintre domeniile cloud enumerate în instrucțiunile de instalare sunt blocate la proxy.

                                                                                                                                                  Înregistrați primul nod în cluster

                                                                                                                                                  Această sarcină preia nodul generic pe care l-ați creat în Configurarea VM-ului de securitate a datelor hibride, înregistrează nodul cu cloudul Webex și îl transformă într-un nod de securitate a datelor hibride.

                                                                                                                                                  Când vă înregistrați primul nod, creați un cluster căruia i se atribuie nodul. Un cluster conține unul sau mai multe noduri implementate pentru a oferi redundanță.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Odată ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți.

                                                                                                                                                  • Asigurați-vă că orice blocare pop-up din browser-ul dvs. este dezactivată sau că permiteți o excepție pentru admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Din meniul din partea stângă a ecranului, selectați Servicii.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Servicii hibride, găsiți Securitatea datelor hibride și faceți clic pe Configurare.

                                                                                                                                                  Apare pagina Nod de securitate a datelor hibride de înregistrare.
                                                                                                                                                  4

                                                                                                                                                  Selectați Da pentru a indica faptul că ați configurat nodul și sunteți gata să îl înregistrați, apoi faceți clic pe Înainte.

                                                                                                                                                  5

                                                                                                                                                  În primul câmp, introduceți un nume pentru clusterul la care doriți să alocați nodul dvs. de securitate a datelor hibride.

                                                                                                                                                  Vă recomandăm să denumiți un cluster bazat pe locul în care nodurile clusterului sunt localizate geografic. Exemple: "San Francisco" sau "New York" sau "Dallas"

                                                                                                                                                  6

                                                                                                                                                  În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Înainte.

                                                                                                                                                  Această adresă IP sau FQDN trebuie să corespundă adresei IP sau numelui gazdei și domeniului pe care l-ați utilizat în Configurarea VM-ului de securitate a datelor hibride.

                                                                                                                                                  Apare un mesaj care indică faptul că vă puteți înregistra nodul la Webex.
                                                                                                                                                  7

                                                                                                                                                  Faceți clic pe Du-te la Nod.

                                                                                                                                                  8

                                                                                                                                                  Faceți clic pe Continuare în mesajul de avertizare.

                                                                                                                                                  După câteva momente, sunteți redirecționat către testele de conectivitate la noduri pentru serviciile Webex. Dacă toate testele au succes, apare pagina Permiteți accesul la nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați permisiuni organizației dvs. Webex pentru a accesa nodul dvs.
                                                                                                                                                  9

                                                                                                                                                  Bifați caseta de selectare Permite accesul la nodul dvs. de securitate a datelor hibride , apoi faceți clic pe Continuare.

                                                                                                                                                  Contul dvs. este validat, iar mesajul „Înscriere completă” indică faptul că nodul dvs. este acum înregistrat în cloudul Webex.
                                                                                                                                                  10

                                                                                                                                                  Faceți clic pe link-ul sau închideți fila pentru a reveni la pagina de securitate a datelor hibride Control Hub.

                                                                                                                                                  Pe pagina Securitate datelor hibride, este afișat noul cluster care conține nodul pe care l-ați înregistrat. Nodul va descărca automat cel mai recent software din cloud.

                                                                                                                                                  Creați și înregistrați mai multe noduri

                                                                                                                                                  Pentru a adăuga noduri suplimentare în cluster, creați pur și simplu VMs suplimentare și montați același fișier ISO de configurare, apoi înregistrați nodul. Vă recomandăm să aveți cel puțin 3 noduri.

                                                                                                                                                   

                                                                                                                                                  În acest moment, VMs de rezervă pe care le-ați creat în Completați Condițiile prealabile pentru securitatea datelor hibride sunt gazde standby care sunt utilizate numai în caz de recuperare a dezastrelor; acestea nu sunt înregistrate la sistem până atunci. Pentru detalii, consultați Recuperarea dezastrelor utilizând Centrul de date standby.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Odată ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți.

                                                                                                                                                  • Asigurați-vă că orice blocare pop-up din browser-ul dvs. este dezactivată sau că permiteți o excepție pentru admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Creați o nouă mașină virtuală din OVA, repetând pașii din Instalați gazda HDS OVA.

                                                                                                                                                  2

                                                                                                                                                  Configurați configurația inițială pe noul VM, repetând pașii din Configurați VM-ul de securitate a datelor hibride.

                                                                                                                                                  3

                                                                                                                                                  Pe noul VM, repetați pașii din Încărcați și montați ISO de configurare HDS.

                                                                                                                                                  4

                                                                                                                                                  Dacă configurați un proxy pentru implementarea dvs., repetați pașii din Configurați nodul HDS pentru Integrare proxy după cum este necesar pentru noul nod.

                                                                                                                                                  5

                                                                                                                                                  Înregistrați nodul.

                                                                                                                                                  1. În https://admin.webex.com, selectați Servicii din meniul din partea stângă a ecranului.

                                                                                                                                                  2. În secțiunea Servicii hibride, găsiți cardul de securitate a datelor hibride și faceți clic pe Resurse.

                                                                                                                                                    Apare pagina Resurse de securitate a datelor hibride.
                                                                                                                                                  3. Faceți clic pe Adăugare resursă.

                                                                                                                                                  4. În primul câmp, selectați numele clusterului existent.

                                                                                                                                                  5. În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Înainte.

                                                                                                                                                    Apare un mesaj care indică faptul că vă puteți înregistra nodul în cloudul Webex.
                                                                                                                                                  6. Faceți clic pe Du-te la Nod.

                                                                                                                                                    După câteva momente, sunteți redirecționat către testele de conectivitate la noduri pentru serviciile Webex. Dacă toate testele au succes, apare pagina Permiteți accesul la nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați permisiuni organizației dvs. pentru a accesa nodul dvs.
                                                                                                                                                  7. Bifați caseta de selectare Permite accesul la nodul dvs. de securitate a datelor hibride , apoi faceți clic pe Continuare.

                                                                                                                                                    Contul dvs. este validat, iar mesajul „Înscriere completă” indică faptul că nodul dvs. este acum înregistrat în cloudul Webex.
                                                                                                                                                  8. Faceți clic pe link-ul sau închideți fila pentru a reveni la pagina de securitate a datelor hibride Control Hub.

                                                                                                                                                  Nodul dvs. este înregistrat. Rețineți că până când începeți o încercare, nodurile dvs. generează o alarmă care indică faptul că serviciul dvs. nu este încă activat.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Efectuați un proces și mutați-vă la producție (capitolul următor)
                                                                                                                                                  Efectuați un proces și mutați-vă la producție

                                                                                                                                                  Încercare la fluxul sarcinilor de producție

                                                                                                                                                  După ce ați configurat un cluster de securitate a datelor hibride, puteți iniția un pilot, puteți adăuga utilizatori la acesta și puteți începe să îl utilizați pentru testarea și verificarea implementării dvs. în vederea trecerii la producție.

                                                                                                                                                  1

                                                                                                                                                  Dacă este cazul, sincronizați HdsTrialGroup obiect de grup.

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați HdsTrialGroup obiectul de grup pentru sincronizare în cloud înainte de a putea începe o încercare. Pentru instrucțiuni, consultați Ghidul de implementare pentru Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Activați procesul

                                                                                                                                                  Începeți o încercare. Până când nu efectuați această sarcină, nodurile dvs. generează o alarmă care indică faptul că serviciul nu este încă activat.

                                                                                                                                                  3

                                                                                                                                                  Testați implementarea securității datelor hibride

                                                                                                                                                  Verificați dacă solicitările cheie trec la implementarea securității datelor hibride.

                                                                                                                                                  4

                                                                                                                                                  Monitorizarea sănătății securității datelor hibride

                                                                                                                                                  Verificați starea și configurați notificările prin e-mail pentru alarme.

                                                                                                                                                  5

                                                                                                                                                  Adăugați sau eliminați utilizatori din procesul dvs.

                                                                                                                                                  6

                                                                                                                                                  Finalizați faza de probă cu una dintre următoarele acțiuni:

                                                                                                                                                  Activați procesul

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați HdsTrialGroup obiectul de grup pentru sincronizare în cloud înainte de a putea iniția o încercare pentru organizația dvs. Pentru instrucțiuni, consultați Ghidul de implementare pentru Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la https://admin.webex.comși apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  Sub Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Stare serviciu, faceți clic pe Inițiere încercare.

                                                                                                                                                  Starea serviciului se modifică în modul de încercare.
                                                                                                                                                  4

                                                                                                                                                  Faceți clic pe Adăugare utilizatori și introduceți adresa de e-mail a unuia sau mai multor utilizatori pentru a pilot utilizând nodurile dvs. de securitate a datelor hibride pentru serviciile de criptare și indexare.

                                                                                                                                                  (Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory pentru a gestiona grupul de încercare, HdsTrialGroup.)

                                                                                                                                                  Testați implementarea securității datelor hibride

                                                                                                                                                  Utilizați această procedură pentru a testa scenariile de criptare a securității datelor hibride.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Configurați implementarea securității datelor hibride.

                                                                                                                                                  • Activați procesul și adăugați mai mulți utilizatori de proces.

                                                                                                                                                  • Asigurați-vă că aveți acces la syslog pentru a verifica dacă solicitările cheie trec la implementarea securității datelor hibride.

                                                                                                                                                  1

                                                                                                                                                  Tastele pentru un anumit spațiu sunt stabilite de creatorul spațiului. Conectați-vă la Aplicația Webex ca unul dintre utilizatorii pilot, apoi creați un spațiu și invitați cel puțin un utilizator pilot și un utilizator non-pilot.


                                                                                                                                                   

                                                                                                                                                  Dacă dezactivați implementarea securității datelor hibride, conținutul din spațiile pe care utilizatorii pilot le creează nu mai este accesibil după ce copiile în cache ale cheilor de criptare sunt înlocuite.

                                                                                                                                                  2

                                                                                                                                                  Trimiteți mesaje către noul spațiu.

                                                                                                                                                  3

                                                                                                                                                  Verificați ieșirea syslog pentru a verifica dacă solicitările cheie trec la implementarea securității datelor hibride.

                                                                                                                                                  1. Pentru a verifica dacă un utilizator stabilește mai întâi un canal securizat la KMS, filtrați pe kms.data.method=create și kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Ar trebui să găsiți o intrare, cum ar fi următoarele (identificatori scurtați pentru lizibilitate):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Pentru a verifica dacă un utilizator solicită o cheie existentă din KMS, filtrați pe kms.data.method=retrieve și kms.data.type=KEY:

                                                                                                                                                    Trebuie să găsiți o intrare, cum ar fi:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Pentru a verifica dacă un utilizator solicită crearea unei noi chei KMS, filtrați pe kms.data.method=create și kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Trebuie să găsiți o intrare, cum ar fi:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Pentru a verifica dacă un utilizator solicită crearea unui nou obiect de resurse KMS (KRO) atunci când este creat un spațiu sau o altă resursă protejată, filtrați pe kms.data.method=create și kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Trebuie să găsiți o intrare, cum ar fi:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitorizarea sănătății securității datelor hibride

                                                                                                                                                  Un indicator de stare din Control Hub vă arată dacă totul este bine cu implementarea securității datelor hibride. Pentru o alertare mai proactivă, înscrieți-vă pentru notificări prin e-mail. Veți fi notificat atunci când există alarme sau upgrade-uri de software care afectează serviciul.
                                                                                                                                                  1

                                                                                                                                                  În Control Hub, selectați Servicii din meniul din partea stângă a ecranului.

                                                                                                                                                  2

                                                                                                                                                  În secțiunea Servicii hibride, găsiți Securitatea datelor hibride și faceți clic pe Setări.

                                                                                                                                                  Apare pagina Setări securitate date hibride.
                                                                                                                                                  3

                                                                                                                                                  În secțiunea Notificări prin e-mail, tastați una sau mai multe adrese de e-mail separate prin virgule și apăsați Enter.

                                                                                                                                                  Adăugați sau eliminați utilizatori din procesul dvs.

                                                                                                                                                  După ce ați activat un trial și ați adăugat setul inițial de utilizatori de trial, puteți adăuga sau elimina membri de trial în orice moment în timp ce procesul este activ.

                                                                                                                                                  Dacă eliminați un utilizator din trial, clientul utilizatorului va solicita chei și crearea de taste din KMS cloud în loc de KMS dvs. Dacă clientul are nevoie de o cheie stocată pe KMS-ul dvs., KMS-ul cloud o va prelua în numele utilizatorului.

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory (în loc de această procedură) pentru a gestiona grupul de încercare, HdsTrialGroup; puteți vizualiza membrii grupului din Control Hub, dar nu îi puteți adăuga sau elimina.

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  Sub Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Modul de încercare din zona de stare a serviciului, faceți clic pe Adăugare utilizatori sau faceți clic pe vizualizare și editare pentru a elimina utilizatorii din trial.

                                                                                                                                                  4

                                                                                                                                                  Introduceți adresa de e-mail a unuia sau mai multor utilizatori pentru a adăuga sau faceți clic pe X de către un ID de utilizator pentru a elimina utilizatorul din încercare. Apoi faceți clic Salvați .

                                                                                                                                                  Mutați de la încercare la producție

                                                                                                                                                  Când sunteți mulțumit că implementarea dvs. funcționează bine pentru utilizatorii de încercare, puteți trece la producție. Când treceți la producție, toți utilizatorii din organizație vor utiliza domeniul dvs. local de securitate a datelor hibride pentru cheile de criptare și alte servicii din domeniul de securitate. Nu puteți reveni la modul de încercare din producție decât dacă dezactivați serviciul ca parte a recuperării dezastrelor. Reactivarea serviciului vă cere să configurați o nouă încercare.
                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  Sub Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Stare serviciu, faceți clic pe Mutare în producție.

                                                                                                                                                  4

                                                                                                                                                  Confirmați că doriți să mutați toți utilizatorii la producție.

                                                                                                                                                  Încheiați procesul fără a trece la producție

                                                                                                                                                  Dacă, în timpul perioadei de probă, decideți să nu continuați cu implementarea securității datelor hibride, puteți dezactiva securitatea datelor hibride, care încheie perioada de probă și mută utilizatorii de încercare înapoi la serviciile de securitate a datelor în cloud. Utilizatorii procesului vor pierde accesul la datele care au fost criptate în timpul procesului.
                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  Sub Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Dezactivare, faceți clic pe Dezactivare.

                                                                                                                                                  4

                                                                                                                                                  Confirmați că doriți să dezactivați serviciul și să finalizați procesul.

                                                                                                                                                  Gestionați implementarea HDS

                                                                                                                                                  Gestionați implementarea HDS

                                                                                                                                                  Utilizați sarcinile descrise aici pentru a gestiona implementarea securității datelor hibride.

                                                                                                                                                  Setați programul de upgrade al clusterului

                                                                                                                                                  Upgrade-urile de software pentru securitatea datelor hibride se fac automat la nivelul clusterului, ceea ce asigură că toate nodurile rulează întotdeauna aceeași versiune de software. Upgrade-urile se efectuează în conformitate cu programul de upgrade pentru cluster. Când un upgrade de software devine disponibil, aveți opțiunea de a actualiza manual clusterul înainte de ora programată de upgrade. Puteți seta un program specific de upgrade sau puteți utiliza programul implicit de 3:00 AM Daily Statele Unite ale Americii: America/Los Angeles. De asemenea, puteți alege să amânați un upgrade viitor, dacă este necesar.

                                                                                                                                                  Pentru a seta programul de upgrade:

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub .

                                                                                                                                                  2

                                                                                                                                                  Pe pagina Prezentare generală, în secțiunea Servicii hibride, selectați Securitatea datelor hibride.

                                                                                                                                                  3

                                                                                                                                                  Pe pagina Resurse de securitate a datelor hibride, selectați clusterul.

                                                                                                                                                  4

                                                                                                                                                  În panoul Prezentare generală din dreapta, în secțiunea Setări cluster, selectați numele clusterului.

                                                                                                                                                  5

                                                                                                                                                  Pe pagina Setări, în secțiunea Upgrade, selectați ora și fusul orar pentru programul de upgrade.

                                                                                                                                                  Notă: În cadrul fusului orar, se afișează următoarea dată și oră de upgrade disponibile. Puteți amâna upgrade-ul până în ziua următoare, dacă este necesar, făcând clic pe Amânare.

                                                                                                                                                  Modificarea configurației nodului

                                                                                                                                                  Ocazional, poate fi necesar să modificați configurația nodului Hybrid Data Security dintr-un motiv precum:
                                                                                                                                                  • Modificarea certificatelor x.509 din cauza expirării sau din alte motive.


                                                                                                                                                     

                                                                                                                                                    Nu acceptăm schimbarea nume domeniu CN al unui certificat. Domeniul trebuie să corespundă domeniului inițial utilizat pentru înregistrarea clusterului.

                                                                                                                                                  • Actualizarea setărilor bazei de date pentru a trece la o replică a bazei de date PostgreSQL sau Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nu acceptăm migrarea datelor de la PostgreSQL la Microsoft SQL Server sau invers. Pentru a comuta mediul bazei de date, începeți o nouă implementare a Hybrid Data Security.

                                                                                                                                                  • Crearea unei noi configurații pentru pregătirea unui nou centru de date.

                                                                                                                                                  De asemenea, din motive de securitate, Hybrid Data Security utilizează parole ale cont al serviciului care au o durată de viață de nouă luni. După ce instrumentul de configurare HDS generează aceste parole, le implementați în fiecare dintre nodurile HDS din fișierul de configurare ISO . Când parolele organizației dvs. se apropie de expirare, primiți o notificare de la echipa Webex prin care vă rugăm să resetați parola pentru contul computerului dvs. (E-mailul include textul „Utilizați API -ul contului de computer pentru a actualiza parola.”) Dacă parolele nu au expirat încă, instrumentul vă oferă două opțiuni:

                                                                                                                                                  • Resetare soft —Parolele vechi și noi sunt valabile până la 10 zile. Utilizați această perioadă pentru a înlocui treptat fișierul ISO pe noduri.

                                                                                                                                                  • Resetare hardware — Parolele vechi nu mai funcționează imediat.

                                                                                                                                                  Dacă parolele expiră fără resetare, acest lucru afectează serviciul HDS, necesitând o resetare hardware imediată și înlocuirea fișierului ISO pe toate nodurile.

                                                                                                                                                  Utilizați această procedură pentru a genera un nou fișier ISO de configurare și a-l aplica clusterului dvs.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Instrumentul de configurare HDS rulează ca container Docker pe un computer local. Pentru a-l accesa, rulați Docker pe acel computer. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi complete de administrator pentru organizația dvs.

                                                                                                                                                    Dacă instrumentul de configurare HDS rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin variabilele de mediu Docker atunci când ridicați containerul Docker în 1.e. Acest tabel oferă câteva variabile de mediu posibile:

                                                                                                                                                    Descriere

                                                                                                                                                    Variabilă

                                                                                                                                                    Proxy HTTP fără autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS fără autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTP cu autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS cu autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Aveți nevoie de o copie a fișierului ISO de configurare curentă pentru a genera o nouă configurație. ISO conține cheia principală de criptare a bazei de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de ISO când efectuați modificări de configurare, inclusiv date de autentificare în baza de date, actualizări de certificate sau modificări ale politicii de autorizare.

                                                                                                                                                  1

                                                                                                                                                  Utilizând Docker pe un computer local, rulați Instrumentul de configurare HDS.

                                                                                                                                                  1. În linia de comandă a computerului dvs., introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                    În medii obișnuite:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    În mediile FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.

                                                                                                                                                  2. Pentru a vă conecta la registry de imagini Docker, introduceți următoarele:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. La solicitarea parolei, introduceți acest hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Descărcați cea mai recentă imagine stabilă pentru mediul dvs.:

                                                                                                                                                    În medii obișnuite:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    În mediile FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Asigurați-vă că ați extras cel mai recent instrument de configurare pentru această procedură. Versiunile instrumentului create înainte de 22 februarie 2018 nu au ecrane de resetare a parolei.

                                                                                                                                                  5. Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                    • În mediile obișnuite fără un proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • În mediile obișnuite cu un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • În medii obișnuite cu un HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • În mediile FedRAMP fără un proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • În mediile FedRAMP cu un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • În mediile FedRAMP cu un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Când containerul rulează, veți vedea „Serverul Express ascultând pe portul 8080”.

                                                                                                                                                  6. Utilizați un browser pentru a vă conecta la localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală.

                                                                                                                                                  7. Când vi se solicită, introduceți datele de conectare pentru client Control Hub și apoi faceți clic Acceptați pentru a continua.

                                                                                                                                                  8. Importați fișierul ISO de configurație curentă.

                                                                                                                                                  9. Urmați instrucțiunile pentru a finaliza instrumentul și descărcați fișierul actualizat.

                                                                                                                                                    Pentru a închide instrumentul de configurare, tastați CTRL+C.

                                                                                                                                                  10. Creați o copie de rezervă a fișierului actualizat într-un alt centru de date.

                                                                                                                                                  2

                                                                                                                                                  Dacă aveți un singur nod HDS care rulează , creați un nou VM nod Hybrid Data Security și înregistrați-l utilizând noul fișier ISO de configurare. Pentru instrucțiuni mai detaliate, consultați Creați și înregistrați mai multe noduri.

                                                                                                                                                  1. Instalați OVA gazdă HDS.

                                                                                                                                                  2. Configurați VM HDS .

                                                                                                                                                  3. Montați fișier de configurare actualizat .

                                                                                                                                                  4. Înregistrați noul nod în Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Pentru nodurile HDS existente care rulează fișierul de fișier de configurare mai vechi , montați fișierul ISO . Efectuați următoarea procedură pe fiecare nod pe rând, actualizând fiecare nod înainte de a opri următorul nod:

                                                                                                                                                  1. Opriți mașină virtuală.

                                                                                                                                                  2. În panoul de navigare din stânga al clientului VMware vSphere, da clic dreapta pe VM și faceți clic Editați setările .

                                                                                                                                                  3. Clic CD/DVD Drive 1, selectați opțiunea de montare dintr-un fișier ISO și navigați până la locația de unde ați descărcat noul fișier ISO de configurare.

                                                                                                                                                  4. Verificați Conectați la pornire .

                                                                                                                                                  5. Salvați modificările și porniți mașină virtuală.

                                                                                                                                                  4

                                                                                                                                                  Repetați pasul 3 pentru a înlocui configurația pe fiecare nod rămas care rulează configurația veche.

                                                                                                                                                  Dezactivați Modul De Rezoluție DNS Externă Blocat

                                                                                                                                                  Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează aspectul DNS și conectivitatea la cloudul Cisco Webex. Dacă serverul DNS al nodului nu poate rezolva numele DNS publice, nodul intră automat în modul de Rezoluție DNS Externă Blocată.

                                                                                                                                                  Dacă nodurile dvs. sunt capabile să rezolve numele DNS publice prin intermediul serverelor DNS interne, puteți dezactiva acest mod prin reactivarea testului de conexiune proxy pe fiecare nod.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Asigurați-vă că serverele DNS interne pot rezolva numele DNS publice și că nodurile dvs. pot comunica cu acestea.
                                                                                                                                                  1

                                                                                                                                                  Într-un browser web, deschideți interfața nodului de securitate a datelor hibride (adresă IP/configurare, de exemplu, https://192.0.2.0/setup), introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.

                                                                                                                                                  2

                                                                                                                                                  Accesați Prezentare generală (pagina implicită).

                                                                                                                                                  Când este activat, Rezoluție DNS externă blocată este setat la Da .

                                                                                                                                                  3

                                                                                                                                                  Accesați pagina Trust Store & Proxy .

                                                                                                                                                  4

                                                                                                                                                  Faceți clic pe Verificare conexiune proxy.

                                                                                                                                                  Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a avut succes, nodul nu a putut ajunge la serverul DNS și va rămâne în acest mod. În caz contrar, după ce reporniți nodul și reveniți la pagina Prezentare generală , Rezoluția DNS externă blocată trebuie setată la nr.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Repetați testul conexiunii proxy pe fiecare nod din clusterul de securitate a datelor hibride.

                                                                                                                                                  Eliminați un nod

                                                                                                                                                  Utilizați această procedură pentru a elimina un nod de securitate a datelor hibride din cloudul Webex. După ce eliminați nodul din cluster, ștergeți mașina virtuală pentru a preveni accesul suplimentar la datele dvs. de securitate.
                                                                                                                                                  1

                                                                                                                                                  Utilizați clientul VMware vSphere de pe computer pentru a vă conecta la gazda virtuală ESXi și pentru a dezactiva mașina virtuală.

                                                                                                                                                  2

                                                                                                                                                  Eliminați nodul:

                                                                                                                                                  1. Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2. Pe cardul de securitate a datelor hibride, faceți clic pe Vizualizare toate pentru a afișa pagina Resurse de securitate a datelor hibride.

                                                                                                                                                  3. Selectați clusterul pentru a afișa panoul de Prezentare generală.

                                                                                                                                                  4. Faceți clic pe lista de noduri deschise.

                                                                                                                                                  5. În fila Noduri, selectați nodul pe care doriți să îl eliminați.

                                                                                                                                                  6. Faceți clic pe Acțiuni > Deregister node.

                                                                                                                                                  3

                                                                                                                                                  În clientul vSphere, ștergeți VM. (În panoul de navigare din stânga, faceți clic dreapta pe VM și faceți clic pe Ștergere.)

                                                                                                                                                  Dacă nu ștergeți VM, nu uitați să dezasamblați fișierul de configurare ISO. Fără fișierul ISO, nu puteți utiliza VM pentru a accesa datele de securitate.

                                                                                                                                                  Recuperare dezastre utilizând Centrul de date standby

                                                                                                                                                  Cel mai important serviciu pe care îl oferă clusterul de securitate a datelor hibride este crearea și stocarea de taste utilizate pentru criptarea mesajelor și a altor conținuturi stocate în cloudul Webex. Pentru fiecare utilizator din cadrul organizației care este atribuit securității datelor hibride, noile solicitări de creare a cheii sunt direcționate către cluster. Clusterul este, de asemenea, responsabil pentru returnarea cheilor pe care le-a creat oricărui utilizator autorizat să le recupereze, de exemplu, membrii unui spațiu de conversație.

                                                                                                                                                  Deoarece clusterul îndeplinește funcția critică de furnizare a acestor chei, este imperativ ca clusterul să rămână în funcțiune și să fie menținute backup-uri corespunzătoare. Pierderea bazei de date Hybrid Data Security sau a configurației ISO utilizate pentru schemă va duce la PIERDEREA INRECUPERABILĂ a conținutului clientului. Următoarele practici sunt obligatorii pentru a preveni o astfel de pierdere:

                                                                                                                                                  Dacă un dezastru face ca implementarea HDS în centrul de date principal să devină indisponibilă, urmați această procedură pentru a eșua manual la centrul de date standby.

                                                                                                                                                  1

                                                                                                                                                  Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.

                                                                                                                                                  2

                                                                                                                                                  După configurarea serverului Syslogd, faceți clic pe Setări avansate

                                                                                                                                                  3

                                                                                                                                                  Pe pagina Setări avansate, adăugați configurația de mai jos sau eliminați passiveMode configurare pentru a activa nodul. Nodul poate gestiona traficul odată ce acesta este configurat.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Completați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit.

                                                                                                                                                  5

                                                                                                                                                  Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare.

                                                                                                                                                  6

                                                                                                                                                  În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări..

                                                                                                                                                  7

                                                                                                                                                  Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Fișier ISO Datastore.


                                                                                                                                                   

                                                                                                                                                  Asigurați-vă că sunt verificate Conectate și Conectate la putere , astfel încât modificările de configurare actualizate să poată intra în vigoare după pornirea nodurilor.

                                                                                                                                                  8

                                                                                                                                                  Activați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute.

                                                                                                                                                  9

                                                                                                                                                  Repetați procesul pentru fiecare nod din centrul de date standby.


                                                                                                                                                   

                                                                                                                                                  Verificați ieșirea syslog pentru a verifica dacă nodurile centrului de date standby nu sunt în mod pasiv. „KMS configurat în mod pasiv” nu trebuie să apară în jurnalele de sistem.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  După eșec, dacă centrul principal de date devine din nou activ, plasați centrul de date în așteptare în modul pasiv, urmând pașii descriși în Configurarea centrului de date în așteptare pentru recuperarea dezastrelor.

                                                                                                                                                  (Opțional) Dezasamblare ISO După configurarea HDS

                                                                                                                                                  Configurația standard HDS rulează cu ISO montat. Dar, unii clienți preferă să nu lase fișierele ISO montate în mod continuu. Puteți demonta fișierul ISO după ce toate nodurile HDS preiau noua configurație.

                                                                                                                                                  Utilizați în continuare fișierele ISO pentru a face modificări de configurare. Când creați un nou ISO sau actualizați un ISO prin Instrumentul de configurare, trebuie să montați ISO actualizat pe toate nodurile HDS. După ce toate nodurile dvs. au preluat modificările de configurare, puteți demonta din nou ISO cu această procedură.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Actualizați toate nodurile HDS la versiunea 2021.01.22.4720 sau o versiune ulterioară.

                                                                                                                                                  1

                                                                                                                                                  Închideți unul dintre nodurile HDS.

                                                                                                                                                  2

                                                                                                                                                  În dispozitivul server vCenter, selectați nodul HDS.

                                                                                                                                                  3

                                                                                                                                                  Alegeți Editați setările > CD/DVD drive și debifați fișierul ISO Datastore.

                                                                                                                                                  4

                                                                                                                                                  Alimentați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 20 de minute.

                                                                                                                                                  5

                                                                                                                                                  Repetați pentru fiecare nod HDS la rândul său.

                                                                                                                                                  Depanarea securității datelor hibride

                                                                                                                                                  Vizualizare alerte și depanare

                                                                                                                                                  O implementare a securității datelor hibride este considerată indisponibilă dacă toate nodurile din cluster sunt inaccesibile sau clusterul funcționează atât de lent încât solicită timp de excludere. Dacă utilizatorii nu pot ajunge la clusterul dvs. de securitate a datelor hibride, aceștia experimentează următoarele simptome:

                                                                                                                                                  • Nu se pot crea spații noi (nu se pot crea chei noi)

                                                                                                                                                  • Mesajele și titlurile spațiului nu pot fi decriptate pentru:

                                                                                                                                                    • Utilizatori noi adăugați într-un spațiu (nu se pot prelua tastele)

                                                                                                                                                    • Utilizatorii existenți dintr-un spațiu care utilizează un client nou (nu pot prelua tastele)

                                                                                                                                                  • Utilizatorii existenți într-un spațiu vor continua să ruleze cu succes atâta timp cât clienții lor au un cache al cheilor de criptare

                                                                                                                                                  Este important să monitorizați în mod corespunzător clusterul de securitate a datelor hibride și să adresați imediat orice alerte pentru a evita perturbarea serviciului.

                                                                                                                                                  Alerte

                                                                                                                                                  Dacă există o problemă cu configurarea securității datelor hibride, Control Hub afișează alerte administratorului organizației și trimite e-mailuri la adresa de e-mail configurată. Alertele acoperă multe scenarii comune.

                                                                                                                                                  Tabelul 1. Probleme comune și pașii pentru a le rezolva

                                                                                                                                                  Alerte

                                                                                                                                                  Acțiune

                                                                                                                                                  Eșecul accesului la baza de date locală.

                                                                                                                                                  Verificați erorile bazei de date sau problemele de rețea locale.

                                                                                                                                                  Eșecul conexiunii la baza de date locală.

                                                                                                                                                  Verificați dacă serverul bazei de date este disponibil, iar acreditările contului de serviciu corespunzător au fost utilizate în configurația nodului.

                                                                                                                                                  Eșecul accesului la servicii în cloud.

                                                                                                                                                  Verificați dacă nodurile pot accesa serverele Webex astfel cum sunt specificate în cerințele de conectivitate externă.

                                                                                                                                                  Reînnoirea înregistrării serviciului în cloud.

                                                                                                                                                  S-a renunțat la înscrierea în serviciile cloud. Reînnoirea înregistrării este în curs.

                                                                                                                                                  Înscrierea în serviciul Cloud a scăzut.

                                                                                                                                                  Înscrierea la serviciile cloud s-a încheiat. Serviciul se închide.

                                                                                                                                                  Serviciul nu este încă activat.

                                                                                                                                                  Activați un proces sau finalizați mutarea procesului la producție.

                                                                                                                                                  Domeniul configurat nu corespunde certificatului serverului.

                                                                                                                                                  Asigurați-vă că certificatul serverului dvs. corespunde domeniului de activare a serviciului configurat.

                                                                                                                                                  Cauza cea mai probabilă este că certificatul CN a fost modificat recent și este acum diferit de CN care a fost utilizat în timpul configurării inițiale.

                                                                                                                                                  Nu s-a reușit autentificarea la serviciile cloud.

                                                                                                                                                  Verificați acuratețea și posibila expirare a acreditărilor contului de serviciu.

                                                                                                                                                  Nu s-a reușit deschiderea fișierului local de keystore.

                                                                                                                                                  Verificați integritatea și precizia parolei în fișierul de keystore local.

                                                                                                                                                  Certificatul serverului local este nevalid.

                                                                                                                                                  Verificați data de expirare a certificatului serverului și confirmați că acesta a fost eliberat de o autoritate de certificare de încredere.

                                                                                                                                                  Nu se pot posta măsurători.

                                                                                                                                                  Verificați accesul la rețeaua locală la serviciile cloud externe.

                                                                                                                                                  directorul /media/configdrive/hds nu există.

                                                                                                                                                  Verificați configurația de montare ISO pe gazda virtuală. Verificați dacă fișierul ISO există, dacă este configurat să fie montat pe repornire și dacă se montează cu succes.

                                                                                                                                                  Depanarea securității datelor hibride

                                                                                                                                                  Utilizați următoarele orientări generale atunci când depanați problemele legate de securitatea datelor hibride.
                                                                                                                                                  1

                                                                                                                                                  Revizuiți Control Hub pentru orice alerte și remediați orice elemente pe care le găsiți acolo.

                                                                                                                                                  2

                                                                                                                                                  Revizuiți ieșirea serverului syslog pentru activitatea din implementarea securității datelor hibride.

                                                                                                                                                  3

                                                                                                                                                  Contactați asistența Cisco.

                                                                                                                                                  Alte note

                                                                                                                                                  Probleme cunoscute pentru securitatea datelor hibride

                                                                                                                                                  • Dacă închideți clusterul de securitate a datelor hibride (prin ștergerea acestuia în Control Hub sau prin închiderea tuturor nodurilor), pierdeți fișierul ISO de configurare sau pierdeți accesul la baza de date Keystore, utilizatorii aplicației Webex nu mai pot utiliza spații din lista lor de persoane care au fost create cu tastele din KMS. Acest lucru este valabil atât pentru operațiunile de încercare, cât și pentru operațiunile de producție. În prezent, nu avem un loc de muncă sau o soluție pentru această problemă și vă solicităm să nu închideți serviciile HDS odată ce acestea gestionează conturile de utilizator active.

                                                                                                                                                  • Un client care are o conexiune ECDH existentă la un KMS menține acea conexiune pentru o perioadă de timp (probabil o oră). Atunci când un utilizator devine membru al unui proces de securitate a datelor hibride, clientul utilizatorului continuă să utilizeze conexiunea ECDH existentă până la expirarea acesteia. Alternativ, utilizatorul se poate deconecta și reconecta la aplicația Aplicației Webex pentru a actualiza locația pe care aplicația o contactează pentru cheile de criptare.

                                                                                                                                                    Același comportament apare atunci când mutați un proces la producție pentru organizație. Toți utilizatorii non-trial cu conexiuni ECDH existente la serviciile anterioare de securitate a datelor vor continua să utilizeze aceste servicii până când conexiunea ECDH este renegociată (prin expirare sau prin deconectare și reconectare).

                                                                                                                                                  Utilizați OpenSSL pentru a genera un fișier PKCS12

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • OpenSSL este un instrument care poate fi folosit pentru a face fișierul PKCS12 în formatul adecvat pentru încărcare în instrumentul de configurare HDS. Există alte modalități de a face acest lucru, și nu sprijinim sau promovăm un mod peste altul.

                                                                                                                                                  • Dacă alegeți să utilizați OpenSSL, oferim această procedură ca ghid pentru a vă ajuta să creați un fișier care îndeplinește cerințele certificatului X.509 din X.509 Cerințe de certificat. Înțelegeți aceste cerințe înainte de a continua.

                                                                                                                                                  • Instalați OpenSSL într-un mediu acceptat. Consultați https://www.openssl.org pentru software și documentație.

                                                                                                                                                  • Creați o tastă privată.

                                                                                                                                                  • Începeți această procedură atunci când primiți certificatul de server de la Autoritatea dvs. de certificare (CA).

                                                                                                                                                  1

                                                                                                                                                  Când primiți certificatul de server de la CA, salvați-l ca hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Afișați certificatul ca text și verificați detaliile.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilizați un editor de text pentru a crea un fișier de pachet de certificate numit hdsnode-bundle.pem. Fișierul pachet trebuie să includă certificatul serverului, orice certificate CA intermediare și certificatele CA rădăcină, în formatul de mai jos:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Creați fișierul .p12 cu numele prietenos kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Verificați detaliile certificatului serverului.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Introduceți o parolă la solicitarea de criptare a cheii private, astfel încât aceasta să fie listată în ieșire. Apoi, verificați dacă cheia privată și primul certificat includ liniile friendlyName: kms-private-key.

                                                                                                                                                    Exemplu:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Reveniți la Completarea Condițiilor prealabile pentru securitatea datelor hibride. Veţi utiliza hdsnode.p12 fișier și parola pe care ați setat-o pentru acesta, în Creați un ISO de configurare pentru gazdele HDS.


                                                                                                                                                   

                                                                                                                                                  Puteți reutiliza aceste fișiere pentru a solicita un nou certificat atunci când certificatul original expiră.

                                                                                                                                                  Trafic între nodurile HDS și cloud

                                                                                                                                                  Trafic colecție metrică de ieșire

                                                                                                                                                  Nodurile de securitate a datelor hibride trimit anumite măsurători în cloudul Webex. Acestea includ măsurători de sistem pentru înălțimea maximă, înălțimea utilizată, sarcina CPU și numărul de fire; măsurători pe fire sincrone și asincronice; măsurători pe alerte care implică un prag de conexiuni de criptare, latență sau o lungime a cozii de solicitare; măsurători pe placa de date; și măsurători de conexiune de criptare. Nodurile trimit material cheie criptat printr-un canal în afara benzii (separat de solicitare).

                                                                                                                                                  Trafic de intrare

                                                                                                                                                  Nodurile de securitate a datelor hibride primesc următoarele tipuri de trafic de intrare din cloudul Webex:

                                                                                                                                                  • Cereri de criptare de la clienți, care sunt rutate de serviciul de criptare

                                                                                                                                                  • Actualizări la software-ul nodului

                                                                                                                                                  Configurați proxy-urile Squid pentru securitatea datelor hibride

                                                                                                                                                  Șoseta web nu se poate Conecta Prin Proxy Squid

                                                                                                                                                  Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea websocket ( wss:) conexiuni care necesită Securitatea datelor hibride. Aceste secțiuni oferă îndrumări cu privire la modul de configurare a diferitelor versiuni de Squid pentru a ignora wss: trafic pentru buna funcționare a serviciilor.

                                                                                                                                                  Squid 4 și 5

                                                                                                                                                  Adăugați on_unsupported_protocol directivă privind squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Am testat cu succes Securitatea datelor hibride cu următoarele reguli adăugate la squid.conf. Aceste reguli se pot modifica pe măsură ce dezvoltăm caracteristici și actualizăm cloudul Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Prefață

                                                                                                                                                  Informații noi și modificate

                                                                                                                                                  Dată

                                                                                                                                                  Modificări efectuate

                                                                                                                                                  20 octombrie 2023

                                                                                                                                                  07 august 2023

                                                                                                                                                  23 mai 2023

                                                                                                                                                  06 decembrie 2022

                                                                                                                                                  23 noiembrie 2022

                                                                                                                                                  13 octombrie 2021

                                                                                                                                                  Docker Desktop trebuie să ruleze un program de configurare înainte de a putea instala noduri HDS. Consultați Cerințele de desktop ale Docker.

                                                                                                                                                  24 iunie 2021

                                                                                                                                                  Rețineți că puteți reutiliza fișierul cu tastatură privată și CSR pentru a solicita un alt certificat. Consultați Utilizarea OpenSSL pentru a genera un fișier PKCS12 pentru detalii.

                                                                                                                                                  30 aprilie 2021

                                                                                                                                                  A schimbat cerința VM pentru spațiul local pe hard disk la 30 GB. Consultați Cerințele Gazdei Virtuale pentru detalii.

                                                                                                                                                  24 februarie 2021

                                                                                                                                                  Instrumentul de configurare HDS poate rula acum în spatele unui proxy. Consultați Creați un ISO de configurare pentru gazdele HDS pentru detalii.

                                                                                                                                                  2 februarie 2021

                                                                                                                                                  HDS poate rula acum fără un fișier ISO montat. Consultați (Opțional) Dezasamblarea ISO după configurarea HDS pentru detalii.

                                                                                                                                                  11 ianuarie 2021

                                                                                                                                                  Au fost adăugate informații despre instrumentul de configurare HDS și proxy-uri pentru a crea un ISO de configurare pentru gazdele HDS.

                                                                                                                                                  13 octombrie 2020

                                                                                                                                                  Fișiere de instalare Descărcare actualizate.

                                                                                                                                                  8 octombrie 2020

                                                                                                                                                  Actualizat Creați un ISO de configurare pentru gazdele HDS și modificați configurația nodului cu comenzi pentru mediile FedRAMP.

                                                                                                                                                  14 august 2020

                                                                                                                                                  Actualizat Creați un ISO de configurare pentru gazdele HDS și modificați configurația nodului cu modificări ale procesului de conectare.

                                                                                                                                                  5 august 2020

                                                                                                                                                  Actualizat Testați implementarea securității datelor hibride pentru modificări ale mesajelor jurnal.

                                                                                                                                                  S-au actualizat Cerințele Gazdei Virtuale pentru a elimina numărul maxim de gazde.

                                                                                                                                                  16 iunie 2020

                                                                                                                                                  Actualizat Eliminați un nod pentru modificările din interfața cu utilizatorul Control Hub.

                                                                                                                                                  4 iunie 2020

                                                                                                                                                  Actualizat Creați un ISO de configurare pentru gazdele HDS pentru modificările din Setările avansate pe care le-ați putea seta.

                                                                                                                                                  29 mai 2020

                                                                                                                                                  Actualizat Creați un ISO de configurare pentru gazdele HDS pentru a afișa puteți utiliza, de asemenea, TLS cu baze de date SQL Server, modificări de interfață de utilizator și alte clarificări.

                                                                                                                                                  5 mai 2020

                                                                                                                                                  Actualizat Cerințele Gazdei Virtuale pentru a afișa noua cerință a ESXi 6.5.

                                                                                                                                                  21 aprilie 2020

                                                                                                                                                  Actualizat Cerințe de conectivitate externă cu noi gazde CI din America.

                                                                                                                                                  Aprilie 1, 2020

                                                                                                                                                  Actualizat Cerințele de conectivitate externă cu informații despre gazdele regionale CI.

                                                                                                                                                  20 februarie 2020Actualizat Creați un ISO de configurare pentru gazdele HDS cu informații despre noul ecran opțional de setări avansate din instrumentul de configurare HDS.
                                                                                                                                                  4 februarie 2020Cerințe server proxy actualizate.
                                                                                                                                                  16 decembrie 2019A clarificat cerința ca modul de rezoluție DNS extern blocat să funcționeze în cerințele serverului proxy.
                                                                                                                                                  19 noiembrie 2019

                                                                                                                                                  Au fost adăugate informații despre modul de rezoluție DNS extern blocat în următoarele secțiuni:

                                                                                                                                                  8 noiembrie 2019

                                                                                                                                                  Acum puteți configura setările de rețea pentru un nod în timp ce implementați OVA, mai degrabă decât ulterior.

                                                                                                                                                  Actualizat în consecință următoarele secțiuni:


                                                                                                                                                   

                                                                                                                                                  Opțiunea de configurare a setărilor de rețea în timpul implementării OVA a fost testată cu ESXi 6.5. Este posibil ca opțiunea să nu fie disponibilă în versiunile anterioare.

                                                                                                                                                  6 septembrie 2019

                                                                                                                                                  S-a adăugat standardul SQL Server la cerințele serverului bazei de date.

                                                                                                                                                  august 29, 2019A fost adăugată Configurarea proxy-urilor Squid pentru securitatea datelor hibride , cu îndrumări privind configurarea proxy-urilor Squid pentru a ignora traficul websocket pentru funcționarea corespunzătoare.
                                                                                                                                                  20 august 2019

                                                                                                                                                  Secțiuni adăugate și actualizate pentru a acoperi asistența proxy pentru comunicațiile nodului de securitate a datelor hibride în cloudul Webex.

                                                                                                                                                  Pentru a accesa doar conținutul de asistență proxy pentru o implementare existentă, consultați Asistența proxy pentru securitatea datelor hibride și articolul de ajutor Webex Video Mesh .

                                                                                                                                                  13 iunie 2019A fost actualizat Fluxul de activități de producție cu un memento pentru a sincroniza HdsTrialGroup obiectul de grup înainte de a începe un trial dacă organizația dvs. utilizează sincronizarea directorului.
                                                                                                                                                  6 martie 2019
                                                                                                                                                  februarie 28, 2019
                                                                                                                                                  • A corectat cantitatea de spațiu pe hard disk local pe server pe care ar trebui să o setați deoparte atunci când pregătiți gazdele virtuale care devin nodurile de securitate a datelor hibride, de la 50-GB la 20-GB, pentru a reflecta dimensiunea discului pe care OVA îl creează.

                                                                                                                                                  26 februarie 2019
                                                                                                                                                  • Nodurile de securitate a datelor hibride acceptă acum conexiuni criptate cu serverele bazei de date PostgreSQL și conexiuni criptate de conectare la un server syslog TLS capabil. Actualizat Creați un ISO de configurare pentru gazdele HDS cu instrucțiuni.

                                                                                                                                                  • URL-urile de destinație au fost eliminate din tabelul „Cerințe de conectivitate la internet pentru nodul de securitate a datelor hibride VMs”. Tabelul se referă acum la lista menținută în tabelul „URL-uri suplimentare pentru serviciile hibride Webex Teams” din Cerințele rețelei pentru serviciile Webex Teams.

                                                                                                                                                  24 ianuarie 2019

                                                                                                                                                  • Securitatea datelor hibride acceptă acum Microsoft SQL Server ca bază de date. SQL Server întotdeauna activat (întotdeauna pe clusterele de eșec și întotdeauna pe grupurile de disponibilitate) este acceptat de driverele JDBC care sunt utilizate în securitatea datelor hibride. Conținut adăugat legat de implementarea cu SQL Server.


                                                                                                                                                     

                                                                                                                                                    Asistența pentru serverul Microsoft SQL este destinată numai noilor implementări ale securității datelor hibride. În prezent, nu acceptăm migrarea datelor de la PostgreSQL la serverul Microsoft SQL în cadrul unei implementări existente.

                                                                                                                                                  noiembrie 5, 2018
                                                                                                                                                  19 octombrie 2018

                                                                                                                                                  31 iulie 2018

                                                                                                                                                  21 mai 2018

                                                                                                                                                  Terminologia modificată pentru a reflecta rebranding-ul Cisco Spark:

                                                                                                                                                  • Securitatea datelor hibride Cisco Spark este acum Securitatea datelor hibride.

                                                                                                                                                  • Aplicația Cisco Spark este acum aplicația Webex App.

                                                                                                                                                  • Cisco Collaboraton Cloud este acum cloudul Webex.

                                                                                                                                                  11 aprilie 2018
                                                                                                                                                  22 februarie 2018
                                                                                                                                                  februarie 15, 2018
                                                                                                                                                  • În tabelul X.509 Cerințe privind certificatul , s-a specificat că certificatul nu poate fi un certificat de carte de vizită și că KMS utilizează domeniul CN, nu orice domeniu definit în câmpurile SAN x.509v3.

                                                                                                                                                  ianuarie 18, 2018

                                                                                                                                                  noiembrie 2, 2017

                                                                                                                                                  • Sincronizarea directorului clarificată a HdsTrialGroup.

                                                                                                                                                  • Fix instrucțiuni pentru încărcarea fișierului de configurare ISO pentru montare la nodurile VM.

                                                                                                                                                  18 august 2017

                                                                                                                                                  Prima publicare

                                                                                                                                                  Începeți cu securitatea datelor hibride

                                                                                                                                                  Prezentare generală a securității datelor hibride

                                                                                                                                                  Începând cu prima zi, securitatea datelor a fost accentul principal în proiectarea Aplicației Webex. Piatra de temelie a acestei securități este criptarea conținutului end-to-end, activată de clienții aplicației Webex care interacționează cu Serviciul de gestionare a cheilor (KMS). KMS este responsabil pentru crearea și gestionarea cheilor criptografice pe care clienții le utilizează pentru a cripta și decripta în mod dinamic mesajele și fișierele.

                                                                                                                                                  În mod implicit, toți clienții Aplicației Webex primesc criptare end-to-end cu chei dinamice stocate în KMS cloud, în domeniul de securitate al Cisco. Hybrid Data Security mută KMS și alte funcții legate de securitate în centrul de date la nivel de întreprindere dvs., astfel încât nimeni în afară de dvs. să nu dețină cheile conținutului dvs. criptat.

                                                                                                                                                  Arhitectură Realm de securitate

                                                                                                                                                  Arhitectura cloud Webex separă diferite tipuri de servicii în domenii separate sau domenii de încredere, după cum este descris mai jos.

                                                                                                                                                  Domenii de separare (fără securitate hibridă a datelor)

                                                                                                                                                  Pentru a înțelege în continuare securitatea datelor hibride, să ne uităm mai întâi la acest caz cloud pur, în care Cisco oferă toate funcțiile din domeniile sale cloud. Serviciul de identitate, singurul loc în care utilizatorii pot fi direct corelați cu informațiile lor personale, cum ar fi adresa de e-mail, este separat în mod logic și fizic de domeniul de securitate din centrul de date B. Ambele sunt, la rândul lor, separate de domeniul în care conținutul criptat este stocat în cele din urmă, în centrul de date C.

                                                                                                                                                  În această diagramă, clientul este aplicația Webex care rulează pe laptopul unui utilizator și s-a autentificat cu serviciul de identitate. Când utilizatorul compune un mesaj pentru a trimite într-un spațiu, au loc următorii pași:

                                                                                                                                                  1. Clientul stabilește o conexiune securizată cu serviciul de gestionare a cheilor (KMS), apoi solicită o cheie pentru a cripta mesajul. Conexiunea securizată utilizează ECDH, iar KMS criptează cheia utilizând o cheie principală AES-256.

                                                                                                                                                  2. Mesajul este criptat înainte de a părăsi clientul. Clientul îl trimite la serviciul de indexare, care creează indexuri de căutare criptate pentru a ajuta în căutările viitoare pentru conținut.

                                                                                                                                                  3. Mesajul criptat este trimis serviciului de conformitate pentru verificări de conformitate.

                                                                                                                                                  4. Mesajul criptat este stocat în domeniul de stocare.

                                                                                                                                                  Când implementați Securitatea datelor hibride, mutați funcțiile domeniului de securitate (KMS, indexare și conformitate) în centrul dvs. de date local. Celelalte servicii cloud care alcătuiesc Webex (inclusiv stocarea identității și a conținutului) rămân în domeniile Cisco.

                                                                                                                                                  Colaborarea cu Alte Organizații

                                                                                                                                                  Utilizatorii din organizația dvs. pot utiliza în mod regulat Aplicația Webex pentru a colabora cu participanți externi din alte organizații. Când unul dintre utilizatorii dvs. solicită o cheie pentru un spațiu care este deținut de organizația dvs. (deoarece a fost creat de unul dintre utilizatorii dvs.), KMS trimite cheia către client printr-un canal ECDH securizat. Cu toate acestea, atunci când o altă organizație deține cheia pentru spațiu, KMS-ul direcționează cererea către cloudul Webex printr-un canal ECDH separat pentru a obține cheia de la KMS-ul corespunzător și apoi returnează cheia către utilizatorul dvs. pe canalul original.

                                                                                                                                                  Serviciul KMS care rulează pe Org A validează conexiunile la KMS în alte organizații utilizând x.509 certificate PKI. Consultați Pregătiți-vă mediul pentru detalii despre generarea unui certificat x.509 pe care să-l utilizați cu implementarea securității datelor hibride.

                                                                                                                                                  Așteptări pentru implementarea securității datelor hibride

                                                                                                                                                  O implementare a securității datelor hibride necesită un angajament semnificativ din partea clienților și o conștientizare a riscurilor pe care le implică deținerea cheilor de criptare.

                                                                                                                                                  Pentru a implementa securitatea datelor hibride, trebuie să furnizați:

                                                                                                                                                  Pierderea completă a configurației ISO pe care o construiți pentru securitatea datelor hibride sau a bazei de date pe care o furnizați va duce la pierderea tastelor. Pierderea tastelor împiedică utilizatorii să decripteze conținutul spațiului și alte date criptate în Aplicația Webex. Dacă se întâmplă acest lucru, puteți construi o nouă implementare, dar numai conținut nou va fi vizibil. Pentru a evita pierderea accesului la date, trebuie:

                                                                                                                                                  • Gestionați backup-ul și recuperarea bazei de date și configurația ISO.

                                                                                                                                                  • Fiți pregătiți să efectuați recuperarea rapidă a dezastrelor dacă apare o catastrofă, cum ar fi defectarea discului de bază de date sau dezastrul centrului de date.


                                                                                                                                                   

                                                                                                                                                  Nu există niciun mecanism pentru a muta cheile înapoi în Cloud după o implementare HDS.

                                                                                                                                                  Proces de configurare la nivel înalt

                                                                                                                                                  Acest document acoperă configurarea și gestionarea implementării securității datelor hibride:

                                                                                                                                                  • Configurați securitatea datelor hibride—Aceasta include pregătirea infrastructurii necesare și instalarea software-ului de securitate a datelor hibride, testarea implementării dvs. cu un subset de utilizatori în modul de încercare și, odată ce testarea dvs. este finalizată, trecerea la producție. Aceasta convertește întreaga organizație pentru a utiliza clusterul dvs. de securitate a datelor hibride pentru funcțiile de securitate.

                                                                                                                                                    Fazele de configurare, încercare și producție sunt acoperite în detaliu în următoarele trei capitole.

                                                                                                                                                  • Mențineți implementarea securității datelor hibride—cloud-ul Webex oferă automat upgrade-uri în curs. Departamentul dvs. IT poate oferi un singur nivel de asistență pentru această implementare și poate angaja asistență Cisco după cum este necesar. Puteți utiliza notificări pe ecran și puteți configura alerte pe bază de e-mail în Control Hub.

                                                                                                                                                  • Înțelegerea alertelor comune, a pașilor de depanare și a problemelor cunoscute—Dacă întâmpinați probleme la implementarea sau utilizarea securității datelor hibride, ultimul capitol din acest ghid și apendicele Probleme cunoscute vă pot ajuta să determinați și să remediați problema.

                                                                                                                                                  Model de implementare a securității datelor hibride

                                                                                                                                                  În cadrul centrului dvs. de date al întreprinderii, implementați Securitatea datelor hibride ca un singur grup de noduri pe gazde virtuale separate. Nodurile comunică cu cloudul Webex prin prize web securizate și HTTP securizat.

                                                                                                                                                  În timpul procesului de instalare, vă oferim fișierul OVA pentru a configura dispozitivul virtual pe VMs pe care le furnizați. Utilizați instrumentul de configurare HDS pentru a crea un fișier ISO de configurare a clusterului personalizat pe care îl montați pe fiecare nod. Clusterul de securitate a datelor hibride utilizează serverul Syslogd furnizat și baza de date PostgreSQL sau Microsoft SQL Server. (Configurați detaliile conexiunii Syslogd și a bazei de date în Instrumentul de configurare HDS.)

                                                                                                                                                  Model de implementare a securității datelor hibride

                                                                                                                                                  Numărul minim de noduri pe care le puteți avea într-un cluster este de două. Vă recomandăm cel puțin trei, și puteți avea până la cinci. Existența mai multor noduri asigură faptul că serviciul nu este întrerupt în timpul unui upgrade de software sau al unei alte activități de întreținere pe un nod. (Cloudul Webex actualizează doar un nod la un moment dat.)

                                                                                                                                                  Toate nodurile dintr-un cluster accesează aceeași bază de date cu tastatură și înregistrează activitatea pe același server syslog. Nodurile în sine sunt apatride și se ocupă de solicitările cheie în modul rotund-robin, așa cum este direcționat de cloud.

                                                                                                                                                  Nodurile devin active atunci când le înregistrați în Control Hub. Pentru a scoate un nod individual din serviciu, îl puteți desînregistra și apoi îl puteți reînregistra, dacă este necesar.

                                                                                                                                                  Sprijinim doar un singur cluster per organizație.

                                                                                                                                                  Mod de încercare pentru securitatea datelor hibride

                                                                                                                                                  După configurarea unei implementări de securitate a datelor hibride, încercați mai întâi cu un set de utilizatori pilot. În timpul perioadei de încercare, acești utilizatori utilizează domeniul local de securitate a datelor hibride pentru cheile de criptare și alte servicii din domeniul de securitate. Ceilalți utilizatori continuă să utilizeze domeniul de securitate cloud.

                                                                                                                                                  Dacă decideți să nu continuați implementarea în timpul perioadei de încercare și să dezactivați serviciul, utilizatorii pilot și orice utilizatori cu care au interacționat prin crearea de spații noi în timpul perioadei de încercare vor pierde accesul la mesaje și conținut. Aceștia vor vedea „Acest mesaj nu poate fi decriptat” în aplicația Webex.

                                                                                                                                                  Dacă sunteți mulțumit că implementarea dvs. funcționează bine pentru utilizatorii de încercare și sunteți pregătit să extindeți Securitatea datelor hibride la toți utilizatorii dvs., mutați implementarea în producție. Utilizatorii pilot continuă să aibă acces la cheile care au fost utilizate în timpul încercării. Cu toate acestea, nu se poate muta înapoi și înainte între modul de producție și procesul inițial. Dacă trebuie să dezactivați serviciul, cum ar fi pentru a efectua recuperarea dezastrelor, atunci când reactivați, trebuie să începeți o nouă încercare și să configurați setul de utilizatori pilot pentru noua încercare înainte de a reveni la modul de producție. Dacă utilizatorii păstrează accesul la date în acest moment depinde de faptul dacă ați menținut cu succes copii de rezervă ale stocului de date cheie și ale fișierului de configurare ISO pentru nodurile de securitate a datelor hibride din cluster.

                                                                                                                                                  Centrul de date standby pentru recuperarea dezastrelor

                                                                                                                                                  În timpul implementării, ați configurat un centru de date standby securizat. În cazul unui dezastru al unui centru de date, puteți eșua manual implementarea în centrul de date standby.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Eşec manual la centrul de date standby

                                                                                                                                                  Bazele de date ale centrelor de date active și standby sunt în sincronizare unele cu altele, ceea ce va reduce la minimum timpul necesar pentru a efectua eșecul. Fișierul ISO al centrului de date standby este actualizat cu configurații suplimentare care asigură că nodurile sunt înregistrate în organizație, dar nu vor gestiona traficul. Prin urmare, nodurile centrului de date standby rămân întotdeauna la zi cu cea mai recentă versiune de software HDS.


                                                                                                                                                   

                                                                                                                                                  Nodurile active de securitate a datelor hibride trebuie să fie întotdeauna în același centru de date ca serverul de bază de date activă.

                                                                                                                                                  Configurarea Centrului de date standby pentru recuperarea dezastrelor

                                                                                                                                                  Urmați pașii de mai jos pentru a configura fișierul ISO al centrului de date standby:

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Centrul de date standby trebuie să reflecte mediul de producție al VMs și o bază de date PostgreSQL sau Microsoft SQL Server de rezervă. De exemplu, dacă producția are 3 VMs care rulează noduri HDS, mediul de rezervă ar trebui să aibă 3 VMs. (Consultați Standby Data Center for Disaster Recovery pentru o prezentare generală a acestui model de eșec.)

                                                                                                                                                  • Asigurați-vă că sincronizarea bazei de date este activată între baza de date a nodurilor de cluster active și pasive.

                                                                                                                                                  1

                                                                                                                                                  Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.


                                                                                                                                                   

                                                                                                                                                  Fișierul ISO trebuie să fie o copie a fișierului ISO original al centrului de date principal pe care urmează să fie făcute următoarele actualizări de configurare.

                                                                                                                                                  2

                                                                                                                                                  După configurarea serverului Syslogd, faceți clic pe Setări avansate

                                                                                                                                                  3

                                                                                                                                                  Pe pagina Setări avansate, adăugați configurația de mai jos pentru a plasa nodul în modul pasiv. În acest mod, nodul va fi înregistrat în organizație și conectat la cloud, dar nu va gestiona niciun trafic.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Completați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit.

                                                                                                                                                  5

                                                                                                                                                  Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare.

                                                                                                                                                  6

                                                                                                                                                  În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări..

                                                                                                                                                  7

                                                                                                                                                  Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Fișier ISO Datastore.


                                                                                                                                                   

                                                                                                                                                  Asigurați-vă că sunt verificate Conectate și Conectate la putere , astfel încât modificările de configurare actualizate să poată intra în vigoare după pornirea nodurilor.

                                                                                                                                                  8

                                                                                                                                                  Activați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute.

                                                                                                                                                  9

                                                                                                                                                  Repetați procesul pentru fiecare nod din centrul de date standby.


                                                                                                                                                   

                                                                                                                                                  Verificați jurnalele pentru a verifica dacă nodurile sunt în mod pasiv. Ar trebui să puteți vizualiza mesajul „KMS configurat în mod pasiv” în jurnalele de sistem.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  După configurare passiveMode în fișierul ISO și salvându-l, puteți crea o altă copie a fișierului ISO fără passiveMode configurare și salvați-l într-o locație sigură. Această copie a fișierului ISO fără passiveMode configurat poate ajuta într-un proces rapid de eșec în timpul recuperării dezastrelor. Consultați Recuperarea dezastrelor utilizând Centrul de date standby pentru procedura detaliată de nereușită.

                                                                                                                                                  Asistență proxy

                                                                                                                                                  Securitatea datelor hibride acceptă inspecții explicite, transparente și proxy-uri neinspectate. Puteți lega aceste proxy-uri de implementarea dvs., astfel încât să puteți securiza și monitoriza traficul de la întreprindere la cloud. Puteți utiliza o interfață de administrare a platformei pe noduri pentru gestionarea certificatelor și pentru a verifica starea generală a conectivității după ce ați configurat proxy-ul pe noduri.

                                                                                                                                                  Nodurile de securitate a datelor hibride acceptă următoarele opțiuni proxy:

                                                                                                                                                  • Fără proxy—Implicit dacă nu utilizați configurația de configurare a nodului HDS Trust Store și proxy pentru a integra un proxy. Nu este necesară nicio actualizare a certificatului.

                                                                                                                                                  • Proxy fără inspecție transparent—Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy și nu ar trebui să necesite nicio modificare pentru a lucra cu un proxy fără inspecție. Nu este necesară nicio actualizare a certificatului.

                                                                                                                                                  • Tunelare transparentă sau inspecție proxy—Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy. Nu sunt necesare modificări ale configurației HTTP sau HTTPS pe noduri. Cu toate acestea, nodurile au nevoie de un certificat rădăcină, astfel încât să aibă încredere în proxy. De obicei, proxy-urile de inspecție sunt utilizate de IT pentru a pune în aplicare politicile pe care site-urile pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).

                                                                                                                                                  • Proxy explicit—Cu proxy explicit, spuneți nodurilor HDS ce server proxy și sistem de autentificare să utilizați. Pentru a configura un proxy explicit, trebuie să introduceți următoarele informații pe fiecare nod:

                                                                                                                                                    1. IP proxy/FQDN—Adresă care poate fi utilizată pentru a ajunge la utilajul proxy.

                                                                                                                                                    2. Portul proxy—Un număr de port pe care proxy-ul îl folosește pentru a asculta traficul proxy.

                                                                                                                                                    3. Proxy Protocol—În funcție de ce acceptă serverul dvs. proxy, alegeți între următoarele protocoale:

                                                                                                                                                      • HTTP—Vizualizează și controlează toate solicitările pe care clientul le trimite.

                                                                                                                                                      • HTTPS—Oferă un canal serverului. Clientul primește și validează certificatul serverului.

                                                                                                                                                    4. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:

                                                                                                                                                      • Niciuna – Nu este necesară autentificarea suplimentară.

                                                                                                                                                        Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.

                                                                                                                                                      • De bază—Utilizat pentru un agent de utilizator HTTP pentru a furniza un nume de utilizator și o parolă atunci când efectuați o solicitare. Utilizează codificarea Base64.

                                                                                                                                                        Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.

                                                                                                                                                        Vă cere să introduceți numele de utilizator și parola pe fiecare nod.

                                                                                                                                                      • Digest—Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite în rețea.

                                                                                                                                                        Disponibil numai dacă selectați HTTPS ca protocol proxy.

                                                                                                                                                        Vă cere să introduceți numele de utilizator și parola pe fiecare nod.

                                                                                                                                                  Exemplu de noduri hibride de securitate a datelor și proxy

                                                                                                                                                  Această diagramă arată o conexiune de exemplu între securitatea datelor hibride, rețea și un proxy. Pentru inspectarea transparentă și opțiunile HTTPS de inspecție explicită a proxy-urilor, trebuie instalat același certificat rădăcină pe proxy și pe nodurile de securitate a datelor hibride.

                                                                                                                                                  Modul de rezoluție DNS extern blocat (configurații proxy explicite)

                                                                                                                                                  Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează aspectul DNS și conectivitatea la cloudul Cisco Webex. În implementările cu configurații proxy explicite care nu permit rezoluția DNS externă pentru clienții interni, dacă nodul nu poate interoga serverele DNS, acesta intră automat în modul de Rezoluție DNS Externă Blocată. În acest mod, pot continua testele de înregistrare a nodurilor și alte teste de conectivitate proxy.

                                                                                                                                                  Pregătiți-vă mediul

                                                                                                                                                  Cerințe privind securitatea datelor hibride

                                                                                                                                                  Cerințe de licență Cisco Webex

                                                                                                                                                  Pentru implementarea securității datelor hibride:

                                                                                                                                                  Cerințe Docker Desktop

                                                                                                                                                  Înainte de a instala nodurile HDS, aveți nevoie de Docker Desktop pentru a rula un program de configurare. Docker și-a actualizat recent modelul de licențiere. Este posibil ca organizația dvs. să necesite un abonament cu plată pentru Docker Desktop. Pentru detalii, consultați postarea de pe blogul Docker, " Docker actualizează și extinde abonamentele noastre la produse ".

                                                                                                                                                  X.509 Cerințe privind certificatul

                                                                                                                                                  Lanțul certificatului trebuie să îndeplinească următoarele cerințe:

                                                                                                                                                  Tabelul 1. Cerințe de certificare X.509 pentru implementarea securității datelor hibride

                                                                                                                                                  Obligatoriu

                                                                                                                                                  Detalii

                                                                                                                                                  • Semnată de o autoritate de certificare de încredere (CA)

                                                                                                                                                  În mod implicit, avem încredere în CA-urile din lista Mozilla (cu excepția WoSign și StartCom) la https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Poartă un nume de domeniu comun (CN) care identifică implementarea securității datelor hibride

                                                                                                                                                  • Nu este un certificat de carte de vizită

                                                                                                                                                  CN-ul nu trebuie să fie accesibil sau o gazdă live. Vă recomandăm să utilizați un nume care reflectă organizația dvs., de exemplu, hds.company.com.

                                                                                                                                                  CN nu trebuie să conțină un * (wildcard).

                                                                                                                                                  CN este utilizat pentru a verifica nodurile de securitate a datelor hibride pentru clienții Aplicației Webex. Toate nodurile de securitate a datelor hibride din clusterul dvs. utilizează același certificat. KMS-ul se identifică utilizând domeniul CN, nu orice domeniu care este definit în câmpurile SAN x.509v3.

                                                                                                                                                  După ce ați înregistrat un nod cu acest certificat, nu acceptăm schimbarea numelui domeniului CN. Alegeți un domeniu care se poate aplica atât implementărilor de încercare, cât și implementărilor de producție.

                                                                                                                                                  • Semnătură non-SHA1

                                                                                                                                                  Software-ul KMS nu acceptă semnăturile SHA1 pentru validarea conexiunilor la KMSs ale altor organizații.

                                                                                                                                                  • Format ca fișier PKCS #12 protejat prin parolă

                                                                                                                                                  • Utilizați numele prietenos al kms-private-key pentru a eticheta certificatul, cheia privată și orice certificate intermediare pentru a încărca.

                                                                                                                                                  Puteți utiliza un convertor, cum ar fi OpenSSL pentru a schimba formatul certificatului.

                                                                                                                                                  Va trebui să introduceți parola atunci când rulați Instrumentul de configurare HDS.

                                                                                                                                                  Software-ul KMS nu impune utilizarea cheii sau restricții extinse de utilizare a cheii. Unele autorități de certificare impun aplicarea unor restricții extinse de utilizare a cheilor pentru fiecare certificat, cum ar fi autentificarea serverului. Este în regulă să utilizați autentificarea serverului sau alte setări.

                                                                                                                                                  Cerințe Gazdă virtuală

                                                                                                                                                  Gazdele virtuale pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. au următoarele cerințe:

                                                                                                                                                  • Cel puțin două gazde separate (3 recomandate) plasate în același centru de date securizat

                                                                                                                                                  • VMware ESXi 6.5 (sau mai târziu) instalat și rulează.


                                                                                                                                                     

                                                                                                                                                    Trebuie să faceți upgrade dacă aveți o versiune anterioară a ESXi.

                                                                                                                                                  • Minim 4 vCPU-uri, 8-GB memorie principală, 30-GB spațiu pe hard disk local pe server

                                                                                                                                                  Cerințe server bază de date


                                                                                                                                                   

                                                                                                                                                  Creați o nouă bază de date pentru stocarea cheilor. Nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.

                                                                                                                                                  Există două opțiuni pentru serverul de baze de date. Cerințele pentru fiecare sunt după cum urmează:

                                                                                                                                                  Tabelul 2. Cerințe server bază de date în funcție de tipul de bază de date

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  • PostgreSQL 14, 15 sau 16, instalat și în funcțiune.

                                                                                                                                                  • Server SQL 2016, 2017 sau 2019 (Enterprise sau Standard) instalat.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 necesită pachetul de servicii 2 și actualizarea cumulativă 2 sau mai târziu.

                                                                                                                                                  Minim 8 vCPU-uri, 16-GB de memorie principală, suficient spațiu pe hard disk și monitorizare pentru a se asigura că nu este depășit (2-TB recomandat dacă doriți să rulați baza de date pentru o lungă perioadă de timp, fără a fi nevoie de a crește spațiul de stocare)

                                                                                                                                                  Minim 8 vCPU-uri, 16-GB de memorie principală, suficient spațiu pe hard disk și monitorizare pentru a se asigura că nu este depășit (2-TB recomandat dacă doriți să rulați baza de date pentru o lungă perioadă de timp, fără a fi nevoie de a crește spațiul de stocare)

                                                                                                                                                  Software-ul HDS instalează în prezent următoarele versiuni de drivere pentru comunicarea cu serverul bazei de date:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  Șofer JDBC Postgres 42.2.5

                                                                                                                                                  Driver JDBC SQL Server 4.6

                                                                                                                                                  Această versiune a driverului acceptă SQL Server întotdeauna activat (întotdeauna pe instanțe de cluster nereușite și întotdeauna pe grupuri de disponibilitate).

                                                                                                                                                  Cerințe suplimentare pentru autentificarea Windows împotriva Microsoft SQL Server

                                                                                                                                                  Dacă doriți ca nodurile HDS să utilizeze autentificarea Windows pentru a obține acces la baza dvs. de date Keystore pe Microsoft SQL Server, atunci aveți nevoie de următoarea configurație în mediul dvs.:

                                                                                                                                                  • Nodurile HDS, infrastructura Active Directory și serverul MS SQL trebuie sincronizate cu NTP.

                                                                                                                                                  • Contul Windows pe care îl furnizați nodurilor HDS trebuie să aibă acces citit/scris la baza de date.

                                                                                                                                                  • Serverele DNS pe care le furnizați nodurilor HDS trebuie să poată rezolva Centrul dvs. de distribuție a cheilor (KDC).

                                                                                                                                                  • Puteți înregistra instanța bazei de date HDS pe serverul dvs. Microsoft SQL ca nume principal al serviciului (SPN) în directorul dvs. activ. Consultați Înregistrarea unui nume principal de serviciu pentru conexiunile Kerberos.

                                                                                                                                                    Instrumentul de configurare HDS, lansatorul HDS și KMS local trebuie să utilizeze autentificarea Windows pentru a accesa baza de date Keystore. Ei folosesc detaliile din configurația ISO pentru a construi SPN atunci când solicită acces cu autentificarea Kerberos.

                                                                                                                                                  Cerințe de conectivitate externă

                                                                                                                                                  Configurați firewall-ul pentru a permite următoarea conectivitate pentru aplicațiile HDS:

                                                                                                                                                  Aplicație

                                                                                                                                                  Protocol

                                                                                                                                                  Port

                                                                                                                                                  Direcție din aplicație

                                                                                                                                                  Destinație

                                                                                                                                                  Noduri de securitate a datelor hibride

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS de ieșire și WSS

                                                                                                                                                  • Servere Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Toate gazdele de identitate comune

                                                                                                                                                  • Alte URL-uri care sunt listate pentru securitatea datelor hibride în tabelul URL-uri suplimentare pentru serviciile hibride Webex al cerințelor rețelei pentru serviciile Webex

                                                                                                                                                  Instrument de configurare HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS de ieșire

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Toate gazdele de identitate comune

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Nodurile de securitate a datelor hibride funcționează cu traducerea accesului la rețea (NAT) sau în spatele unui firewall, atâta timp cât NAT sau firewall permite conexiunile de ieșire necesare la destinațiile de domeniu din tabelul precedent. Pentru conexiunile care intră în nodurile de securitate a datelor hibride, niciun port nu trebuie să fie vizibil de pe internet. În cadrul centrului dvs. de date, clienții au nevoie de acces la nodurile de securitate a datelor hibride din porturile TCP 443 și 22, în scopuri administrative.

                                                                                                                                                  URL-urile gazdelor pentru identitatea comună (CI) sunt specifice regiunii. Acestea sunt gazdele actuale CI:

                                                                                                                                                  Regiune

                                                                                                                                                  URL-uri comune ale gazdei pentru identitate

                                                                                                                                                  Țările din America

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Uniunea Europeană

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Cerințe server proxy

                                                                                                                                                  • Sprijinim oficial următoarele soluții proxy care se pot integra cu nodurile dvs. de securitate a datelor hibride.

                                                                                                                                                  • Acceptăm următoarele combinații de tip autentificare pentru proxy-uri explicite:

                                                                                                                                                    • Nicio autentificare cu HTTP sau HTTPS

                                                                                                                                                    • Autentificare de bază cu HTTP sau HTTPS

                                                                                                                                                    • Autentificare Digest numai cu HTTPS

                                                                                                                                                  • Pentru un proxy de inspecție transparent sau un proxy explicit HTTPS, trebuie să aveți o copie a certificatului rădăcină al proxy-ului. Instrucțiunile de implementare din acest ghid vă spun cum să încărcați copia în magazinele de încredere ale nodurilor de securitate a datelor hibride.

                                                                                                                                                  • Rețeaua care găzduiește nodurile HDS trebuie să fie configurată pentru a forța traficul TCP de ieșire în portul 443 să se deplaseze prin proxy.

                                                                                                                                                  • Proxy-urile care inspectează traficul web pot interfera cu conexiunile socket-urilor web. Dacă apare această problemă, ocolirea (nu inspectarea) traficului la wbx2.com și ciscospark.com va rezolva problema.

                                                                                                                                                  Completați cerințele preliminare pentru securitatea datelor hibride

                                                                                                                                                  Utilizați această listă de verificare pentru a vă asigura că sunteți gata să instalați și să configurați clusterul de securitate a datelor hibride.
                                                                                                                                                  1

                                                                                                                                                  Asigurați-vă că organizația dvs. Webex este activată pentru pachetul Pro pentru Cisco Webex Control Hub și obțineți acreditările unui cont cu drepturi depline de administrator al organizației. Contactați-vă partenerul Cisco sau managerul de cont pentru ajutor în acest proces.

                                                                                                                                                  2

                                                                                                                                                  Alegeți un nume de domeniu pentru implementarea HDS (de exemplu, hds.company.com) și să obțină un lanț de certificate care conține un certificat X.509, cheie privată și orice certificate intermediare. Lanțul certificatului trebuie să îndeplinească cerințele din Cerințele de certificare X.509.

                                                                                                                                                  3

                                                                                                                                                  Pregătiți gazdele virtuale identice pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. Aveți nevoie de cel puțin două gazde separate (3 recomandate) plasate în același centru de date securizat, care îndeplinesc cerințele din Cerințele Gazdei Virtuale.

                                                                                                                                                  4

                                                                                                                                                  Pregătiți serverul bazei de date care va acționa ca un magazin de date cheie pentru cluster, în conformitate cu cerințele serverului bazei de date. Serverul bazei de date trebuie să fie plasat în centrul de date securizat cu gazdele virtuale.

                                                                                                                                                  1. Creați o bază de date pentru stocarea tastelor. (Trebuie să creați această bază de date—nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.)

                                                                                                                                                  2. Colectați detaliile pe care nodurile le vor utiliza pentru a comunica cu serverul bazei de date:

                                                                                                                                                    • numele gazdei sau adresa IP (gazda) și portul

                                                                                                                                                    • numele bazei de date (dbname) pentru stocarea cheilor

                                                                                                                                                    • numele de utilizator și parola unui utilizator cu toate privilegiile din baza de date de stocare cu tastatură

                                                                                                                                                  5

                                                                                                                                                  Pentru recuperarea rapidă a dezastrelor, configurați un mediu de rezervă într-un alt centru de date. Mediul de rezervă reflectă mediul de producție al VMs și un server de baze de date de rezervă. De exemplu, dacă producția are 3 VMs care rulează noduri HDS, mediul de rezervă ar trebui să aibă 3 VMs.

                                                                                                                                                  6

                                                                                                                                                  Configurați o gazdă syslog pentru a colecta jurnale de la nodurile din cluster. Aduna adresa de rețea și portul syslog (implicit este UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Creați o politică de rezervă securizată pentru nodurile de securitate a datelor hibride, serverul bazei de date și gazda syslog. Cel puțin, pentru a preveni pierderea de date nerecuperabile, trebuie să salvați baza de date și fișierul ISO de configurare generat pentru nodurile de securitate a datelor hibride.


                                                                                                                                                   

                                                                                                                                                  Deoarece nodurile de securitate a datelor hibride stochează cheile utilizate în criptarea și decriptarea conținutului, nemenținerea unei implementări operaționale va duce la PIERDEREA NERECUPERABILĂ a conținutului respectiv.

                                                                                                                                                  Clienții Aplicației Webex își ascund cheile, astfel încât este posibil ca o întrerupere să nu fie vizibilă imediat, dar va deveni evidentă în timp. În timp ce ieșirile temporare sunt imposibil de prevenit, acestea sunt recuperabile. Cu toate acestea, pierderea completă (fără backup-uri disponibile) a bazei de date sau a fișierului ISO de configurare va duce la date client nerecuperabile. Operatorii nodurilor de securitate a datelor hibride se așteaptă să mențină backup-uri frecvente ale bazei de date și ale fișierului ISO de configurare și să fie pregătiți să reconstruiască centrul de date de securitate a datelor hibride în cazul în care apare un eșec catastrofal.

                                                                                                                                                  8

                                                                                                                                                  Asigurați-vă că configurația firewall-ului dvs. permite conectivitatea pentru nodurile dvs. de securitate a datelor hibride, astfel cum sunt prezentate în cerințele de conectivitate externă.

                                                                                                                                                  9

                                                                                                                                                  Instalați Docker ( https://www.docker.com) pe orice mașină locală care rulează un sistem de operare acceptat (Microsoft Windows 10 Professional sau Enterprise pe 64 de biți sau Mac OSX Yosemite 10.10.3 sau mai sus) cu un browser web care îl poate accesa la http://127.0.0.1:8080.

                                                                                                                                                  Utilizați instanța Docker pentru a descărca și rula Instrumentul de configurare HDS, care construiește informațiile de configurare locale pentru toate nodurile de securitate a datelor hibride. Este posibil ca organizația dvs. să aibă nevoie de o licență Docker Desktop. Consultați Cerințele Docker Desktop pentru mai multe informații.

                                                                                                                                                  Pentru a instala și rula Instrumentul de configurare HDS, utilajul local trebuie să aibă conectivitatea descrisă în Cerințele de conectivitate externă.

                                                                                                                                                  10

                                                                                                                                                  Dacă integrați un proxy cu securitatea datelor hibride, asigurați-vă că îndeplinește Cerințele serverului proxy.

                                                                                                                                                  11

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului, creați un grup în Active Directory numit HdsTrialGroup, și adăugați utilizatori pilot. Grupul de încercare poate avea până la 250 de utilizatori. Fișierul HdsTrialGroup obiectul trebuie să fie sincronizat în cloud înainte de a putea iniția o încercare pentru organizația dvs. Pentru a sincroniza un obiect de grup, selectați-l în Directory Connector Configurare > Meniu Selecție obiect. (Pentru instrucțiuni detaliate, consultați Ghidul de implementare pentru Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Tastele pentru un anumit spațiu sunt stabilite de creatorul spațiului. Atunci când selectați utilizatori pilot, rețineți că, dacă decideți să dezactivați definitiv implementarea securității datelor hibride, toți utilizatorii pierd accesul la conținut în spațiile create de utilizatorii pilot. Pierderea devine evidentă imediat ce aplicațiile utilizatorilor își reîmprospătează copiile cache ale conținutului.

                                                                                                                                                  Configurarea unui cluster de securitate a datelor hibride

                                                                                                                                                  Flux sarcină de implementare a securității datelor hibride

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Pregătiți-vă mediul

                                                                                                                                                  1

                                                                                                                                                  Descărcați fișierele de instalare

                                                                                                                                                  Descărcați fișierul OVA la utilajul local pentru utilizare ulterioară.

                                                                                                                                                  2

                                                                                                                                                  Creați un ISO de configurare pentru gazdele HDS

                                                                                                                                                  Utilizați instrumentul de configurare HDS pentru a crea un fișier de configurare ISO pentru nodurile de securitate a datelor hibride.

                                                                                                                                                  3

                                                                                                                                                  Instalați gazda HDS OVA

                                                                                                                                                  Creați o mașină virtuală din fișierul OVA și efectuați configurația inițială, cum ar fi setările de rețea.


                                                                                                                                                   

                                                                                                                                                  Opțiunea de configurare a setărilor de rețea în timpul implementării OVA a fost testată cu ESXi 6.5. Este posibil ca opțiunea să nu fie disponibilă în versiunile anterioare.

                                                                                                                                                  4

                                                                                                                                                  Configurați VM-ul de securitate a datelor hibride

                                                                                                                                                  Conectați-vă la consola VM și setați acreditările de conectare. Configurați setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.

                                                                                                                                                  5

                                                                                                                                                  Încărcați și montați ISO de configurare HDS

                                                                                                                                                  Configurați VM din fișierul de configurare ISO pe care l-ați creat cu instrumentul de configurare HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurați nodul HDS pentru integrarea proxy

                                                                                                                                                  Dacă mediul de rețea necesită configurare proxy, specificați tipul de proxy pe care îl veți utiliza pentru nod și adăugați certificatul proxy la magazinul de încredere, dacă este necesar.

                                                                                                                                                  7

                                                                                                                                                  Înregistrați primul nod în cluster

                                                                                                                                                  Înregistrați VM cu cloudul Cisco Webex ca nod de securitate a datelor hibrid.

                                                                                                                                                  8

                                                                                                                                                  Creați și înregistrați mai multe noduri

                                                                                                                                                  Finalizați configurarea clusterului.

                                                                                                                                                  9

                                                                                                                                                  Efectuați un proces și mutați-vă la producție (capitolul următor)

                                                                                                                                                  Până când începeți o încercare, nodurile dvs. generează o alarmă care indică faptul că serviciul dvs. nu este încă activat.

                                                                                                                                                  Descărcați fișierele de instalare

                                                                                                                                                  În această sarcină, descărcați un fișier OVA pe mașina dvs. (nu pe serverele pe care le-ați configurat ca noduri de securitate a datelor hibride). Utilizați acest fișier mai târziu în procesul de instalare.
                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la https://admin.webex.comși apoi faceți clic pe Servicii.

                                                                                                                                                  2

                                                                                                                                                  În secțiunea Servicii hibride, găsiți cardul de securitate a datelor hibride, apoi faceți clic pe Configurare.

                                                                                                                                                  Dacă cardul este dezactivat sau nu îl vedeți, contactați echipa de cont sau organizația parteneră. Dați-le numărul contului dvs. și solicitați să activați organizația dvs. pentru securitatea datelor hibride. Pentru a găsi numărul contului, faceți clic pe dispozitivul din dreapta sus, lângă numele organizației dvs.


                                                                                                                                                   

                                                                                                                                                  De asemenea, puteți descărca OVA în orice moment din secțiunea Ajutor de pe pagina Setări . Pe cardul de securitate a datelor hibride, faceți clic pe Editare setări pentru a deschide pagina. Atunci, faceți clic pe Descărcați software-ul de securitate a datelor hibride în secțiunea Ajutor .


                                                                                                                                                   

                                                                                                                                                  Versiunile mai vechi ale pachetului software (OVA) nu vor fi compatibile cu cele mai recente upgrade-uri de securitate a datelor hibride. Acest lucru poate duce la probleme în timp ce actualizarea aplicației. Asigurați-vă că descărcați cea mai recentă versiune a fișierului OVA.

                                                                                                                                                  3

                                                                                                                                                  Selectați Nu pentru a indica faptul că nu ați configurat încă nodul, apoi faceți clic pe Înainte.

                                                                                                                                                  Fișierul OVA începe automat să se descarce. Salvați fișierul într-o locație de pe utilajul dvs.
                                                                                                                                                  4

                                                                                                                                                  Opțional, faceți clic pe Deschidere Ghid de implementare pentru a verifica dacă există o versiune ulterioară a acestui ghid disponibil.

                                                                                                                                                  Creați un ISO de configurare pentru gazdele HDS

                                                                                                                                                  Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi utilizați ISO pentru a configura gazda dvs. de securitate a datelor hibride.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Instrumentul de configurare HDS rulează ca container Docker pe un computer local. Pentru a-l accesa, rulați Docker pe acel computer. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi complete de administrator pentru organizația dvs.

                                                                                                                                                    Dacă instrumentul de configurare HDS rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin variabilele de mediu Docker atunci când ridicați containerul Docker în pasul 5. Acest tabel oferă câteva variabile de mediu posibile:

                                                                                                                                                    Descriere

                                                                                                                                                    Variabilă

                                                                                                                                                    Proxy HTTP fără autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS fără autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTP cu autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS cu autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Fișierul de configurare ISO pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier oricând efectuați modificări de configurare, cum ar fi acestea:

                                                                                                                                                    • Informații bază de date

                                                                                                                                                    • Actualizări certificat

                                                                                                                                                    • Modificări ale politicii de autorizare

                                                                                                                                                  • Dacă intenționați să criptați conexiunile la baza de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

                                                                                                                                                  1

                                                                                                                                                  În linia de comandă a computerului dvs., introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                  În medii obișnuite:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  În mediile FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.

                                                                                                                                                  2

                                                                                                                                                  Pentru a vă conecta la registry de imagini Docker, introduceți următoarele:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  La solicitarea parolei, introduceți acest hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Descărcați cea mai recentă imagine stabilă pentru mediul dvs.:

                                                                                                                                                  În medii obișnuite:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  În mediile FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                  • În mediile obișnuite fără un proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • În mediile obișnuite cu un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • În mediile obișnuite cu un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • În mediile FedRAMP fără un proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • În mediile FedRAMP cu un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • În mediile FedRAMP cu un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Când containerul rulează, veți vedea „Serverul Express ascultând pe portul 8080”.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală.

                                                                                                                                                  Utilizați un browser web pentru a merge la gazda locală, http://127.0.0.1:8080, și introduceți numele de utilizator al administratorului clientului pentru Control Hub la prompt.

                                                                                                                                                  Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul adecvat pentru acel cont. Instrumentul afișează apoi apelul standard de conectare.

                                                                                                                                                  7

                                                                                                                                                  Când vi se solicită, introduceți acreditările de conectare ale administratorului clientului Control Hub, apoi faceți clic pe Conectare pentru a permite accesul la serviciile necesare pentru securitatea datelor hibride.

                                                                                                                                                  8

                                                                                                                                                  Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Get Started.

                                                                                                                                                  9

                                                                                                                                                  Pe pagina ISO Import aveți aceste opțiuni:

                                                                                                                                                  • Nu—Dacă creați primul nod HDS, nu aveți un fișier ISO pentru încărcare.
                                                                                                                                                  • Da—Dacă ați creat deja noduri HDS, apoi selectați fișierul ISO în navigare și încărcați-l.
                                                                                                                                                  10

                                                                                                                                                  Verificați dacă certificatul dvs. X.509 îndeplinește cerințele din Cerințele de certificare X.509.

                                                                                                                                                  • Dacă nu ați mai încărcat un certificat înainte, încărcați certificatul X.509, introduceți parola și faceți clic pe Continuare.
                                                                                                                                                  • Dacă certificatul dvs. este OK, faceți clic pe Continuare.
                                                                                                                                                  • Dacă certificatul dvs. a expirat sau doriți să îl înlocuiți, selectați Nu pentru Continuare utilizând lanțul certificatului HDS și cheia privată din ISO anterior?. Încărcați un nou certificat X.509, introduceți parola și faceți clic pe Continuare.
                                                                                                                                                  11

                                                                                                                                                  Introduceți adresa bazei de date și contul HDS pentru a accesa baza de date cu tastatură:

                                                                                                                                                  1. Selectați tipul bazei de date (PostgreSQL sau Microsoft SQL Server).

                                                                                                                                                    Dacă alegeți Microsoft SQL Server, primiți un câmp tip autentificare.

                                                                                                                                                  2. (Numai serverul Microsoft SQL) Selectați tipul dvs. de autentificare:

                                                                                                                                                    • Autentificare de bază: Aveți nevoie de un nume de cont SQL Server local în câmpul Nume de utilizator .

                                                                                                                                                    • Autentificare Windows: Aveți nevoie de un cont Windows în format username@DOMAIN în câmpul Nume utilizator .

                                                                                                                                                  3. Introduceți adresa serverului bazei de date în formular <hostname>:<port> sau <IP-address>:<port>.

                                                                                                                                                    Exemplu:
                                                                                                                                                    dbhost.example.org:1433 sau 198.51.100.17:1433

                                                                                                                                                    Puteți utiliza o adresă IP pentru autentificarea de bază, dacă nodurile nu pot utiliza DNS pentru a rezolva numele gazdei.

                                                                                                                                                    Dacă utilizați autentificarea Windows, trebuie să introduceți un nume de domeniu complet calificat în format dbhost.example.org:1433

                                                                                                                                                  4. Introduceți numele bazei de date.

                                                                                                                                                  5. Introduceți numele de utilizator și parola unui utilizator cu toate privilegiile din baza de date de stocare cu tastatură.

                                                                                                                                                  12

                                                                                                                                                  Selectați un mod de conectare la baza de date TLS:

                                                                                                                                                  Mod

                                                                                                                                                  Descriere

                                                                                                                                                  Prefer TLS (opțiune prestabilită)

                                                                                                                                                  Nodurile HDS nu necesită TLS pentru a se conecta la server bază de date de date . Dacă activați TLS pe serverul bazei de date, nodurile încearcă o conexiune criptată.

                                                                                                                                                  Solicită TLS

                                                                                                                                                  Nodurile HDS se conectează numai dacă server bază de date poate negocia TLS.

                                                                                                                                                  Solicită TLS și verifică semnatarul certificatului


                                                                                                                                                   

                                                                                                                                                  Acest mod nu se aplică bazelor de date SQL Server.

                                                                                                                                                  • Nodurile HDS se conectează numai dacă server bază de date poate negocia TLS.

                                                                                                                                                  • După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de pe serverul bazei de date cu autoritatea certificatului din certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul întrerupe conexiunea.

                                                                                                                                                  Utilizați certificat rădăcină bază de date de sub meniul drop-down pentru a încărca certificat rădăcină pentru această opțiune.

                                                                                                                                                  Solicită TLS și verifică semnatarul certificatului și numele gazdei

                                                                                                                                                  • Nodurile HDS se conectează numai dacă server bază de date poate negocia TLS.

                                                                                                                                                  • După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de pe serverul bazei de date cu autoritatea certificatului din certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul întrerupe conexiunea.

                                                                                                                                                  • Nodurile verifică, de asemenea, dacă numele gazdei din certificatul de server corespunde numelui gazdei din câmpul Gazdă bază de date și port . Numele trebuie să corespundă exact, sau nodul întrerupe conexiunea.

                                                                                                                                                  Utilizați certificat rădăcină bază de date de sub meniul drop-down pentru a încărca certificat rădăcină pentru această opțiune.

                                                                                                                                                  Când încărcați certificatul rădăcină (dacă este necesar) și faceți clic pe Continuare, instrumentul de configurare HDS testează conexiunea TLS la serverul bazei de date. Instrumentul verifică, de asemenea, semnatarul certificatului și numele gazdei, dacă este cazul. Dacă un test eșuează, instrumentul afișează un mesaj de eroare care descrie problema. Puteți alege să ignorați eroarea și să continuați configurarea. (Din cauza diferențelor de conectivitate, nodurile HDS ar putea fi capabile să stabilească conexiunea TLS, chiar dacă utilajul Instrumentului de configurare HDS nu o poate testa cu succes.)

                                                                                                                                                  13

                                                                                                                                                  Pe pagina Jurnale de sistem, configurați serverul Syslogd:

                                                                                                                                                  1. Introduceți URL-ul serverului syslog.

                                                                                                                                                    Dacă serverul nu poate fi rezolvat prin DNS din nodurile clusterului dvs. HDS, utilizați o adresă IP în URL.

                                                                                                                                                    Exemplu:
                                                                                                                                                    udp://10.92.43.23:514 indică conectarea la gazda Syslogd 10.92.43.23 pe portul UDP 514.
                                                                                                                                                  2. Dacă configurați serverul pentru a utiliza criptarea TLS, verificați dacă este configurat serverul syslog pentru criptarea SSL?.

                                                                                                                                                    Dacă bifați această casetă de selectare, asigurați-vă că introduceți un URL TCP, cum ar fi tcp://10.92.43.23:514.

                                                                                                                                                  3. Din lista derulantă Choose syslog record termination , alegeți setarea potrivită pentru fișierul dvs. ISO: Alegerea sau linia nouă este utilizată pentru Graylog și Rsyslog TCP

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Newline -- \n—Selectați această opțiune pentru Graylog și Rsyslog TCP.

                                                                                                                                                  4. Faceți clic pe Continuați.

                                                                                                                                                  14

                                                                                                                                                  (Opțional) Puteți modifica valoarea implicită a unor parametri de conexiune la baza de date în Setări avansate. În general, acest parametru este singurul pe care s-ar putea dori să-l modificați:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Faceți clic pe Continuare pe ecranul Resetare Conturi serviciu Parolă .

                                                                                                                                                  Parolele contului de serviciu au o durată de viață de nouă luni. Utilizați acest ecran atunci când parolele dvs. se apropie de expirare sau doriți să le resetați pentru a dezactiva fișierele ISO anterioare.

                                                                                                                                                  16

                                                                                                                                                  Faceți clic pe Descărcați fișierul ISO. Salvați fișierul într-o locație ușor de găsit.

                                                                                                                                                  17

                                                                                                                                                  Efectuați o copie de rezervă a fișierului ISO pe sistemul local.

                                                                                                                                                  Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare.

                                                                                                                                                  18

                                                                                                                                                  Pentru a închide instrumentul de configurare, tastați CTRL+C.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Backup fișierul ISO de configurare. Aveți nevoie de ea pentru a crea mai multe noduri pentru recuperare, sau pentru a face modificări de configurare. Dacă pierdeți toate copiile fișierului ISO, ați pierdut, de asemenea, cheia principală. Recuperarea tastelor din baza de date PostgreSQL sau Microsoft SQL Server nu este posibilă.


                                                                                                                                                   

                                                                                                                                                  Nu avem niciodată o copie a acestei chei și nu poate ajuta dacă îl pierzi.

                                                                                                                                                  Instalați gazda HDS OVA

                                                                                                                                                  Utilizați această procedură pentru a crea o mașină virtuală din fișierul OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilizați clientul VMware vSphere de pe computer pentru a vă conecta la gazda virtuală ESXi.

                                                                                                                                                  2

                                                                                                                                                  Selectați Fișier > Implementați șablonul OVF.

                                                                                                                                                  3

                                                                                                                                                  În expert, specificați locația fișierului OVA pe care l-ați descărcat mai devreme, apoi faceți clic pe În continuare.

                                                                                                                                                  4

                                                                                                                                                  Pe Selectați un nume și un folder pagină , introduceți o Nume mașină virtuală pentru nod (de exemplu, „HDS_Node_1”), alegeți o locație în care se poate afla implementarea nodului mașinii virtuale, apoi faceți clic pe În continuare.

                                                                                                                                                  5

                                                                                                                                                  Pe Selectați o resursă de calcul pagină , alegeți resursa de calcul destinație, apoi faceți clic pe În continuare.

                                                                                                                                                  O verificare de validare se execută. După ce se termină, apar detaliile șablonului.

                                                                                                                                                  6

                                                                                                                                                  Verificați detaliile șablonului și apoi faceți clic pe Înainte.

                                                                                                                                                  7

                                                                                                                                                  Dacă vi se solicită să alegeți configurația de resurse de pe Configurare pagină , faceți clic pe 4 CPU apoi faceți clic pe În continuare.

                                                                                                                                                  8

                                                                                                                                                  Pe Selectați spațiul de stocare pagină , faceți clic pe În continuare pentru a accepta formatul implicit al discului și politica de stocare VM.

                                                                                                                                                  9

                                                                                                                                                  Pe Selectați rețelele pagină, alege opțiunea de rețea din lista de intrări pentru a oferi conexiunea dorită la VM.

                                                                                                                                                  10

                                                                                                                                                  Pe pagina Personalizați șablonul , configurați următoarele setări ale rețelei:

                                                                                                                                                  • Nume gazdă—Introduceți FQDN (nume de gazdă și domeniu) sau un singur cuvânt nume de gazdă pentru nod.

                                                                                                                                                     
                                                                                                                                                    • Nu este necesar să setați domeniul pentru a se potrivi domeniului pe care l-ați utilizat pentru a obține certificatul X.509.

                                                                                                                                                    • Pentru a vă asigura că vă înregistrați cu succes în cloud, utilizați numai caractere din FQDN sau numele gazdei pe care le-ați setat pentru nod. Capitalizarea nu este acceptată în acest moment.

                                                                                                                                                    • Lungimea totală a FQDN nu trebuie să depășească 64 de caractere.

                                                                                                                                                  • Adresă IP— Introduceți adresa IP pentru interfața internă a nodului.

                                                                                                                                                     

                                                                                                                                                    Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat.

                                                                                                                                                  • Mască—Introduceți adresa măștii subnet în notația punct-zecimală. De exemplu, 255.255.255.0.
                                                                                                                                                  • Gateway—Introduceți adresa IP a gateway-ului. Un gateway este un nod de rețea care servește ca punct de acces la o altă rețea.
                                                                                                                                                  • Servere DNS—Introduceți o listă de servere DNS separate prin virgulă, care se ocupă cu traducerea numelor de domenii către adrese IP numerice. (Sunt permise până la 4 intrări DNS.)
                                                                                                                                                  • Servere NTP—Introduceți serverul NTP al organizației dvs. sau un alt server NTP extern care poate fi utilizat în organizația dvs. Serverele NTP implicite nu pot funcționa pentru toate întreprinderile. De asemenea, puteți utiliza o listă separată prin virgulă pentru a introduce mai multe servere NTP.
                                                                                                                                                  • Implementați toate nodurile din aceeași subrețea sau VLAN, astfel încât toate nodurile dintr-un cluster să poată fi accesate de clienții din rețeaua dvs. în scopuri administrative.

                                                                                                                                                  Dacă preferați, puteți sări peste configurația de setare a rețelei și puteți urma pașii din Configurați VM-ul de securitate a datelor hibride pentru a configura setările din consola nodului.


                                                                                                                                                   

                                                                                                                                                  Opțiunea de configurare a setărilor de rețea în timpul implementării OVA a fost testată cu ESXi 6.5. Este posibil ca opțiunea să nu fie disponibilă în versiunile anterioare.

                                                                                                                                                  11

                                                                                                                                                  Faceți clic dreapta pe nodul VM, apoi alegeți Alimentare > Pornire.

                                                                                                                                                  Software-ul de securitate a datelor hibride este instalat ca invitat pe Gazda VM. Acum sunteți gata să vă conectați la consolă și să configurați nodul.

                                                                                                                                                  Sfaturi pentru depanare

                                                                                                                                                  Este posibil să aveți o întârziere de câteva minute înainte de apariția containerelor de nod. Un mesaj de firewall de legătură apare pe consolă în timpul primei boot-ări, în timpul căreia nu vă puteți conecta.

                                                                                                                                                  Configurați VM-ul de securitate a datelor hibride

                                                                                                                                                  Utilizați această procedură pentru a vă conecta pentru prima dată la consola VM a nodului de securitate a datelor hibride și pentru a seta acreditările de conectare. De asemenea, puteți utiliza consola pentru a configura setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.

                                                                                                                                                  1

                                                                                                                                                  În clientul VMware vSphere, selectați nodul de securitate a datelor hibride VM și selectați fila Console .

                                                                                                                                                  VM pornește în sus și apare un prompt de conectare. Dacă mesajul de conectare nu se afișează, apăsați Enter.
                                                                                                                                                  2

                                                                                                                                                  Utilizați următoarea conectare implicită și parola pentru a vă conecta și a modifica datele de autentificare:

                                                                                                                                                  1. Conectare: admin

                                                                                                                                                  2. Parolă: cisco

                                                                                                                                                  Deoarece vă conectați pentru prima dată la VM, trebuie să schimbați parola de administrator.

                                                                                                                                                  3

                                                                                                                                                  Dacă ați configurat deja setările de rețea în Instalați gazda HDS OVA, omiteți restul acestei proceduri. În caz contrar, în meniul principal, selectați opțiunea Editare configurație .

                                                                                                                                                  4

                                                                                                                                                  Configurați o configurație statică cu adresă IP, Mască, Gateway și informații DNS. Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat.

                                                                                                                                                  5

                                                                                                                                                  (Opțional) Modificați numele gazdei, domeniul sau serverul (serverele) NTP, dacă este necesar pentru a se potrivi cu politica de rețea.

                                                                                                                                                  Nu este necesar să setați domeniul pentru a se potrivi domeniului pe care l-ați utilizat pentru a obține certificatul X.509.

                                                                                                                                                  6

                                                                                                                                                  Salvați configurația de rețea și reporniți VM, astfel încât modificările să aibă efect.

                                                                                                                                                  Încărcați și montați ISO de configurare HDS

                                                                                                                                                  Utilizați această procedură pentru a configura mașina virtuală din fișierul ISO pe care l-ați creat cu instrumentul de configurare HDS.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Deoarece fișierul ISO deține cheia principală, acesta ar trebui să fie expus numai pe o bază „trebuie să știe”, pentru a fi accesat de către VM-urile de securitate a datelor hibride și de orice administratori care ar putea avea nevoie să facă modificări. Asigurați-vă că numai acei administratori pot accesa stația de date.

                                                                                                                                                  1

                                                                                                                                                  Încărcați fișierul ISO de pe computer:

                                                                                                                                                  1. În panoul de navigare din stânga al clientului VMware vSphere, faceţi clic pe serverul ESXi.

                                                                                                                                                  2. În lista Hardware a filei de configurare, faceți clic pe Storage (Depozitare).

                                                                                                                                                  3. În lista Datastores, faceți clic dreapta pe bara de date pentru VMs și faceți clic pe Browse Datastore.

                                                                                                                                                  4. Faceți clic pe pictograma Încărcare fișiere, apoi faceți clic pe Încărcare fișier.

                                                                                                                                                  5. Navigați la locația în care ați descărcat fișierul ISO pe computer și faceți clic pe Deschidere.

                                                                                                                                                  6. Faceți clic pe Da pentru a accepta avertismentul operațiunii de încărcare/descărcare și închideți dialogul cu stația de date.

                                                                                                                                                  2

                                                                                                                                                  Montați fișierul ISO:

                                                                                                                                                  1. În panoul de navigare din stânga al clientului VMware vSphere, da clic dreapta pe VM și faceți clic Editați setările .

                                                                                                                                                  2. Faceți clic pe OK pentru a accepta avertismentul privind opțiunile de editare restricționate.

                                                                                                                                                  3. Clic CD/DVD Drive 1, selectați opțiunea de montare dintr-un fișier ISO datastore și navigați la locația în care ați încărcat fișierul ISO de configurare.

                                                                                                                                                  4. Verificați Conectat și Conectat la putere.

                                                                                                                                                  5. Salvați modificările și reporniți mașina virtuală.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Dacă politica dvs. IT necesită, puteți dezinstala opțional fișierul ISO după ce toate nodurile dvs. preiau modificările de configurare. Consultați (Opțional) Dezasamblarea ISO după configurarea HDS pentru detalii.

                                                                                                                                                  Configurați nodul HDS pentru integrarea proxy

                                                                                                                                                  Dacă mediul de rețea necesită un proxy, utilizați această procedură pentru a specifica tipul de proxy pe care doriți să îl integrați cu securitatea datelor hibride. Dacă alegeți un proxy de inspecție transparent sau un proxy explicit HTTPS, puteți utiliza interfața nodului pentru a încărca și instala certificatul rădăcină. De asemenea, puteți verifica conexiunea proxy din interfață și puteți rezolva orice probleme potențiale.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  1

                                                                                                                                                  Introduceți URL-ul de configurare a nodului HDS https://[HDS Node IP or FQDN]/setup într-un browser web, introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.

                                                                                                                                                  2

                                                                                                                                                  Accesați Trust Store & Proxy, apoi alegeți o opțiune:

                                                                                                                                                  • Nu există proxy—Opțiunea implicită înainte de a integra un proxy. Nu este necesară nicio actualizare a certificatului.
                                                                                                                                                  • Proxy transparent fără inspecție- Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy și nu ar trebui să necesite nicio modificare pentru a lucra cu un proxy fără inspecție. Nu este necesară nicio actualizare a certificatului.
                                                                                                                                                  • Inspecție transparentă proxy- Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy. Nu sunt necesare modificări ale configurației HTTPS la implementarea securității datelor hibride, cu toate acestea, nodurile HDS au nevoie de un certificat rădăcină pentru a avea încredere în proxy. De obicei, proxy-urile de inspecție sunt utilizate de IT pentru a pune în aplicare politicile pe care site-urile pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).
                                                                                                                                                  • Proxy explicit—Cu proxy explicit, spuneți clientului (noduri HDS) ce server proxy să utilizeze, iar această opțiune acceptă mai multe tipuri de autentificare. După ce alegeți această opțiune, trebuie să introduceți următoarele informații:
                                                                                                                                                    1. IP proxy/FQDN—Adresă care poate fi utilizată pentru a ajunge la utilajul proxy.

                                                                                                                                                    2. Portul proxy—Un număr de port pe care proxy-ul îl folosește pentru a asculta traficul proxy.

                                                                                                                                                    3. Proxy Protocol—Alegeți http (vizualizează și controlează toate solicitările primite de la client) sau https (oferă un canal serverului, iar clientul primește și validează certificatul serverului). Alegeți o opțiune pe baza a ceea ce acceptă serverul proxy.

                                                                                                                                                    4. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:

                                                                                                                                                      • Niciuna – Nu este necesară autentificarea suplimentară.

                                                                                                                                                        Disponibil pentru proxy-uri HTTP sau HTTPS.

                                                                                                                                                      • De bază—Utilizat pentru un agent de utilizator HTTP pentru a furniza un nume de utilizator și o parolă atunci când efectuați o solicitare. Utilizează codificarea Base64.

                                                                                                                                                        Disponibil pentru proxy-uri HTTP sau HTTPS.

                                                                                                                                                        Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola.

                                                                                                                                                      • Digest—Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite în rețea.

                                                                                                                                                        Disponibil numai pentru proxy-uri HTTPS.

                                                                                                                                                        Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola.

                                                                                                                                                  Urmați pașii următori pentru un proxy de inspecție transparent, un proxy explicit HTTP cu autentificare de bază sau un proxy explicit HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Faceți clic pe Încărcați un certificat rădăcină sau un certificat de entitate finalizată, apoi navigați la o alegere a certificatului rădăcină pentru proxy.

                                                                                                                                                  Certificatul este încărcat, dar nu este încă instalat, deoarece trebuie să reporniți nodul pentru a instala certificatul. Faceți clic pe săgeata chevron după numele emitentului certificatului pentru a obține mai multe detalii sau faceți clic pe Ștergere dacă ați făcut o greșeală și doriți să reîncărcați fișierul.

                                                                                                                                                  4

                                                                                                                                                  Faceți clic pe Verificare conexiune proxy pentru a testa conectivitatea la rețea între nod și proxy.

                                                                                                                                                  Dacă testul conexiunii eșuează, veți vedea un mesaj de eroare care arată motivul și modul în care puteți corecta problema.

                                                                                                                                                  Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a reușit, nodul nu a putut ajunge la serverul DNS. Această condiție este de așteptat în multe configurații proxy explicite. Puteți continua cu configurarea, iar nodul va funcționa în modul de Rezoluție DNS Externă Blocată. Dacă credeți că aceasta este o eroare, completați acești pași și apoi consultați Dezactivarea modului de rezoluție DNS extern blocat.

                                                                                                                                                  5

                                                                                                                                                  După ce testul conexiunii trece, pentru proxy explicit setat numai la https, activați comutatorul pentru a Ruta toate solicitările de port 443/444 https din acest nod prin proxy explicit. Această setare necesită 15 secunde pentru a intra în vigoare.

                                                                                                                                                  6

                                                                                                                                                  Faceți clic pe Instalare toate certificatele în magazinul de încredere (apare pentru un proxy explicit HTTPS sau un proxy de inspecție transparent) sau Reporniți (apare pentru un proxy explicit HTTP), citiți mesajul și apoi faceți clic pe Instalare dacă sunteți pregătit.

                                                                                                                                                  Nodul repornește în câteva minute.

                                                                                                                                                  7

                                                                                                                                                  După repornirea nodului, conectați-vă din nou dacă este necesar, apoi deschideți pagina Prezentare generală pentru a verifica verificările de conectivitate pentru a vă asigura că toate sunt în stare verde.

                                                                                                                                                  Verificarea conexiunii proxy testează numai un subdomeniu al webex.com. Dacă există probleme de conectivitate, o problemă comună este că unele dintre domeniile cloud enumerate în instrucțiunile de instalare sunt blocate la proxy.

                                                                                                                                                  Înregistrați primul nod în cluster

                                                                                                                                                  Această sarcină preia nodul generic pe care l-ați creat în Configurarea VM-ului de securitate a datelor hibride, înregistrează nodul cu cloudul Webex și îl transformă într-un nod de securitate a datelor hibride.

                                                                                                                                                  Când vă înregistrați primul nod, creați un cluster căruia i se atribuie nodul. Un cluster conține unul sau mai multe noduri implementate pentru a oferi redundanță.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Odată ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți.

                                                                                                                                                  • Asigurați-vă că orice blocare pop-up din browser-ul dvs. este dezactivată sau că permiteți o excepție pentru admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Din meniul din partea stângă a ecranului, selectați Servicii.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Servicii hibride, găsiți Securitatea datelor hibride și faceți clic pe Configurare.

                                                                                                                                                  Apare pagina Nod de securitate a datelor hibride de înregistrare.
                                                                                                                                                  4

                                                                                                                                                  Selectați Da pentru a indica faptul că ați configurat nodul și sunteți gata să îl înregistrați, apoi faceți clic pe Înainte.

                                                                                                                                                  5

                                                                                                                                                  În primul câmp, introduceți un nume pentru clusterul la care doriți să alocați nodul dvs. de securitate a datelor hibride.

                                                                                                                                                  Vă recomandăm să denumiți un cluster bazat pe locul în care nodurile clusterului sunt localizate geografic. Exemple: "San Francisco" sau "New York" sau "Dallas"

                                                                                                                                                  6

                                                                                                                                                  În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Înainte.

                                                                                                                                                  Această adresă IP sau FQDN trebuie să corespundă adresei IP sau numelui gazdei și domeniului pe care l-ați utilizat în Configurarea VM-ului de securitate a datelor hibride.

                                                                                                                                                  Apare un mesaj care indică faptul că vă puteți înregistra nodul la Webex.
                                                                                                                                                  7

                                                                                                                                                  Faceți clic pe Du-te la Nod.

                                                                                                                                                  8

                                                                                                                                                  Faceți clic pe Continuare în mesajul de avertizare.

                                                                                                                                                  După câteva momente, sunteți redirecționat către testele de conectivitate la noduri pentru serviciile Webex. Dacă toate testele au succes, apare pagina Permiteți accesul la nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați permisiuni organizației dvs. Webex pentru a accesa nodul dvs.
                                                                                                                                                  9

                                                                                                                                                  Bifați caseta de selectare Permite accesul la nodul dvs. de securitate a datelor hibride , apoi faceți clic pe Continuare.

                                                                                                                                                  Contul dvs. este validat, iar mesajul „Înscriere completă” indică faptul că nodul dvs. este acum înregistrat în cloudul Webex.
                                                                                                                                                  10

                                                                                                                                                  Faceți clic pe link-ul sau închideți fila pentru a reveni la pagina de securitate a datelor hibride Control Hub.

                                                                                                                                                  Pe pagina Securitate datelor hibride, este afișat noul cluster care conține nodul pe care l-ați înregistrat. Nodul va descărca automat cel mai recent software din cloud.

                                                                                                                                                  Creați și înregistrați mai multe noduri

                                                                                                                                                  Pentru a adăuga noduri suplimentare în cluster, creați pur și simplu VMs suplimentare și montați același fișier ISO de configurare, apoi înregistrați nodul. Vă recomandăm să aveți cel puțin 3 noduri.

                                                                                                                                                   

                                                                                                                                                  În acest moment, VMs de rezervă pe care le-ați creat în Completați Condițiile prealabile pentru securitatea datelor hibride sunt gazde standby care sunt utilizate numai în caz de recuperare a dezastrelor; acestea nu sunt înregistrate la sistem până atunci. Pentru detalii, consultați Recuperarea dezastrelor utilizând Centrul de date standby.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Odată ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți.

                                                                                                                                                  • Asigurați-vă că orice blocare pop-up din browser-ul dvs. este dezactivată sau că permiteți o excepție pentru admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Creați o nouă mașină virtuală din OVA, repetând pașii din Instalați gazda HDS OVA.

                                                                                                                                                  2

                                                                                                                                                  Configurați configurația inițială pe noul VM, repetând pașii din Configurați VM-ul de securitate a datelor hibride.

                                                                                                                                                  3

                                                                                                                                                  Pe noul VM, repetați pașii din Încărcați și montați ISO de configurare HDS.

                                                                                                                                                  4

                                                                                                                                                  Dacă configurați un proxy pentru implementarea dvs., repetați pașii din Configurați nodul HDS pentru Integrare proxy după cum este necesar pentru noul nod.

                                                                                                                                                  5

                                                                                                                                                  Înregistrați nodul.

                                                                                                                                                  1. În https://admin.webex.com, selectați Servicii din meniul din partea stângă a ecranului.

                                                                                                                                                  2. În secțiunea Servicii hibride, găsiți cardul de securitate a datelor hibride și faceți clic pe Resurse.

                                                                                                                                                    Apare pagina Resurse de securitate a datelor hibride.
                                                                                                                                                  3. Faceți clic pe Adăugare resursă.

                                                                                                                                                  4. În primul câmp, selectați numele clusterului existent.

                                                                                                                                                  5. În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Înainte.

                                                                                                                                                    Apare un mesaj care indică faptul că vă puteți înregistra nodul în cloudul Webex.
                                                                                                                                                  6. Faceți clic pe Du-te la Nod.

                                                                                                                                                    După câteva momente, sunteți redirecționat către testele de conectivitate la noduri pentru serviciile Webex. Dacă toate testele au succes, apare pagina Permiteți accesul la nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați permisiuni organizației dvs. pentru a accesa nodul dvs.
                                                                                                                                                  7. Bifați caseta de selectare Permite accesul la nodul dvs. de securitate a datelor hibride , apoi faceți clic pe Continuare.

                                                                                                                                                    Contul dvs. este validat, iar mesajul „Înscriere completă” indică faptul că nodul dvs. este acum înregistrat în cloudul Webex.
                                                                                                                                                  8. Faceți clic pe link-ul sau închideți fila pentru a reveni la pagina de securitate a datelor hibride Control Hub.

                                                                                                                                                  Nodul dvs. este înregistrat. Rețineți că până când începeți o încercare, nodurile dvs. generează o alarmă care indică faptul că serviciul dvs. nu este încă activat.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Efectuați un proces și mutați-vă la producție (capitolul următor)
                                                                                                                                                  Efectuați un proces și mutați-vă la producție

                                                                                                                                                  Încercare la fluxul sarcinilor de producție

                                                                                                                                                  După ce ați configurat un cluster de securitate a datelor hibride, puteți iniția un pilot, puteți adăuga utilizatori la acesta și puteți începe să îl utilizați pentru testarea și verificarea implementării dvs. în vederea trecerii la producție.

                                                                                                                                                  1

                                                                                                                                                  Dacă este cazul, sincronizați HdsTrialGroup obiect de grup.

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați HdsTrialGroup obiectul de grup pentru sincronizare în cloud înainte de a putea începe o încercare. Pentru instrucțiuni, consultați Ghidul de implementare pentru Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Activați procesul

                                                                                                                                                  Începeți o încercare. Până când nu efectuați această sarcină, nodurile dvs. generează o alarmă care indică faptul că serviciul nu este încă activat.

                                                                                                                                                  3

                                                                                                                                                  Testați implementarea securității datelor hibride

                                                                                                                                                  Verificați dacă solicitările cheie trec la implementarea securității datelor hibride.

                                                                                                                                                  4

                                                                                                                                                  Monitorizarea sănătății securității datelor hibride

                                                                                                                                                  Verificați starea și configurați notificările prin e-mail pentru alarme.

                                                                                                                                                  5

                                                                                                                                                  Adăugați sau eliminați utilizatori din procesul dvs.

                                                                                                                                                  6

                                                                                                                                                  Finalizați faza de probă cu una dintre următoarele acțiuni:

                                                                                                                                                  Activați procesul

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați HdsTrialGroup obiectul de grup pentru sincronizare în cloud înainte de a putea iniția o încercare pentru organizația dvs. Pentru instrucțiuni, consultați Ghidul de implementare pentru Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la https://admin.webex.comși apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  Sub Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Stare serviciu, faceți clic pe Inițiere încercare.

                                                                                                                                                  Starea serviciului se modifică în modul de încercare.
                                                                                                                                                  4

                                                                                                                                                  Faceți clic pe Adăugare utilizatori și introduceți adresa de e-mail a unuia sau mai multor utilizatori pentru a pilot utilizând nodurile dvs. de securitate a datelor hibride pentru serviciile de criptare și indexare.

                                                                                                                                                  (Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory pentru a gestiona grupul de încercare, HdsTrialGroup.)

                                                                                                                                                  Testați implementarea securității datelor hibride

                                                                                                                                                  Utilizați această procedură pentru a testa scenariile de criptare a securității datelor hibride.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Configurați implementarea securității datelor hibride.

                                                                                                                                                  • Activați procesul și adăugați mai mulți utilizatori de proces.

                                                                                                                                                  • Asigurați-vă că aveți acces la syslog pentru a verifica dacă solicitările cheie trec la implementarea securității datelor hibride.

                                                                                                                                                  1

                                                                                                                                                  Tastele pentru un anumit spațiu sunt stabilite de creatorul spațiului. Conectați-vă la Aplicația Webex ca unul dintre utilizatorii pilot, apoi creați un spațiu și invitați cel puțin un utilizator pilot și un utilizator non-pilot.


                                                                                                                                                   

                                                                                                                                                  Dacă dezactivați implementarea securității datelor hibride, conținutul din spațiile pe care utilizatorii pilot le creează nu mai este accesibil după ce copiile în cache ale cheilor de criptare sunt înlocuite.

                                                                                                                                                  2

                                                                                                                                                  Trimiteți mesaje către noul spațiu.

                                                                                                                                                  3

                                                                                                                                                  Verificați ieșirea syslog pentru a verifica dacă solicitările cheie trec la implementarea securității datelor hibride.

                                                                                                                                                  1. Pentru a verifica dacă un utilizator stabilește mai întâi un canal securizat la KMS, filtrați pe kms.data.method=create și kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Ar trebui să găsiți o intrare, cum ar fi următoarele (identificatori scurtați pentru lizibilitate):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Pentru a verifica dacă un utilizator solicită o cheie existentă din KMS, filtrați pe kms.data.method=retrieve și kms.data.type=KEY:

                                                                                                                                                    Trebuie să găsiți o intrare, cum ar fi:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Pentru a verifica dacă un utilizator solicită crearea unei noi chei KMS, filtrați pe kms.data.method=create și kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Trebuie să găsiți o intrare, cum ar fi:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Pentru a verifica dacă un utilizator solicită crearea unui nou obiect de resurse KMS (KRO) atunci când este creat un spațiu sau o altă resursă protejată, filtrați pe kms.data.method=create și kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Trebuie să găsiți o intrare, cum ar fi:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitorizarea sănătății securității datelor hibride

                                                                                                                                                  Un indicator de stare din Control Hub vă arată dacă totul este bine cu implementarea securității datelor hibride. Pentru o alertare mai proactivă, înscrieți-vă pentru notificări prin e-mail. Veți fi notificat atunci când există alarme sau upgrade-uri de software care afectează serviciul.
                                                                                                                                                  1

                                                                                                                                                  În Control Hub, selectați Servicii din meniul din partea stângă a ecranului.

                                                                                                                                                  2

                                                                                                                                                  În secțiunea Servicii hibride, găsiți Securitatea datelor hibride și faceți clic pe Setări.

                                                                                                                                                  Apare pagina Setări securitate date hibride.
                                                                                                                                                  3

                                                                                                                                                  În secțiunea Notificări prin e-mail, tastați una sau mai multe adrese de e-mail separate prin virgule și apăsați Enter.

                                                                                                                                                  Adăugați sau eliminați utilizatori din procesul dvs.

                                                                                                                                                  După ce ați activat un trial și ați adăugat setul inițial de utilizatori de trial, puteți adăuga sau elimina membri de trial în orice moment în timp ce procesul este activ.

                                                                                                                                                  Dacă eliminați un utilizator din trial, clientul utilizatorului va solicita chei și crearea de taste din KMS cloud în loc de KMS dvs. Dacă clientul are nevoie de o cheie stocată pe KMS-ul dvs., KMS-ul cloud o va prelua în numele utilizatorului.

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory (în loc de această procedură) pentru a gestiona grupul de încercare, HdsTrialGroup; puteți vizualiza membrii grupului din Control Hub, dar nu îi puteți adăuga sau elimina.

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  Sub Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Modul de încercare din zona de stare a serviciului, faceți clic pe Adăugare utilizatori sau faceți clic pe vizualizare și editare pentru a elimina utilizatorii din trial.

                                                                                                                                                  4

                                                                                                                                                  Introduceți adresa de e-mail a unuia sau mai multor utilizatori pentru a adăuga sau faceți clic pe X de către un ID de utilizator pentru a elimina utilizatorul din încercare. Apoi faceți clic Salvați .

                                                                                                                                                  Mutați de la încercare la producție

                                                                                                                                                  Când sunteți mulțumit că implementarea dvs. funcționează bine pentru utilizatorii de încercare, puteți trece la producție. Când treceți la producție, toți utilizatorii din organizație vor utiliza domeniul dvs. local de securitate a datelor hibride pentru cheile de criptare și alte servicii din domeniul de securitate. Nu puteți reveni la modul de încercare din producție decât dacă dezactivați serviciul ca parte a recuperării dezastrelor. Reactivarea serviciului vă cere să configurați o nouă încercare.
                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  Sub Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Stare serviciu, faceți clic pe Mutare în producție.

                                                                                                                                                  4

                                                                                                                                                  Confirmați că doriți să mutați toți utilizatorii la producție.

                                                                                                                                                  Încheiați procesul fără a trece la producție

                                                                                                                                                  Dacă, în timpul perioadei de probă, decideți să nu continuați cu implementarea securității datelor hibride, puteți dezactiva securitatea datelor hibride, care încheie perioada de probă și mută utilizatorii de încercare înapoi la serviciile de securitate a datelor în cloud. Utilizatorii procesului vor pierde accesul la datele care au fost criptate în timpul procesului.
                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  Sub Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Dezactivare, faceți clic pe Dezactivare.

                                                                                                                                                  4

                                                                                                                                                  Confirmați că doriți să dezactivați serviciul și să finalizați procesul.

                                                                                                                                                  Gestionați implementarea HDS

                                                                                                                                                  Gestionați implementarea HDS

                                                                                                                                                  Utilizați sarcinile descrise aici pentru a gestiona implementarea securității datelor hibride.

                                                                                                                                                  Setați programul de upgrade al clusterului

                                                                                                                                                  Upgrade-urile de software pentru securitatea datelor hibride se fac automat la nivelul clusterului, ceea ce asigură că toate nodurile rulează întotdeauna aceeași versiune de software. Upgrade-urile se efectuează în conformitate cu programul de upgrade pentru cluster. Când un upgrade de software devine disponibil, aveți opțiunea de a actualiza manual clusterul înainte de ora programată de upgrade. Puteți seta un program specific de upgrade sau puteți utiliza programul implicit de 3:00 AM Daily Statele Unite ale Americii: America/Los Angeles. De asemenea, puteți alege să amânați un upgrade viitor, dacă este necesar.

                                                                                                                                                  Pentru a seta programul de upgrade:

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub .

                                                                                                                                                  2

                                                                                                                                                  Pe pagina Prezentare generală, în secțiunea Servicii hibride, selectați Securitatea datelor hibride.

                                                                                                                                                  3

                                                                                                                                                  Pe pagina Resurse de securitate a datelor hibride, selectați clusterul.

                                                                                                                                                  4

                                                                                                                                                  În panoul Prezentare generală din dreapta, în secțiunea Setări cluster, selectați numele clusterului.

                                                                                                                                                  5

                                                                                                                                                  Pe pagina Setări, în secțiunea Upgrade, selectați ora și fusul orar pentru programul de upgrade.

                                                                                                                                                  Notă: În cadrul fusului orar, se afișează următoarea dată și oră de upgrade disponibile. Puteți amâna upgrade-ul până în ziua următoare, dacă este necesar, făcând clic pe Amânare.

                                                                                                                                                  Modificarea configurației nodului

                                                                                                                                                  Ocazional, poate fi necesar să modificați configurația nodului Hybrid Data Security dintr-un motiv precum:
                                                                                                                                                  • Modificarea certificatelor x.509 din cauza expirării sau din alte motive.


                                                                                                                                                     

                                                                                                                                                    Nu acceptăm schimbarea nume domeniu CN al unui certificat. Domeniul trebuie să corespundă domeniului inițial utilizat pentru înregistrarea clusterului.

                                                                                                                                                  • Actualizarea setărilor bazei de date pentru a trece la o replică a bazei de date PostgreSQL sau Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nu acceptăm migrarea datelor de la PostgreSQL la Microsoft SQL Server sau invers. Pentru a comuta mediul bazei de date, începeți o nouă implementare a Hybrid Data Security.

                                                                                                                                                  • Crearea unei noi configurații pentru pregătirea unui nou centru de date.

                                                                                                                                                  De asemenea, din motive de securitate, Hybrid Data Security utilizează parole ale cont al serviciului care au o durată de viață de nouă luni. După ce instrumentul de configurare HDS generează aceste parole, le implementați în fiecare dintre nodurile HDS din fișierul de configurare ISO . Când parolele organizației dvs. se apropie de expirare, primiți o notificare de la echipa Webex prin care vă rugăm să resetați parola pentru contul computerului dvs. (E-mailul include textul „Utilizați API -ul contului de computer pentru a actualiza parola.”) Dacă parolele nu au expirat încă, instrumentul vă oferă două opțiuni:

                                                                                                                                                  • Resetare soft —Parolele vechi și noi sunt valabile până la 10 zile. Utilizați această perioadă pentru a înlocui treptat fișierul ISO pe noduri.

                                                                                                                                                  • Resetare hardware — Parolele vechi nu mai funcționează imediat.

                                                                                                                                                  Dacă parolele expiră fără resetare, acest lucru afectează serviciul HDS, necesitând o resetare hardware imediată și înlocuirea fișierului ISO pe toate nodurile.

                                                                                                                                                  Utilizați această procedură pentru a genera un nou fișier ISO de configurare și a-l aplica clusterului dvs.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Instrumentul de configurare HDS rulează ca container Docker pe un computer local. Pentru a-l accesa, rulați Docker pe acel computer. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi complete de administrator pentru organizația dvs.

                                                                                                                                                    Dacă instrumentul de configurare HDS rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin variabilele de mediu Docker atunci când ridicați containerul Docker în 1.e. Acest tabel oferă câteva variabile de mediu posibile:

                                                                                                                                                    Descriere

                                                                                                                                                    Variabilă

                                                                                                                                                    Proxy HTTP fără autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS fără autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTP cu autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS cu autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Aveți nevoie de o copie a fișierului ISO de configurare curentă pentru a genera o nouă configurație. ISO conține cheia principală de criptare a bazei de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de ISO când efectuați modificări de configurare, inclusiv date de autentificare în baza de date, actualizări de certificate sau modificări ale politicii de autorizare.

                                                                                                                                                  1

                                                                                                                                                  Utilizând Docker pe un computer local, rulați Instrumentul de configurare HDS.

                                                                                                                                                  1. În linia de comandă a computerului dvs., introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                    În medii obișnuite:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    În mediile FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.

                                                                                                                                                  2. Pentru a vă conecta la registry de imagini Docker, introduceți următoarele:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. La solicitarea parolei, introduceți acest hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Descărcați cea mai recentă imagine stabilă pentru mediul dvs.:

                                                                                                                                                    În medii obișnuite:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    În mediile FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Asigurați-vă că ați extras cel mai recent instrument de configurare pentru această procedură. Versiunile instrumentului create înainte de 22 februarie 2018 nu au ecrane de resetare a parolei.

                                                                                                                                                  5. Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                    • În mediile obișnuite fără un proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • În mediile obișnuite cu un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • În medii obișnuite cu un HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • În mediile FedRAMP fără un proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • În mediile FedRAMP cu un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • În mediile FedRAMP cu un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Când containerul rulează, veți vedea „Serverul Express ascultând pe portul 8080”.

                                                                                                                                                  6. Utilizați un browser pentru a vă conecta la localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală.

                                                                                                                                                  7. Când vi se solicită, introduceți datele de conectare pentru client Control Hub și apoi faceți clic Acceptați pentru a continua.

                                                                                                                                                  8. Importați fișierul ISO de configurație curentă.

                                                                                                                                                  9. Urmați instrucțiunile pentru a finaliza instrumentul și descărcați fișierul actualizat.

                                                                                                                                                    Pentru a închide instrumentul de configurare, tastați CTRL+C.

                                                                                                                                                  10. Creați o copie de rezervă a fișierului actualizat într-un alt centru de date.

                                                                                                                                                  2

                                                                                                                                                  Dacă aveți un singur nod HDS care rulează , creați un nou VM nod Hybrid Data Security și înregistrați-l utilizând noul fișier ISO de configurare. Pentru instrucțiuni mai detaliate, consultați Creați și înregistrați mai multe noduri.

                                                                                                                                                  1. Instalați OVA gazdă HDS.

                                                                                                                                                  2. Configurați VM HDS .

                                                                                                                                                  3. Montați fișier de configurare actualizat .

                                                                                                                                                  4. Înregistrați noul nod în Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Pentru nodurile HDS existente care rulează fișierul de fișier de configurare mai vechi , montați fișierul ISO . Efectuați următoarea procedură pe fiecare nod pe rând, actualizând fiecare nod înainte de a opri următorul nod:

                                                                                                                                                  1. Opriți mașină virtuală.

                                                                                                                                                  2. În panoul de navigare din stânga al clientului VMware vSphere, da clic dreapta pe VM și faceți clic Editați setările .

                                                                                                                                                  3. Clic CD/DVD Drive 1, selectați opțiunea de montare dintr-un fișier ISO și navigați până la locația de unde ați descărcat noul fișier ISO de configurare.

                                                                                                                                                  4. Verificați Conectați la pornire .

                                                                                                                                                  5. Salvați modificările și porniți mașină virtuală.

                                                                                                                                                  4

                                                                                                                                                  Repetați pasul 3 pentru a înlocui configurația pe fiecare nod rămas care rulează configurația veche.

                                                                                                                                                  Dezactivați Modul De Rezoluție DNS Externă Blocat

                                                                                                                                                  Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează aspectul DNS și conectivitatea la cloudul Cisco Webex. Dacă serverul DNS al nodului nu poate rezolva numele DNS publice, nodul intră automat în modul de Rezoluție DNS Externă Blocată.

                                                                                                                                                  Dacă nodurile dvs. sunt capabile să rezolve numele DNS publice prin intermediul serverelor DNS interne, puteți dezactiva acest mod prin reactivarea testului de conexiune proxy pe fiecare nod.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Asigurați-vă că serverele DNS interne pot rezolva numele DNS publice și că nodurile dvs. pot comunica cu acestea.
                                                                                                                                                  1

                                                                                                                                                  Într-un browser web, deschideți interfața nodului de securitate a datelor hibride (adresă IP/configurare, de exemplu, https://192.0.2.0/setup), introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.

                                                                                                                                                  2

                                                                                                                                                  Accesați Prezentare generală (pagina implicită).

                                                                                                                                                  Când este activat, Rezoluție DNS externă blocată este setat la Da .

                                                                                                                                                  3

                                                                                                                                                  Accesați pagina Trust Store & Proxy .

                                                                                                                                                  4

                                                                                                                                                  Faceți clic pe Verificare conexiune proxy.

                                                                                                                                                  Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a avut succes, nodul nu a putut ajunge la serverul DNS și va rămâne în acest mod. În caz contrar, după ce reporniți nodul și reveniți la pagina Prezentare generală , Rezoluția DNS externă blocată trebuie setată la nr.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Repetați testul conexiunii proxy pe fiecare nod din clusterul de securitate a datelor hibride.

                                                                                                                                                  Eliminați un nod

                                                                                                                                                  Utilizați această procedură pentru a elimina un nod de securitate a datelor hibride din cloudul Webex. După ce eliminați nodul din cluster, ștergeți mașina virtuală pentru a preveni accesul suplimentar la datele dvs. de securitate.
                                                                                                                                                  1

                                                                                                                                                  Utilizați clientul VMware vSphere de pe computer pentru a vă conecta la gazda virtuală ESXi și pentru a dezactiva mașina virtuală.

                                                                                                                                                  2

                                                                                                                                                  Eliminați nodul:

                                                                                                                                                  1. Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2. Pe cardul de securitate a datelor hibride, faceți clic pe Vizualizare toate pentru a afișa pagina Resurse de securitate a datelor hibride.

                                                                                                                                                  3. Selectați clusterul pentru a afișa panoul de Prezentare generală.

                                                                                                                                                  4. Faceți clic pe lista de noduri deschise.

                                                                                                                                                  5. În fila Noduri, selectați nodul pe care doriți să îl eliminați.

                                                                                                                                                  6. Faceți clic pe Acțiuni > Deregister node.

                                                                                                                                                  3

                                                                                                                                                  În clientul vSphere, ștergeți VM. (În panoul de navigare din stânga, faceți clic dreapta pe VM și faceți clic pe Ștergere.)

                                                                                                                                                  Dacă nu ștergeți VM, nu uitați să dezasamblați fișierul de configurare ISO. Fără fișierul ISO, nu puteți utiliza VM pentru a accesa datele de securitate.

                                                                                                                                                  Recuperare dezastre utilizând Centrul de date standby

                                                                                                                                                  Cel mai important serviciu pe care îl oferă clusterul de securitate a datelor hibride este crearea și stocarea de taste utilizate pentru criptarea mesajelor și a altor conținuturi stocate în cloudul Webex. Pentru fiecare utilizator din cadrul organizației care este atribuit securității datelor hibride, noile solicitări de creare a cheii sunt direcționate către cluster. Clusterul este, de asemenea, responsabil pentru returnarea cheilor pe care le-a creat oricărui utilizator autorizat să le recupereze, de exemplu, membrii unui spațiu de conversație.

                                                                                                                                                  Deoarece clusterul îndeplinește funcția critică de furnizare a acestor chei, este imperativ ca clusterul să rămână în funcțiune și să fie menținute backup-uri corespunzătoare. Pierderea bazei de date Hybrid Data Security sau a configurației ISO utilizate pentru schemă va duce la PIERDEREA INRECUPERABILĂ a conținutului clientului. Următoarele practici sunt obligatorii pentru a preveni o astfel de pierdere:

                                                                                                                                                  Dacă un dezastru face ca implementarea HDS în centrul de date principal să devină indisponibilă, urmați această procedură pentru a eșua manual la centrul de date standby.

                                                                                                                                                  1

                                                                                                                                                  Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.

                                                                                                                                                  2

                                                                                                                                                  După configurarea serverului Syslogd, faceți clic pe Setări avansate

                                                                                                                                                  3

                                                                                                                                                  Pe pagina Setări avansate, adăugați configurația de mai jos sau eliminați passiveMode configurare pentru a activa nodul. Nodul poate gestiona traficul odată ce acesta este configurat.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Completați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit.

                                                                                                                                                  5

                                                                                                                                                  Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare.

                                                                                                                                                  6

                                                                                                                                                  În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări..

                                                                                                                                                  7

                                                                                                                                                  Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Fișier ISO Datastore.


                                                                                                                                                   

                                                                                                                                                  Asigurați-vă că sunt verificate Conectate și Conectate la putere , astfel încât modificările de configurare actualizate să poată intra în vigoare după pornirea nodurilor.

                                                                                                                                                  8

                                                                                                                                                  Activați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute.

                                                                                                                                                  9

                                                                                                                                                  Repetați procesul pentru fiecare nod din centrul de date standby.


                                                                                                                                                   

                                                                                                                                                  Verificați ieșirea syslog pentru a verifica dacă nodurile centrului de date standby nu sunt în mod pasiv. „KMS configurat în mod pasiv” nu trebuie să apară în jurnalele de sistem.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  După eșec, dacă centrul principal de date devine din nou activ, plasați centrul de date în așteptare în modul pasiv, urmând pașii descriși în Configurarea centrului de date în așteptare pentru recuperarea dezastrelor.

                                                                                                                                                  (Opțional) Dezasamblare ISO După configurarea HDS

                                                                                                                                                  Configurația standard HDS rulează cu ISO montat. Dar, unii clienți preferă să nu lase fișierele ISO montate în mod continuu. Puteți demonta fișierul ISO după ce toate nodurile HDS preiau noua configurație.

                                                                                                                                                  Utilizați în continuare fișierele ISO pentru a face modificări de configurare. Când creați un nou ISO sau actualizați un ISO prin Instrumentul de configurare, trebuie să montați ISO actualizat pe toate nodurile HDS. După ce toate nodurile dvs. au preluat modificările de configurare, puteți demonta din nou ISO cu această procedură.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Actualizați toate nodurile HDS la versiunea 2021.01.22.4720 sau o versiune ulterioară.

                                                                                                                                                  1

                                                                                                                                                  Închideți unul dintre nodurile HDS.

                                                                                                                                                  2

                                                                                                                                                  În dispozitivul server vCenter, selectați nodul HDS.

                                                                                                                                                  3

                                                                                                                                                  Alegeți Editați setările > CD/DVD drive și debifați fișierul ISO Datastore.

                                                                                                                                                  4

                                                                                                                                                  Alimentați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 20 de minute.

                                                                                                                                                  5

                                                                                                                                                  Repetați pentru fiecare nod HDS la rândul său.

                                                                                                                                                  Depanarea securității datelor hibride

                                                                                                                                                  Vizualizare alerte și depanare

                                                                                                                                                  O implementare a securității datelor hibride este considerată indisponibilă dacă toate nodurile din cluster sunt inaccesibile sau clusterul funcționează atât de lent încât solicită timp de excludere. Dacă utilizatorii nu pot ajunge la clusterul dvs. de securitate a datelor hibride, aceștia experimentează următoarele simptome:

                                                                                                                                                  • Nu se pot crea spații noi (nu se pot crea chei noi)

                                                                                                                                                  • Mesajele și titlurile spațiului nu pot fi decriptate pentru:

                                                                                                                                                    • Utilizatori noi adăugați într-un spațiu (nu se pot prelua tastele)

                                                                                                                                                    • Utilizatorii existenți dintr-un spațiu care utilizează un client nou (nu pot prelua tastele)

                                                                                                                                                  • Utilizatorii existenți într-un spațiu vor continua să ruleze cu succes atâta timp cât clienții lor au un cache al cheilor de criptare

                                                                                                                                                  Este important să monitorizați în mod corespunzător clusterul de securitate a datelor hibride și să adresați imediat orice alerte pentru a evita perturbarea serviciului.

                                                                                                                                                  Alerte

                                                                                                                                                  Dacă există o problemă cu configurarea securității datelor hibride, Control Hub afișează alerte administratorului organizației și trimite e-mailuri la adresa de e-mail configurată. Alertele acoperă multe scenarii comune.

                                                                                                                                                  Tabelul 1. Probleme comune și pașii pentru a le rezolva

                                                                                                                                                  Alerte

                                                                                                                                                  Acțiune

                                                                                                                                                  Eșecul accesului la baza de date locală.

                                                                                                                                                  Verificați erorile bazei de date sau problemele de rețea locale.

                                                                                                                                                  Eșecul conexiunii la baza de date locală.

                                                                                                                                                  Verificați dacă serverul bazei de date este disponibil, iar acreditările contului de serviciu corespunzător au fost utilizate în configurația nodului.

                                                                                                                                                  Eșecul accesului la servicii în cloud.

                                                                                                                                                  Verificați dacă nodurile pot accesa serverele Webex astfel cum sunt specificate în cerințele de conectivitate externă.

                                                                                                                                                  Reînnoirea înregistrării serviciului în cloud.

                                                                                                                                                  S-a renunțat la înscrierea în serviciile cloud. Reînnoirea înregistrării este în curs.

                                                                                                                                                  Înscrierea în serviciul Cloud a scăzut.

                                                                                                                                                  Înscrierea la serviciile cloud s-a încheiat. Serviciul se închide.

                                                                                                                                                  Serviciul nu este încă activat.

                                                                                                                                                  Activați un proces sau finalizați mutarea procesului la producție.

                                                                                                                                                  Domeniul configurat nu corespunde certificatului serverului.

                                                                                                                                                  Asigurați-vă că certificatul serverului dvs. corespunde domeniului de activare a serviciului configurat.

                                                                                                                                                  Cauza cea mai probabilă este că certificatul CN a fost modificat recent și este acum diferit de CN care a fost utilizat în timpul configurării inițiale.

                                                                                                                                                  Nu s-a reușit autentificarea la serviciile cloud.

                                                                                                                                                  Verificați acuratețea și posibila expirare a acreditărilor contului de serviciu.

                                                                                                                                                  Nu s-a reușit deschiderea fișierului local de keystore.

                                                                                                                                                  Verificați integritatea și precizia parolei în fișierul de keystore local.

                                                                                                                                                  Certificatul serverului local este nevalid.

                                                                                                                                                  Verificați data de expirare a certificatului serverului și confirmați că acesta a fost eliberat de o autoritate de certificare de încredere.

                                                                                                                                                  Nu se pot posta măsurători.

                                                                                                                                                  Verificați accesul la rețeaua locală la serviciile cloud externe.

                                                                                                                                                  directorul /media/configdrive/hds nu există.

                                                                                                                                                  Verificați configurația de montare ISO pe gazda virtuală. Verificați dacă fișierul ISO există, dacă este configurat să fie montat pe repornire și dacă se montează cu succes.

                                                                                                                                                  Depanarea securității datelor hibride

                                                                                                                                                  Utilizați următoarele orientări generale atunci când depanați problemele legate de securitatea datelor hibride.
                                                                                                                                                  1

                                                                                                                                                  Revizuiți Control Hub pentru orice alerte și remediați orice elemente pe care le găsiți acolo.

                                                                                                                                                  2

                                                                                                                                                  Revizuiți ieșirea serverului syslog pentru activitatea din implementarea securității datelor hibride.

                                                                                                                                                  3

                                                                                                                                                  Contactați asistența Cisco.

                                                                                                                                                  Alte note

                                                                                                                                                  Probleme cunoscute pentru securitatea datelor hibride

                                                                                                                                                  • Dacă închideți clusterul de securitate a datelor hibride (prin ștergerea acestuia în Control Hub sau prin închiderea tuturor nodurilor), pierdeți fișierul ISO de configurare sau pierdeți accesul la baza de date Keystore, utilizatorii aplicației Webex nu mai pot utiliza spații din lista lor de persoane care au fost create cu tastele din KMS. Acest lucru este valabil atât pentru operațiunile de încercare, cât și pentru operațiunile de producție. În prezent, nu avem un loc de muncă sau o soluție pentru această problemă și vă solicităm să nu închideți serviciile HDS odată ce acestea gestionează conturile de utilizator active.

                                                                                                                                                  • Un client care are o conexiune ECDH existentă la un KMS menține acea conexiune pentru o perioadă de timp (probabil o oră). Atunci când un utilizator devine membru al unui proces de securitate a datelor hibride, clientul utilizatorului continuă să utilizeze conexiunea ECDH existentă până la expirarea acesteia. Alternativ, utilizatorul se poate deconecta și reconecta la aplicația Aplicației Webex pentru a actualiza locația pe care aplicația o contactează pentru cheile de criptare.

                                                                                                                                                    Același comportament apare atunci când mutați un proces la producție pentru organizație. Toți utilizatorii non-trial cu conexiuni ECDH existente la serviciile anterioare de securitate a datelor vor continua să utilizeze aceste servicii până când conexiunea ECDH este renegociată (prin expirare sau prin deconectare și reconectare).

                                                                                                                                                  Utilizați OpenSSL pentru a genera un fișier PKCS12

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • OpenSSL este un instrument care poate fi folosit pentru a face fișierul PKCS12 în formatul adecvat pentru încărcare în instrumentul de configurare HDS. Există alte modalități de a face acest lucru, și nu sprijinim sau promovăm un mod peste altul.

                                                                                                                                                  • Dacă alegeți să utilizați OpenSSL, oferim această procedură ca ghid pentru a vă ajuta să creați un fișier care îndeplinește cerințele certificatului X.509 din X.509 Cerințe de certificat. Înțelegeți aceste cerințe înainte de a continua.

                                                                                                                                                  • Instalați OpenSSL într-un mediu acceptat. Consultați https://www.openssl.org pentru software și documentație.

                                                                                                                                                  • Creați o tastă privată.

                                                                                                                                                  • Începeți această procedură atunci când primiți certificatul de server de la Autoritatea dvs. de certificare (CA).

                                                                                                                                                  1

                                                                                                                                                  Când primiți certificatul de server de la CA, salvați-l ca hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Afișați certificatul ca text și verificați detaliile.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilizați un editor de text pentru a crea un fișier de pachet de certificate numit hdsnode-bundle.pem. Fișierul pachet trebuie să includă certificatul serverului, orice certificate CA intermediare și certificatele CA rădăcină, în formatul de mai jos:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Creați fișierul .p12 cu numele prietenos kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Verificați detaliile certificatului serverului.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Introduceți o parolă la solicitarea de criptare a cheii private, astfel încât aceasta să fie listată în ieșire. Apoi, verificați dacă cheia privată și primul certificat includ liniile friendlyName: kms-private-key.

                                                                                                                                                    Exemplu:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Reveniți la Completarea Condițiilor prealabile pentru securitatea datelor hibride. Veţi utiliza hdsnode.p12 fișier și parola pe care ați setat-o pentru acesta, în Creați un ISO de configurare pentru gazdele HDS.


                                                                                                                                                   

                                                                                                                                                  Puteți reutiliza aceste fișiere pentru a solicita un nou certificat atunci când certificatul original expiră.

                                                                                                                                                  Trafic între nodurile HDS și cloud

                                                                                                                                                  Trafic colecție metrică de ieșire

                                                                                                                                                  Nodurile de securitate a datelor hibride trimit anumite măsurători în cloudul Webex. Acestea includ măsurători de sistem pentru înălțimea maximă, înălțimea utilizată, sarcina CPU și numărul de fire; măsurători pe fire sincrone și asincronice; măsurători pe alerte care implică un prag de conexiuni de criptare, latență sau o lungime a cozii de solicitare; măsurători pe placa de date; și măsurători de conexiune de criptare. Nodurile trimit material cheie criptat printr-un canal în afara benzii (separat de solicitare).

                                                                                                                                                  Trafic de intrare

                                                                                                                                                  Nodurile de securitate a datelor hibride primesc următoarele tipuri de trafic de intrare din cloudul Webex:

                                                                                                                                                  • Cereri de criptare de la clienți, care sunt rutate de serviciul de criptare

                                                                                                                                                  • Actualizări la software-ul nodului

                                                                                                                                                  Configurați proxy-urile Squid pentru securitatea datelor hibride

                                                                                                                                                  Șoseta web nu se poate Conecta Prin Proxy Squid

                                                                                                                                                  Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea websocket ( wss:) conexiuni care necesită Securitatea datelor hibride. Aceste secțiuni oferă îndrumări cu privire la modul de configurare a diferitelor versiuni de Squid pentru a ignora wss: trafic pentru buna funcționare a serviciilor.

                                                                                                                                                  Squid 4 și 5

                                                                                                                                                  Adăugați on_unsupported_protocol directivă privind squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Am testat cu succes Securitatea datelor hibride cu următoarele reguli adăugate la squid.conf. Aceste reguli se pot modifica pe măsură ce dezvoltăm caracteristici și actualizăm cloudul Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Prefață

                                                                                                                                                  Informații noi și modificate

                                                                                                                                                  Dată

                                                                                                                                                  Modificări efectuate

                                                                                                                                                  20 octombrie 2023

                                                                                                                                                  07 august 2023

                                                                                                                                                  23 mai 2023

                                                                                                                                                  06 decembrie 2022

                                                                                                                                                  23 noiembrie 2022

                                                                                                                                                  13 octombrie 2021

                                                                                                                                                  Docker Desktop trebuie să ruleze un program de configurare înainte de a putea instala noduri HDS. Consultați Cerințele de desktop ale Docker.

                                                                                                                                                  24 iunie 2021

                                                                                                                                                  Rețineți că puteți reutiliza fișierul cu tastatură privată și CSR pentru a solicita un alt certificat. Consultați Utilizarea OpenSSL pentru a genera un fișier PKCS12 pentru detalii.

                                                                                                                                                  30 aprilie 2021

                                                                                                                                                  A schimbat cerința VM pentru spațiul local pe hard disk la 30 GB. Consultați Cerințele Gazdei Virtuale pentru detalii.

                                                                                                                                                  24 februarie 2021

                                                                                                                                                  Instrumentul de configurare HDS poate rula acum în spatele unui proxy. Consultați Creați un ISO de configurare pentru gazdele HDS pentru detalii.

                                                                                                                                                  2 februarie 2021

                                                                                                                                                  HDS poate rula acum fără un fișier ISO montat. Consultați (Opțional) Dezasamblarea ISO după configurarea HDS pentru detalii.

                                                                                                                                                  11 ianuarie 2021

                                                                                                                                                  Au fost adăugate informații despre instrumentul de configurare HDS și proxy-uri pentru a crea un ISO de configurare pentru gazdele HDS.

                                                                                                                                                  13 octombrie 2020

                                                                                                                                                  Fișiere de instalare Descărcare actualizate.

                                                                                                                                                  8 octombrie 2020

                                                                                                                                                  Actualizat Creați un ISO de configurare pentru gazdele HDS și modificați configurația nodului cu comenzi pentru mediile FedRAMP.

                                                                                                                                                  14 august 2020

                                                                                                                                                  Actualizat Creați un ISO de configurare pentru gazdele HDS și modificați configurația nodului cu modificări ale procesului de conectare.

                                                                                                                                                  5 august 2020

                                                                                                                                                  Actualizat Testați implementarea securității datelor hibride pentru modificări ale mesajelor jurnal.

                                                                                                                                                  S-au actualizat Cerințele Gazdei Virtuale pentru a elimina numărul maxim de gazde.

                                                                                                                                                  16 iunie 2020

                                                                                                                                                  Actualizat Eliminați un nod pentru modificările din interfața cu utilizatorul Control Hub.

                                                                                                                                                  4 iunie 2020

                                                                                                                                                  Actualizat Creați un ISO de configurare pentru gazdele HDS pentru modificările din Setările avansate pe care le-ați putea seta.

                                                                                                                                                  29 mai 2020

                                                                                                                                                  Actualizat Creați un ISO de configurare pentru gazdele HDS pentru a afișa puteți utiliza, de asemenea, TLS cu baze de date SQL Server, modificări de interfață de utilizator și alte clarificări.

                                                                                                                                                  5 mai 2020

                                                                                                                                                  Actualizat Cerințele Gazdei Virtuale pentru a afișa noua cerință a ESXi 6.5.

                                                                                                                                                  21 aprilie 2020

                                                                                                                                                  Actualizat Cerințe de conectivitate externă cu noi gazde CI din America.

                                                                                                                                                  Aprilie 1, 2020

                                                                                                                                                  Actualizat Cerințele de conectivitate externă cu informații despre gazdele regionale CI.

                                                                                                                                                  20 februarie 2020Actualizat Creați un ISO de configurare pentru gazdele HDS cu informații despre noul ecran opțional de setări avansate din instrumentul de configurare HDS.
                                                                                                                                                  4 februarie 2020Cerințe server proxy actualizate.
                                                                                                                                                  16 decembrie 2019A clarificat cerința ca modul de rezoluție DNS extern blocat să funcționeze în cerințele serverului proxy.
                                                                                                                                                  19 noiembrie 2019

                                                                                                                                                  Au fost adăugate informații despre modul de rezoluție DNS extern blocat în următoarele secțiuni:

                                                                                                                                                  8 noiembrie 2019

                                                                                                                                                  Acum puteți configura setările de rețea pentru un nod în timp ce implementați OVA, mai degrabă decât ulterior.

                                                                                                                                                  Actualizat în consecință următoarele secțiuni:


                                                                                                                                                   

                                                                                                                                                  Opțiunea de configurare a setărilor de rețea în timpul implementării OVA a fost testată cu ESXi 6.5. Este posibil ca opțiunea să nu fie disponibilă în versiunile anterioare.

                                                                                                                                                  6 septembrie 2019

                                                                                                                                                  S-a adăugat standardul SQL Server la cerințele serverului bazei de date.

                                                                                                                                                  august 29, 2019A fost adăugată Configurarea proxy-urilor Squid pentru securitatea datelor hibride , cu îndrumări privind configurarea proxy-urilor Squid pentru a ignora traficul websocket pentru funcționarea corespunzătoare.
                                                                                                                                                  20 august 2019

                                                                                                                                                  Secțiuni adăugate și actualizate pentru a acoperi asistența proxy pentru comunicațiile nodului de securitate a datelor hibride în cloudul Webex.

                                                                                                                                                  Pentru a accesa doar conținutul de asistență proxy pentru o implementare existentă, consultați Asistența proxy pentru securitatea datelor hibride și articolul de ajutor Webex Video Mesh .

                                                                                                                                                  13 iunie 2019A fost actualizat Fluxul de activități de producție cu un memento pentru a sincroniza HdsTrialGroup obiectul de grup înainte de a începe un trial dacă organizația dvs. utilizează sincronizarea directorului.
                                                                                                                                                  6 martie 2019
                                                                                                                                                  februarie 28, 2019
                                                                                                                                                  • A corectat cantitatea de spațiu pe hard disk local pe server pe care ar trebui să o setați deoparte atunci când pregătiți gazdele virtuale care devin nodurile de securitate a datelor hibride, de la 50-GB la 20-GB, pentru a reflecta dimensiunea discului pe care OVA îl creează.

                                                                                                                                                  26 februarie 2019
                                                                                                                                                  • Nodurile de securitate a datelor hibride acceptă acum conexiuni criptate cu serverele bazei de date PostgreSQL și conexiuni criptate de conectare la un server syslog TLS capabil. Actualizat Creați un ISO de configurare pentru gazdele HDS cu instrucțiuni.

                                                                                                                                                  • URL-urile de destinație au fost eliminate din tabelul „Cerințe de conectivitate la internet pentru nodul de securitate a datelor hibride VMs”. Tabelul se referă acum la lista menținută în tabelul „URL-uri suplimentare pentru serviciile hibride Webex Teams” din Cerințele rețelei pentru serviciile Webex Teams.

                                                                                                                                                  24 ianuarie 2019

                                                                                                                                                  • Securitatea datelor hibride acceptă acum Microsoft SQL Server ca bază de date. SQL Server întotdeauna activat (întotdeauna pe clusterele de eșec și întotdeauna pe grupurile de disponibilitate) este acceptat de driverele JDBC care sunt utilizate în securitatea datelor hibride. Conținut adăugat legat de implementarea cu SQL Server.


                                                                                                                                                     

                                                                                                                                                    Asistența pentru serverul Microsoft SQL este destinată numai noilor implementări ale securității datelor hibride. În prezent, nu acceptăm migrarea datelor de la PostgreSQL la serverul Microsoft SQL în cadrul unei implementări existente.

                                                                                                                                                  noiembrie 5, 2018
                                                                                                                                                  19 octombrie 2018

                                                                                                                                                  31 iulie 2018

                                                                                                                                                  21 mai 2018

                                                                                                                                                  Terminologia modificată pentru a reflecta rebranding-ul Cisco Spark:

                                                                                                                                                  • Securitatea datelor hibride Cisco Spark este acum Securitatea datelor hibride.

                                                                                                                                                  • Aplicația Cisco Spark este acum aplicația Webex App.

                                                                                                                                                  • Cisco Collaboraton Cloud este acum cloudul Webex.

                                                                                                                                                  11 aprilie 2018
                                                                                                                                                  22 februarie 2018
                                                                                                                                                  februarie 15, 2018
                                                                                                                                                  • În tabelul X.509 Cerințe privind certificatul , s-a specificat că certificatul nu poate fi un certificat de carte de vizită și că KMS utilizează domeniul CN, nu orice domeniu definit în câmpurile SAN x.509v3.

                                                                                                                                                  ianuarie 18, 2018

                                                                                                                                                  noiembrie 2, 2017

                                                                                                                                                  • Sincronizarea directorului clarificată a HdsTrialGroup.

                                                                                                                                                  • Fix instrucțiuni pentru încărcarea fișierului de configurare ISO pentru montare la nodurile VM.

                                                                                                                                                  18 august 2017

                                                                                                                                                  Prima publicare

                                                                                                                                                  Începeți cu securitatea datelor hibride

                                                                                                                                                  Prezentare generală a securității datelor hibride

                                                                                                                                                  Începând cu prima zi, securitatea datelor a fost accentul principal în proiectarea Aplicației Webex. Piatra de temelie a acestei securități este criptarea conținutului end-to-end, activată de clienții aplicației Webex care interacționează cu Serviciul de gestionare a cheilor (KMS). KMS este responsabil pentru crearea și gestionarea cheilor criptografice pe care clienții le utilizează pentru a cripta și decripta în mod dinamic mesajele și fișierele.

                                                                                                                                                  În mod implicit, toți clienții Aplicației Webex primesc criptare end-to-end cu chei dinamice stocate în KMS cloud, în domeniul de securitate al Cisco. Hybrid Data Security mută KMS și alte funcții legate de securitate în centrul de date la nivel de întreprindere dvs., astfel încât nimeni în afară de dvs. să nu dețină cheile conținutului dvs. criptat.

                                                                                                                                                  Arhitectură Realm de securitate

                                                                                                                                                  Arhitectura cloud Webex separă diferite tipuri de servicii în domenii separate sau domenii de încredere, după cum este descris mai jos.

                                                                                                                                                  Domenii de separare (fără securitate hibridă a datelor)

                                                                                                                                                  Pentru a înțelege în continuare securitatea datelor hibride, să ne uităm mai întâi la acest caz cloud pur, în care Cisco oferă toate funcțiile din domeniile sale cloud. Serviciul de identitate, singurul loc în care utilizatorii pot fi direct corelați cu informațiile lor personale, cum ar fi adresa de e-mail, este separat în mod logic și fizic de domeniul de securitate din centrul de date B. Ambele sunt, la rândul lor, separate de domeniul în care conținutul criptat este stocat în cele din urmă, în centrul de date C.

                                                                                                                                                  În această diagramă, clientul este aplicația Webex care rulează pe laptopul unui utilizator și s-a autentificat cu serviciul de identitate. Când utilizatorul compune un mesaj pentru a trimite într-un spațiu, au loc următorii pași:

                                                                                                                                                  1. Clientul stabilește o conexiune securizată cu serviciul de gestionare a cheilor (KMS), apoi solicită o cheie pentru a cripta mesajul. Conexiunea securizată utilizează ECDH, iar KMS criptează cheia utilizând o cheie principală AES-256.

                                                                                                                                                  2. Mesajul este criptat înainte de a părăsi clientul. Clientul îl trimite la serviciul de indexare, care creează indexuri de căutare criptate pentru a ajuta în căutările viitoare pentru conținut.

                                                                                                                                                  3. Mesajul criptat este trimis serviciului de conformitate pentru verificări de conformitate.

                                                                                                                                                  4. Mesajul criptat este stocat în domeniul de stocare.

                                                                                                                                                  Când implementați Securitatea datelor hibride, mutați funcțiile domeniului de securitate (KMS, indexare și conformitate) în centrul dvs. de date local. Celelalte servicii cloud care alcătuiesc Webex (inclusiv stocarea identității și a conținutului) rămân în domeniile Cisco.

                                                                                                                                                  Colaborarea cu Alte Organizații

                                                                                                                                                  Utilizatorii din organizația dvs. pot utiliza în mod regulat Aplicația Webex pentru a colabora cu participanți externi din alte organizații. Când unul dintre utilizatorii dvs. solicită o cheie pentru un spațiu care este deținut de organizația dvs. (deoarece a fost creat de unul dintre utilizatorii dvs.), KMS trimite cheia către client printr-un canal ECDH securizat. Cu toate acestea, atunci când o altă organizație deține cheia pentru spațiu, KMS-ul direcționează cererea către cloudul Webex printr-un canal ECDH separat pentru a obține cheia de la KMS-ul corespunzător și apoi returnează cheia către utilizatorul dvs. pe canalul original.

                                                                                                                                                  Serviciul KMS care rulează pe Org A validează conexiunile la KMS în alte organizații utilizând x.509 certificate PKI. Consultați Pregătiți-vă mediul pentru detalii despre generarea unui certificat x.509 pe care să-l utilizați cu implementarea securității datelor hibride.

                                                                                                                                                  Așteptări pentru implementarea securității datelor hibride

                                                                                                                                                  O implementare a securității datelor hibride necesită un angajament semnificativ din partea clienților și o conștientizare a riscurilor pe care le implică deținerea cheilor de criptare.

                                                                                                                                                  Pentru a implementa securitatea datelor hibride, trebuie să furnizați:

                                                                                                                                                  Pierderea completă a configurației ISO pe care o construiți pentru securitatea datelor hibride sau a bazei de date pe care o furnizați va duce la pierderea tastelor. Pierderea tastelor împiedică utilizatorii să decripteze conținutul spațiului și alte date criptate în Aplicația Webex. Dacă se întâmplă acest lucru, puteți construi o nouă implementare, dar numai conținut nou va fi vizibil. Pentru a evita pierderea accesului la date, trebuie:

                                                                                                                                                  • Gestionați backup-ul și recuperarea bazei de date și configurația ISO.

                                                                                                                                                  • Fiți pregătiți să efectuați recuperarea rapidă a dezastrelor dacă apare o catastrofă, cum ar fi defectarea discului de bază de date sau dezastrul centrului de date.


                                                                                                                                                   

                                                                                                                                                  Nu există niciun mecanism pentru a muta cheile înapoi în Cloud după o implementare HDS.

                                                                                                                                                  Proces de configurare la nivel înalt

                                                                                                                                                  Acest document acoperă configurarea și gestionarea implementării securității datelor hibride:

                                                                                                                                                  • Configurați securitatea datelor hibride—Aceasta include pregătirea infrastructurii necesare și instalarea software-ului de securitate a datelor hibride, testarea implementării dvs. cu un subset de utilizatori în modul de încercare și, odată ce testarea dvs. este finalizată, trecerea la producție. Aceasta convertește întreaga organizație pentru a utiliza clusterul dvs. de securitate a datelor hibride pentru funcțiile de securitate.

                                                                                                                                                    Fazele de configurare, încercare și producție sunt acoperite în detaliu în următoarele trei capitole.

                                                                                                                                                  • Mențineți implementarea securității datelor hibride—cloud-ul Webex oferă automat upgrade-uri în curs. Departamentul dvs. IT poate oferi un singur nivel de asistență pentru această implementare și poate angaja asistență Cisco după cum este necesar. Puteți utiliza notificări pe ecran și puteți configura alerte pe bază de e-mail în Control Hub.

                                                                                                                                                  • Înțelegerea alertelor comune, a pașilor de depanare și a problemelor cunoscute—Dacă întâmpinați probleme la implementarea sau utilizarea securității datelor hibride, ultimul capitol din acest ghid și apendicele Probleme cunoscute vă pot ajuta să determinați și să remediați problema.

                                                                                                                                                  Model de implementare a securității datelor hibride

                                                                                                                                                  În cadrul centrului dvs. de date al întreprinderii, implementați Securitatea datelor hibride ca un singur grup de noduri pe gazde virtuale separate. Nodurile comunică cu cloudul Webex prin prize web securizate și HTTP securizat.

                                                                                                                                                  În timpul procesului de instalare, vă oferim fișierul OVA pentru a configura dispozitivul virtual pe VMs pe care le furnizați. Utilizați instrumentul de configurare HDS pentru a crea un fișier ISO de configurare a clusterului personalizat pe care îl montați pe fiecare nod. Clusterul de securitate a datelor hibride utilizează serverul Syslogd furnizat și baza de date PostgreSQL sau Microsoft SQL Server. (Configurați detaliile conexiunii Syslogd și a bazei de date în Instrumentul de configurare HDS.)

                                                                                                                                                  Model de implementare a securității datelor hibride

                                                                                                                                                  Numărul minim de noduri pe care le puteți avea într-un cluster este de două. Vă recomandăm cel puțin trei, și puteți avea până la cinci. Existența mai multor noduri asigură faptul că serviciul nu este întrerupt în timpul unui upgrade de software sau al unei alte activități de întreținere pe un nod. (Cloudul Webex actualizează doar un nod la un moment dat.)

                                                                                                                                                  Toate nodurile dintr-un cluster accesează aceeași bază de date cu tastatură și înregistrează activitatea pe același server syslog. Nodurile în sine sunt apatride și se ocupă de solicitările cheie în modul rotund-robin, așa cum este direcționat de cloud.

                                                                                                                                                  Nodurile devin active atunci când le înregistrați în Control Hub. Pentru a scoate un nod individual din serviciu, îl puteți desînregistra și apoi îl puteți reînregistra, dacă este necesar.

                                                                                                                                                  Sprijinim doar un singur cluster per organizație.

                                                                                                                                                  Mod de încercare pentru securitatea datelor hibride

                                                                                                                                                  După configurarea unei implementări de securitate a datelor hibride, încercați mai întâi cu un set de utilizatori pilot. În timpul perioadei de încercare, acești utilizatori utilizează domeniul local de securitate a datelor hibride pentru cheile de criptare și alte servicii din domeniul de securitate. Ceilalți utilizatori continuă să utilizeze domeniul de securitate cloud.

                                                                                                                                                  Dacă decideți să nu continuați implementarea în timpul perioadei de încercare și să dezactivați serviciul, utilizatorii pilot și orice utilizatori cu care au interacționat prin crearea de spații noi în timpul perioadei de încercare vor pierde accesul la mesaje și conținut. Aceștia vor vedea „Acest mesaj nu poate fi decriptat” în aplicația Webex.

                                                                                                                                                  Dacă sunteți mulțumit că implementarea dvs. funcționează bine pentru utilizatorii de încercare și sunteți pregătit să extindeți Securitatea datelor hibride la toți utilizatorii dvs., mutați implementarea în producție. Utilizatorii pilot continuă să aibă acces la cheile care au fost utilizate în timpul încercării. Cu toate acestea, nu se poate muta înapoi și înainte între modul de producție și procesul inițial. Dacă trebuie să dezactivați serviciul, cum ar fi pentru a efectua recuperarea dezastrelor, atunci când reactivați, trebuie să începeți o nouă încercare și să configurați setul de utilizatori pilot pentru noua încercare înainte de a reveni la modul de producție. Dacă utilizatorii păstrează accesul la date în acest moment depinde de faptul dacă ați menținut cu succes copii de rezervă ale stocului de date cheie și ale fișierului de configurare ISO pentru nodurile de securitate a datelor hibride din cluster.

                                                                                                                                                  Centrul de date standby pentru recuperarea dezastrelor

                                                                                                                                                  În timpul implementării, ați configurat un centru de date standby securizat. În cazul unui dezastru al unui centru de date, puteți eșua manual implementarea în centrul de date standby.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Eşec manual la centrul de date standby

                                                                                                                                                  Bazele de date ale centrelor de date active și standby sunt în sincronizare unele cu altele, ceea ce va reduce la minimum timpul necesar pentru a efectua eșecul. Fișierul ISO al centrului de date standby este actualizat cu configurații suplimentare care asigură că nodurile sunt înregistrate în organizație, dar nu vor gestiona traficul. Prin urmare, nodurile centrului de date standby rămân întotdeauna la zi cu cea mai recentă versiune de software HDS.


                                                                                                                                                   

                                                                                                                                                  Nodurile active de securitate a datelor hibride trebuie să fie întotdeauna în același centru de date ca serverul de bază de date activă.

                                                                                                                                                  Configurarea Centrului de date standby pentru recuperarea dezastrelor

                                                                                                                                                  Urmați pașii de mai jos pentru a configura fișierul ISO al centrului de date standby:

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Centrul de date standby trebuie să reflecte mediul de producție al VMs și o bază de date PostgreSQL sau Microsoft SQL Server de rezervă. De exemplu, dacă producția are 3 VMs care rulează noduri HDS, mediul de rezervă ar trebui să aibă 3 VMs. (Consultați Standby Data Center for Disaster Recovery pentru o prezentare generală a acestui model de eșec.)

                                                                                                                                                  • Asigurați-vă că sincronizarea bazei de date este activată între baza de date a nodurilor de cluster active și pasive.

                                                                                                                                                  1

                                                                                                                                                  Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.


                                                                                                                                                   

                                                                                                                                                  Fișierul ISO trebuie să fie o copie a fișierului ISO original al centrului de date principal pe care urmează să fie făcute următoarele actualizări de configurare.

                                                                                                                                                  2

                                                                                                                                                  După configurarea serverului Syslogd, faceți clic pe Setări avansate

                                                                                                                                                  3

                                                                                                                                                  Pe pagina Setări avansate, adăugați configurația de mai jos pentru a plasa nodul în modul pasiv. În acest mod, nodul va fi înregistrat în organizație și conectat la cloud, dar nu va gestiona niciun trafic.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Completați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit.

                                                                                                                                                  5

                                                                                                                                                  Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare.

                                                                                                                                                  6

                                                                                                                                                  În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări..

                                                                                                                                                  7

                                                                                                                                                  Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Fișier ISO Datastore.


                                                                                                                                                   

                                                                                                                                                  Asigurați-vă că sunt verificate Conectate și Conectate la putere , astfel încât modificările de configurare actualizate să poată intra în vigoare după pornirea nodurilor.

                                                                                                                                                  8

                                                                                                                                                  Activați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute.

                                                                                                                                                  9

                                                                                                                                                  Repetați procesul pentru fiecare nod din centrul de date standby.


                                                                                                                                                   

                                                                                                                                                  Verificați jurnalele pentru a verifica dacă nodurile sunt în mod pasiv. Ar trebui să puteți vizualiza mesajul „KMS configurat în mod pasiv” în jurnalele de sistem.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  După configurare passiveMode în fișierul ISO și salvându-l, puteți crea o altă copie a fișierului ISO fără passiveMode configurare și salvați-l într-o locație sigură. Această copie a fișierului ISO fără passiveMode configurat poate ajuta într-un proces rapid de eșec în timpul recuperării dezastrelor. Consultați Recuperarea dezastrelor utilizând Centrul de date standby pentru procedura detaliată de nereușită.

                                                                                                                                                  Asistență proxy

                                                                                                                                                  Securitatea datelor hibride acceptă inspecții explicite, transparente și proxy-uri neinspectate. Puteți lega aceste proxy-uri de implementarea dvs., astfel încât să puteți securiza și monitoriza traficul de la întreprindere la cloud. Puteți utiliza o interfață de administrare a platformei pe noduri pentru gestionarea certificatelor și pentru a verifica starea generală a conectivității după ce ați configurat proxy-ul pe noduri.

                                                                                                                                                  Nodurile de securitate a datelor hibride acceptă următoarele opțiuni proxy:

                                                                                                                                                  • Fără proxy—Implicit dacă nu utilizați configurația de configurare a nodului HDS Trust Store și proxy pentru a integra un proxy. Nu este necesară nicio actualizare a certificatului.

                                                                                                                                                  • Proxy fără inspecție transparent—Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy și nu ar trebui să necesite nicio modificare pentru a lucra cu un proxy fără inspecție. Nu este necesară nicio actualizare a certificatului.

                                                                                                                                                  • Tunelare transparentă sau inspecție proxy—Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy. Nu sunt necesare modificări ale configurației HTTP sau HTTPS pe noduri. Cu toate acestea, nodurile au nevoie de un certificat rădăcină, astfel încât să aibă încredere în proxy. De obicei, proxy-urile de inspecție sunt utilizate de IT pentru a pune în aplicare politicile pe care site-urile pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).

                                                                                                                                                  • Proxy explicit—Cu proxy explicit, spuneți nodurilor HDS ce server proxy și sistem de autentificare să utilizați. Pentru a configura un proxy explicit, trebuie să introduceți următoarele informații pe fiecare nod:

                                                                                                                                                    1. IP proxy/FQDN—Adresă care poate fi utilizată pentru a ajunge la utilajul proxy.

                                                                                                                                                    2. Portul proxy—Un număr de port pe care proxy-ul îl folosește pentru a asculta traficul proxy.

                                                                                                                                                    3. Proxy Protocol—În funcție de ce acceptă serverul dvs. proxy, alegeți între următoarele protocoale:

                                                                                                                                                      • HTTP—Vizualizează și controlează toate solicitările pe care clientul le trimite.

                                                                                                                                                      • HTTPS—Oferă un canal serverului. Clientul primește și validează certificatul serverului.

                                                                                                                                                    4. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:

                                                                                                                                                      • Niciuna – Nu este necesară autentificarea suplimentară.

                                                                                                                                                        Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.

                                                                                                                                                      • De bază—Utilizat pentru un agent de utilizator HTTP pentru a furniza un nume de utilizator și o parolă atunci când efectuați o solicitare. Utilizează codificarea Base64.

                                                                                                                                                        Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.

                                                                                                                                                        Vă cere să introduceți numele de utilizator și parola pe fiecare nod.

                                                                                                                                                      • Digest—Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite în rețea.

                                                                                                                                                        Disponibil numai dacă selectați HTTPS ca protocol proxy.

                                                                                                                                                        Vă cere să introduceți numele de utilizator și parola pe fiecare nod.

                                                                                                                                                  Exemplu de noduri hibride de securitate a datelor și proxy

                                                                                                                                                  Această diagramă arată o conexiune de exemplu între securitatea datelor hibride, rețea și un proxy. Pentru inspectarea transparentă și opțiunile HTTPS de inspecție explicită a proxy-urilor, trebuie instalat același certificat rădăcină pe proxy și pe nodurile de securitate a datelor hibride.

                                                                                                                                                  Modul de rezoluție DNS extern blocat (configurații proxy explicite)

                                                                                                                                                  Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează aspectul DNS și conectivitatea la cloudul Cisco Webex. În implementările cu configurații proxy explicite care nu permit rezoluția DNS externă pentru clienții interni, dacă nodul nu poate interoga serverele DNS, acesta intră automat în modul de Rezoluție DNS Externă Blocată. În acest mod, pot continua testele de înregistrare a nodurilor și alte teste de conectivitate proxy.

                                                                                                                                                  Pregătiți-vă mediul

                                                                                                                                                  Cerințe privind securitatea datelor hibride

                                                                                                                                                  Cerințe de licență Cisco Webex

                                                                                                                                                  Pentru implementarea securității datelor hibride:

                                                                                                                                                  Cerințe Docker Desktop

                                                                                                                                                  Înainte de a instala nodurile HDS, aveți nevoie de Docker Desktop pentru a rula un program de configurare. Docker și-a actualizat recent modelul de licențiere. Este posibil ca organizația dvs. să necesite un abonament cu plată pentru Docker Desktop. Pentru detalii, consultați postarea de pe blogul Docker, " Docker actualizează și extinde abonamentele noastre la produse ".

                                                                                                                                                  X.509 Cerințe privind certificatul

                                                                                                                                                  Lanțul certificatului trebuie să îndeplinească următoarele cerințe:

                                                                                                                                                  Tabelul 1. Cerințe de certificare X.509 pentru implementarea securității datelor hibride

                                                                                                                                                  Obligatoriu

                                                                                                                                                  Detalii

                                                                                                                                                  • Semnată de o autoritate de certificare de încredere (CA)

                                                                                                                                                  În mod implicit, avem încredere în CA-urile din lista Mozilla (cu excepția WoSign și StartCom) la https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Poartă un nume de domeniu comun (CN) care identifică implementarea securității datelor hibride

                                                                                                                                                  • Nu este un certificat de carte de vizită

                                                                                                                                                  CN-ul nu trebuie să fie accesibil sau o gazdă live. Vă recomandăm să utilizați un nume care reflectă organizația dvs., de exemplu, hds.company.com.

                                                                                                                                                  CN nu trebuie să conțină un * (wildcard).

                                                                                                                                                  CN este utilizat pentru a verifica nodurile de securitate a datelor hibride pentru clienții Aplicației Webex. Toate nodurile de securitate a datelor hibride din clusterul dvs. utilizează același certificat. KMS-ul se identifică utilizând domeniul CN, nu orice domeniu care este definit în câmpurile SAN x.509v3.

                                                                                                                                                  După ce ați înregistrat un nod cu acest certificat, nu acceptăm schimbarea numelui domeniului CN. Alegeți un domeniu care se poate aplica atât implementărilor de încercare, cât și implementărilor de producție.

                                                                                                                                                  • Semnătură non-SHA1

                                                                                                                                                  Software-ul KMS nu acceptă semnăturile SHA1 pentru validarea conexiunilor la KMSs ale altor organizații.

                                                                                                                                                  • Format ca fișier PKCS #12 protejat prin parolă

                                                                                                                                                  • Utilizați numele prietenos al kms-private-key pentru a eticheta certificatul, cheia privată și orice certificate intermediare pentru a încărca.

                                                                                                                                                  Puteți utiliza un convertor, cum ar fi OpenSSL pentru a schimba formatul certificatului.

                                                                                                                                                  Va trebui să introduceți parola atunci când rulați Instrumentul de configurare HDS.

                                                                                                                                                  Software-ul KMS nu impune utilizarea cheii sau restricții extinse de utilizare a cheii. Unele autorități de certificare impun aplicarea unor restricții extinse de utilizare a cheilor pentru fiecare certificat, cum ar fi autentificarea serverului. Este în regulă să utilizați autentificarea serverului sau alte setări.

                                                                                                                                                  Cerințe Gazdă virtuală

                                                                                                                                                  Gazdele virtuale pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. au următoarele cerințe:

                                                                                                                                                  • Cel puțin două gazde separate (3 recomandate) plasate în același centru de date securizat

                                                                                                                                                  • VMware ESXi 6.5 (sau mai târziu) instalat și rulează.


                                                                                                                                                     

                                                                                                                                                    Trebuie să faceți upgrade dacă aveți o versiune anterioară a ESXi.

                                                                                                                                                  • Minim 4 vCPU-uri, 8-GB memorie principală, 30-GB spațiu pe hard disk local pe server

                                                                                                                                                  Cerințe server bază de date


                                                                                                                                                   

                                                                                                                                                  Creați o nouă bază de date pentru stocarea cheilor. Nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.

                                                                                                                                                  Există două opțiuni pentru serverul de baze de date. Cerințele pentru fiecare sunt după cum urmează:

                                                                                                                                                  Tabelul 2. Cerințe server bază de date în funcție de tipul de bază de date

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  • PostgreSQL 14, 15 sau 16, instalat și în funcțiune.

                                                                                                                                                  • Server SQL 2016, 2017 sau 2019 (Enterprise sau Standard) instalat.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 necesită pachetul de servicii 2 și actualizarea cumulativă 2 sau mai târziu.

                                                                                                                                                  Minim 8 vCPU-uri, 16-GB de memorie principală, suficient spațiu pe hard disk și monitorizare pentru a se asigura că nu este depășit (2-TB recomandat dacă doriți să rulați baza de date pentru o lungă perioadă de timp, fără a fi nevoie de a crește spațiul de stocare)

                                                                                                                                                  Minim 8 vCPU-uri, 16-GB de memorie principală, suficient spațiu pe hard disk și monitorizare pentru a se asigura că nu este depășit (2-TB recomandat dacă doriți să rulați baza de date pentru o lungă perioadă de timp, fără a fi nevoie de a crește spațiul de stocare)

                                                                                                                                                  Software-ul HDS instalează în prezent următoarele versiuni de drivere pentru comunicarea cu serverul bazei de date:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  Șofer JDBC Postgres 42.2.5

                                                                                                                                                  Driver JDBC SQL Server 4.6

                                                                                                                                                  Această versiune a driverului acceptă SQL Server întotdeauna activat (întotdeauna pe instanțe de cluster nereușite și întotdeauna pe grupuri de disponibilitate).

                                                                                                                                                  Cerințe suplimentare pentru autentificarea Windows împotriva Microsoft SQL Server

                                                                                                                                                  Dacă doriți ca nodurile HDS să utilizeze autentificarea Windows pentru a obține acces la baza dvs. de date Keystore pe Microsoft SQL Server, atunci aveți nevoie de următoarea configurație în mediul dvs.:

                                                                                                                                                  • Nodurile HDS, infrastructura Active Directory și serverul MS SQL trebuie sincronizate cu NTP.

                                                                                                                                                  • Contul Windows pe care îl furnizați nodurilor HDS trebuie să aibă acces citit/scris la baza de date.

                                                                                                                                                  • Serverele DNS pe care le furnizați nodurilor HDS trebuie să poată rezolva Centrul dvs. de distribuție a cheilor (KDC).

                                                                                                                                                  • Puteți înregistra instanța bazei de date HDS pe serverul dvs. Microsoft SQL ca nume principal al serviciului (SPN) în directorul dvs. activ. Consultați Înregistrarea unui nume principal de serviciu pentru conexiunile Kerberos.

                                                                                                                                                    Instrumentul de configurare HDS, lansatorul HDS și KMS local trebuie să utilizeze autentificarea Windows pentru a accesa baza de date Keystore. Ei folosesc detaliile din configurația ISO pentru a construi SPN atunci când solicită acces cu autentificarea Kerberos.

                                                                                                                                                  Cerințe de conectivitate externă

                                                                                                                                                  Configurați firewall-ul pentru a permite următoarea conectivitate pentru aplicațiile HDS:

                                                                                                                                                  Aplicație

                                                                                                                                                  Protocol

                                                                                                                                                  Port

                                                                                                                                                  Direcție din aplicație

                                                                                                                                                  Destinație

                                                                                                                                                  Noduri de securitate a datelor hibride

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS de ieșire și WSS

                                                                                                                                                  • Servere Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Toate gazdele de identitate comune

                                                                                                                                                  • Alte URL-uri care sunt listate pentru securitatea datelor hibride în tabelul URL-uri suplimentare pentru serviciile hibride Webex al cerințelor rețelei pentru serviciile Webex

                                                                                                                                                  Instrument de configurare HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS de ieșire

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Toate gazdele de identitate comune

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Nodurile de securitate a datelor hibride funcționează cu traducerea accesului la rețea (NAT) sau în spatele unui firewall, atâta timp cât NAT sau firewall permite conexiunile de ieșire necesare la destinațiile de domeniu din tabelul precedent. Pentru conexiunile care intră în nodurile de securitate a datelor hibride, niciun port nu trebuie să fie vizibil de pe internet. În cadrul centrului dvs. de date, clienții au nevoie de acces la nodurile de securitate a datelor hibride din porturile TCP 443 și 22, în scopuri administrative.

                                                                                                                                                  URL-urile gazdelor pentru identitatea comună (CI) sunt specifice regiunii. Acestea sunt gazdele actuale CI:

                                                                                                                                                  Regiune

                                                                                                                                                  URL-uri comune ale gazdei pentru identitate

                                                                                                                                                  Țările din America

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Uniunea Europeană

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Cerințe server proxy

                                                                                                                                                  • Sprijinim oficial următoarele soluții proxy care se pot integra cu nodurile dvs. de securitate a datelor hibride.

                                                                                                                                                  • Acceptăm următoarele combinații de tip autentificare pentru proxy-uri explicite:

                                                                                                                                                    • Nicio autentificare cu HTTP sau HTTPS

                                                                                                                                                    • Autentificare de bază cu HTTP sau HTTPS

                                                                                                                                                    • Autentificare Digest numai cu HTTPS

                                                                                                                                                  • Pentru un proxy de inspecție transparent sau un proxy explicit HTTPS, trebuie să aveți o copie a certificatului rădăcină al proxy-ului. Instrucțiunile de implementare din acest ghid vă spun cum să încărcați copia în magazinele de încredere ale nodurilor de securitate a datelor hibride.

                                                                                                                                                  • Rețeaua care găzduiește nodurile HDS trebuie să fie configurată pentru a forța traficul TCP de ieșire în portul 443 să se deplaseze prin proxy.

                                                                                                                                                  • Proxy-urile care inspectează traficul web pot interfera cu conexiunile socket-urilor web. Dacă apare această problemă, ocolirea (nu inspectarea) traficului la wbx2.com și ciscospark.com va rezolva problema.

                                                                                                                                                  Completați cerințele preliminare pentru securitatea datelor hibride

                                                                                                                                                  Utilizați această listă de verificare pentru a vă asigura că sunteți gata să instalați și să configurați clusterul de securitate a datelor hibride.
                                                                                                                                                  1

                                                                                                                                                  Asigurați-vă că organizația dvs. Webex este activată pentru pachetul Pro pentru Cisco Webex Control Hub și obțineți acreditările unui cont cu drepturi depline de administrator al organizației. Contactați-vă partenerul Cisco sau managerul de cont pentru ajutor în acest proces.

                                                                                                                                                  2

                                                                                                                                                  Alegeți un nume de domeniu pentru implementarea HDS (de exemplu, hds.company.com) și să obțină un lanț de certificate care conține un certificat X.509, cheie privată și orice certificate intermediare. Lanțul certificatului trebuie să îndeplinească cerințele din Cerințele de certificare X.509.

                                                                                                                                                  3

                                                                                                                                                  Pregătiți gazdele virtuale identice pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. Aveți nevoie de cel puțin două gazde separate (3 recomandate) plasate în același centru de date securizat, care îndeplinesc cerințele din Cerințele Gazdei Virtuale.

                                                                                                                                                  4

                                                                                                                                                  Pregătiți serverul bazei de date care va acționa ca un magazin de date cheie pentru cluster, în conformitate cu cerințele serverului bazei de date. Serverul bazei de date trebuie să fie plasat în centrul de date securizat cu gazdele virtuale.

                                                                                                                                                  1. Creați o bază de date pentru stocarea tastelor. (Trebuie să creați această bază de date—nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.)

                                                                                                                                                  2. Colectați detaliile pe care nodurile le vor utiliza pentru a comunica cu serverul bazei de date:

                                                                                                                                                    • numele gazdei sau adresa IP (gazda) și portul

                                                                                                                                                    • numele bazei de date (dbname) pentru stocarea cheilor

                                                                                                                                                    • numele de utilizator și parola unui utilizator cu toate privilegiile din baza de date de stocare cu tastatură

                                                                                                                                                  5

                                                                                                                                                  Pentru recuperarea rapidă a dezastrelor, configurați un mediu de rezervă într-un alt centru de date. Mediul de rezervă reflectă mediul de producție al VMs și un server de baze de date de rezervă. De exemplu, dacă producția are 3 VMs care rulează noduri HDS, mediul de rezervă ar trebui să aibă 3 VMs.

                                                                                                                                                  6

                                                                                                                                                  Configurați o gazdă syslog pentru a colecta jurnale de la nodurile din cluster. Aduna adresa de rețea și portul syslog (implicit este UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Creați o politică de rezervă securizată pentru nodurile de securitate a datelor hibride, serverul bazei de date și gazda syslog. Cel puțin, pentru a preveni pierderea de date nerecuperabile, trebuie să salvați baza de date și fișierul ISO de configurare generat pentru nodurile de securitate a datelor hibride.


                                                                                                                                                   

                                                                                                                                                  Deoarece nodurile de securitate a datelor hibride stochează cheile utilizate în criptarea și decriptarea conținutului, nemenținerea unei implementări operaționale va duce la PIERDEREA NERECUPERABILĂ a conținutului respectiv.

                                                                                                                                                  Clienții Aplicației Webex își ascund cheile, astfel încât este posibil ca o întrerupere să nu fie vizibilă imediat, dar va deveni evidentă în timp. În timp ce ieșirile temporare sunt imposibil de prevenit, acestea sunt recuperabile. Cu toate acestea, pierderea completă (fără backup-uri disponibile) a bazei de date sau a fișierului ISO de configurare va duce la date client nerecuperabile. Operatorii nodurilor de securitate a datelor hibride se așteaptă să mențină backup-uri frecvente ale bazei de date și ale fișierului ISO de configurare și să fie pregătiți să reconstruiască centrul de date de securitate a datelor hibride în cazul în care apare un eșec catastrofal.

                                                                                                                                                  8

                                                                                                                                                  Asigurați-vă că configurația firewall-ului dvs. permite conectivitatea pentru nodurile dvs. de securitate a datelor hibride, astfel cum sunt prezentate în cerințele de conectivitate externă.

                                                                                                                                                  9

                                                                                                                                                  Instalați Docker ( https://www.docker.com) pe orice mașină locală care rulează un sistem de operare acceptat (Microsoft Windows 10 Professional sau Enterprise pe 64 de biți sau Mac OSX Yosemite 10.10.3 sau mai sus) cu un browser web care îl poate accesa la http://127.0.0.1:8080.

                                                                                                                                                  Utilizați instanța Docker pentru a descărca și rula Instrumentul de configurare HDS, care construiește informațiile de configurare locale pentru toate nodurile de securitate a datelor hibride. Este posibil ca organizația dvs. să aibă nevoie de o licență Docker Desktop. Consultați Cerințele Docker Desktop pentru mai multe informații.

                                                                                                                                                  Pentru a instala și rula Instrumentul de configurare HDS, utilajul local trebuie să aibă conectivitatea descrisă în Cerințele de conectivitate externă.

                                                                                                                                                  10

                                                                                                                                                  Dacă integrați un proxy cu securitatea datelor hibride, asigurați-vă că îndeplinește Cerințele serverului proxy.

                                                                                                                                                  11

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului, creați un grup în Active Directory numit HdsTrialGroup, și adăugați utilizatori pilot. Grupul de încercare poate avea până la 250 de utilizatori. Fișierul HdsTrialGroup obiectul trebuie să fie sincronizat în cloud înainte de a putea iniția o încercare pentru organizația dvs. Pentru a sincroniza un obiect de grup, selectați-l în Directory Connector Configurare > Meniu Selecție obiect. (Pentru instrucțiuni detaliate, consultați Ghidul de implementare pentru Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Tastele pentru un anumit spațiu sunt stabilite de creatorul spațiului. Atunci când selectați utilizatori pilot, rețineți că, dacă decideți să dezactivați definitiv implementarea securității datelor hibride, toți utilizatorii pierd accesul la conținut în spațiile create de utilizatorii pilot. Pierderea devine evidentă imediat ce aplicațiile utilizatorilor își reîmprospătează copiile cache ale conținutului.

                                                                                                                                                  Configurarea unui cluster de securitate a datelor hibride

                                                                                                                                                  Flux sarcină de implementare a securității datelor hibride

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Pregătiți-vă mediul

                                                                                                                                                  1

                                                                                                                                                  Descărcați fișierele de instalare

                                                                                                                                                  Descărcați fișierul OVA la utilajul local pentru utilizare ulterioară.

                                                                                                                                                  2

                                                                                                                                                  Creați un ISO de configurare pentru gazdele HDS

                                                                                                                                                  Utilizați instrumentul de configurare HDS pentru a crea un fișier de configurare ISO pentru nodurile de securitate a datelor hibride.

                                                                                                                                                  3

                                                                                                                                                  Instalați gazda HDS OVA

                                                                                                                                                  Creați o mașină virtuală din fișierul OVA și efectuați configurația inițială, cum ar fi setările de rețea.


                                                                                                                                                   

                                                                                                                                                  Opțiunea de configurare a setărilor de rețea în timpul implementării OVA a fost testată cu ESXi 6.5. Este posibil ca opțiunea să nu fie disponibilă în versiunile anterioare.

                                                                                                                                                  4

                                                                                                                                                  Configurați VM-ul de securitate a datelor hibride

                                                                                                                                                  Conectați-vă la consola VM și setați acreditările de conectare. Configurați setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.

                                                                                                                                                  5

                                                                                                                                                  Încărcați și montați ISO de configurare HDS

                                                                                                                                                  Configurați VM din fișierul de configurare ISO pe care l-ați creat cu instrumentul de configurare HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurați nodul HDS pentru integrarea proxy

                                                                                                                                                  Dacă mediul de rețea necesită configurare proxy, specificați tipul de proxy pe care îl veți utiliza pentru nod și adăugați certificatul proxy la magazinul de încredere, dacă este necesar.

                                                                                                                                                  7

                                                                                                                                                  Înregistrați primul nod în cluster

                                                                                                                                                  Înregistrați VM cu cloudul Cisco Webex ca nod de securitate a datelor hibrid.

                                                                                                                                                  8

                                                                                                                                                  Creați și înregistrați mai multe noduri

                                                                                                                                                  Finalizați configurarea clusterului.

                                                                                                                                                  9

                                                                                                                                                  Efectuați un proces și mutați-vă la producție (capitolul următor)

                                                                                                                                                  Până când începeți o încercare, nodurile dvs. generează o alarmă care indică faptul că serviciul dvs. nu este încă activat.

                                                                                                                                                  Descărcați fișierele de instalare

                                                                                                                                                  În această sarcină, descărcați un fișier OVA pe mașina dvs. (nu pe serverele pe care le-ați configurat ca noduri de securitate a datelor hibride). Utilizați acest fișier mai târziu în procesul de instalare.
                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la https://admin.webex.comși apoi faceți clic pe Servicii.

                                                                                                                                                  2

                                                                                                                                                  În secțiunea Servicii hibride, găsiți cardul de securitate a datelor hibride, apoi faceți clic pe Configurare.

                                                                                                                                                  Dacă cardul este dezactivat sau nu îl vedeți, contactați echipa de cont sau organizația parteneră. Dați-le numărul contului dvs. și solicitați să activați organizația dvs. pentru securitatea datelor hibride. Pentru a găsi numărul contului, faceți clic pe dispozitivul din dreapta sus, lângă numele organizației dvs.


                                                                                                                                                   

                                                                                                                                                  De asemenea, puteți descărca OVA în orice moment din secțiunea Ajutor de pe pagina Setări . Pe cardul de securitate a datelor hibride, faceți clic pe Editare setări pentru a deschide pagina. Atunci, faceți clic pe Descărcați software-ul de securitate a datelor hibride în secțiunea Ajutor .


                                                                                                                                                   

                                                                                                                                                  Versiunile mai vechi ale pachetului software (OVA) nu vor fi compatibile cu cele mai recente upgrade-uri de securitate a datelor hibride. Acest lucru poate duce la probleme în timp ce actualizarea aplicației. Asigurați-vă că descărcați cea mai recentă versiune a fișierului OVA.

                                                                                                                                                  3

                                                                                                                                                  Selectați Nu pentru a indica faptul că nu ați configurat încă nodul, apoi faceți clic pe Înainte.

                                                                                                                                                  Fișierul OVA începe automat să se descarce. Salvați fișierul într-o locație de pe utilajul dvs.
                                                                                                                                                  4

                                                                                                                                                  Opțional, faceți clic pe Deschidere Ghid de implementare pentru a verifica dacă există o versiune ulterioară a acestui ghid disponibil.

                                                                                                                                                  Creați un ISO de configurare pentru gazdele HDS

                                                                                                                                                  Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi utilizați ISO pentru a configura gazda dvs. de securitate a datelor hibride.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Instrumentul de configurare HDS rulează ca container Docker pe un computer local. Pentru a-l accesa, rulați Docker pe acel computer. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi complete de administrator pentru organizația dvs.

                                                                                                                                                    Dacă instrumentul de configurare HDS rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin variabilele de mediu Docker atunci când ridicați containerul Docker în pasul 5. Acest tabel oferă câteva variabile de mediu posibile:

                                                                                                                                                    Descriere

                                                                                                                                                    Variabilă

                                                                                                                                                    Proxy HTTP fără autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS fără autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTP cu autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS cu autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Fișierul de configurare ISO pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier oricând efectuați modificări de configurare, cum ar fi acestea:

                                                                                                                                                    • Informații bază de date

                                                                                                                                                    • Actualizări certificat

                                                                                                                                                    • Modificări ale politicii de autorizare

                                                                                                                                                  • Dacă intenționați să criptați conexiunile la baza de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

                                                                                                                                                  1

                                                                                                                                                  În linia de comandă a computerului dvs., introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                  În medii obișnuite:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  În mediile FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.

                                                                                                                                                  2

                                                                                                                                                  Pentru a vă conecta la registry de imagini Docker, introduceți următoarele:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  La solicitarea parolei, introduceți acest hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Descărcați cea mai recentă imagine stabilă pentru mediul dvs.:

                                                                                                                                                  În medii obișnuite:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  În mediile FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                  • În mediile obișnuite fără un proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • În mediile obișnuite cu un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • În mediile obișnuite cu un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • În mediile FedRAMP fără un proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • În mediile FedRAMP cu un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • În mediile FedRAMP cu un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Când containerul rulează, veți vedea „Serverul Express ascultând pe portul 8080”.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală.

                                                                                                                                                  Utilizați un browser web pentru a merge la gazda locală, http://127.0.0.1:8080, și introduceți numele de utilizator al administratorului clientului pentru Control Hub la prompt.

                                                                                                                                                  Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul adecvat pentru acel cont. Instrumentul afișează apoi apelul standard de conectare.

                                                                                                                                                  7

                                                                                                                                                  Când vi se solicită, introduceți acreditările de conectare ale administratorului clientului Control Hub, apoi faceți clic pe Conectare pentru a permite accesul la serviciile necesare pentru securitatea datelor hibride.

                                                                                                                                                  8

                                                                                                                                                  Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Get Started.

                                                                                                                                                  9

                                                                                                                                                  Pe pagina ISO Import aveți aceste opțiuni:

                                                                                                                                                  • Nu—Dacă creați primul nod HDS, nu aveți un fișier ISO pentru încărcare.
                                                                                                                                                  • Da—Dacă ați creat deja noduri HDS, apoi selectați fișierul ISO în navigare și încărcați-l.
                                                                                                                                                  10

                                                                                                                                                  Verificați dacă certificatul dvs. X.509 îndeplinește cerințele din Cerințele de certificare X.509.

                                                                                                                                                  • Dacă nu ați mai încărcat un certificat înainte, încărcați certificatul X.509, introduceți parola și faceți clic pe Continuare.
                                                                                                                                                  • Dacă certificatul dvs. este OK, faceți clic pe Continuare.
                                                                                                                                                  • Dacă certificatul dvs. a expirat sau doriți să îl înlocuiți, selectați Nu pentru Continuare utilizând lanțul certificatului HDS și cheia privată din ISO anterior?. Încărcați un nou certificat X.509, introduceți parola și faceți clic pe Continuare.
                                                                                                                                                  11

                                                                                                                                                  Introduceți adresa bazei de date și contul HDS pentru a accesa baza de date cu tastatură:

                                                                                                                                                  1. Selectați tipul bazei de date (PostgreSQL sau Microsoft SQL Server).

                                                                                                                                                    Dacă alegeți Microsoft SQL Server, primiți un câmp tip autentificare.

                                                                                                                                                  2. (Numai serverul Microsoft SQL) Selectați tipul dvs. de autentificare:

                                                                                                                                                    • Autentificare de bază: Aveți nevoie de un nume de cont SQL Server local în câmpul Nume de utilizator .

                                                                                                                                                    • Autentificare Windows: Aveți nevoie de un cont Windows în format username@DOMAIN în câmpul Nume utilizator .

                                                                                                                                                  3. Introduceți adresa serverului bazei de date în formular <hostname>:<port> sau <IP-address>:<port>.

                                                                                                                                                    Exemplu:
                                                                                                                                                    dbhost.example.org:1433 sau 198.51.100.17:1433

                                                                                                                                                    Puteți utiliza o adresă IP pentru autentificarea de bază, dacă nodurile nu pot utiliza DNS pentru a rezolva numele gazdei.

                                                                                                                                                    Dacă utilizați autentificarea Windows, trebuie să introduceți un nume de domeniu complet calificat în format dbhost.example.org:1433

                                                                                                                                                  4. Introduceți numele bazei de date.

                                                                                                                                                  5. Introduceți numele de utilizator și parola unui utilizator cu toate privilegiile din baza de date de stocare cu tastatură.

                                                                                                                                                  12

                                                                                                                                                  Selectați un mod de conectare la baza de date TLS:

                                                                                                                                                  Mod

                                                                                                                                                  Descriere

                                                                                                                                                  Prefer TLS (opțiune prestabilită)

                                                                                                                                                  Nodurile HDS nu necesită TLS pentru a se conecta la server bază de date de date . Dacă activați TLS pe serverul bazei de date, nodurile încearcă o conexiune criptată.

                                                                                                                                                  Solicită TLS

                                                                                                                                                  Nodurile HDS se conectează numai dacă server bază de date poate negocia TLS.

                                                                                                                                                  Solicită TLS și verifică semnatarul certificatului


                                                                                                                                                   

                                                                                                                                                  Acest mod nu se aplică bazelor de date SQL Server.

                                                                                                                                                  • Nodurile HDS se conectează numai dacă server bază de date poate negocia TLS.

                                                                                                                                                  • După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de pe serverul bazei de date cu autoritatea certificatului din certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul întrerupe conexiunea.

                                                                                                                                                  Utilizați certificat rădăcină bază de date de sub meniul drop-down pentru a încărca certificat rădăcină pentru această opțiune.

                                                                                                                                                  Solicită TLS și verifică semnatarul certificatului și numele gazdei

                                                                                                                                                  • Nodurile HDS se conectează numai dacă server bază de date poate negocia TLS.

                                                                                                                                                  • După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de pe serverul bazei de date cu autoritatea certificatului din certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul întrerupe conexiunea.

                                                                                                                                                  • Nodurile verifică, de asemenea, dacă numele gazdei din certificatul de server corespunde numelui gazdei din câmpul Gazdă bază de date și port . Numele trebuie să corespundă exact, sau nodul întrerupe conexiunea.

                                                                                                                                                  Utilizați certificat rădăcină bază de date de sub meniul drop-down pentru a încărca certificat rădăcină pentru această opțiune.

                                                                                                                                                  Când încărcați certificatul rădăcină (dacă este necesar) și faceți clic pe Continuare, instrumentul de configurare HDS testează conexiunea TLS la serverul bazei de date. Instrumentul verifică, de asemenea, semnatarul certificatului și numele gazdei, dacă este cazul. Dacă un test eșuează, instrumentul afișează un mesaj de eroare care descrie problema. Puteți alege să ignorați eroarea și să continuați configurarea. (Din cauza diferențelor de conectivitate, nodurile HDS ar putea fi capabile să stabilească conexiunea TLS, chiar dacă utilajul Instrumentului de configurare HDS nu o poate testa cu succes.)

                                                                                                                                                  13

                                                                                                                                                  Pe pagina Jurnale de sistem, configurați serverul Syslogd:

                                                                                                                                                  1. Introduceți URL-ul serverului syslog.

                                                                                                                                                    Dacă serverul nu poate fi rezolvat prin DNS din nodurile clusterului dvs. HDS, utilizați o adresă IP în URL.

                                                                                                                                                    Exemplu:
                                                                                                                                                    udp://10.92.43.23:514 indică conectarea la gazda Syslogd 10.92.43.23 pe portul UDP 514.
                                                                                                                                                  2. Dacă configurați serverul pentru a utiliza criptarea TLS, verificați dacă este configurat serverul syslog pentru criptarea SSL?.

                                                                                                                                                    Dacă bifați această casetă de selectare, asigurați-vă că introduceți un URL TCP, cum ar fi tcp://10.92.43.23:514.

                                                                                                                                                  3. Din lista derulantă Choose syslog record termination , alegeți setarea potrivită pentru fișierul dvs. ISO: Alegerea sau linia nouă este utilizată pentru Graylog și Rsyslog TCP

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Newline -- \n—Selectați această opțiune pentru Graylog și Rsyslog TCP.

                                                                                                                                                  4. Faceți clic pe Continuați.

                                                                                                                                                  14

                                                                                                                                                  (Opțional) Puteți modifica valoarea implicită a unor parametri de conexiune la baza de date în Setări avansate. În general, acest parametru este singurul pe care s-ar putea dori să-l modificați:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Faceți clic pe Continuare pe ecranul Resetare Conturi serviciu Parolă .

                                                                                                                                                  Parolele contului de serviciu au o durată de viață de nouă luni. Utilizați acest ecran atunci când parolele dvs. se apropie de expirare sau doriți să le resetați pentru a dezactiva fișierele ISO anterioare.

                                                                                                                                                  16

                                                                                                                                                  Faceți clic pe Descărcați fișierul ISO. Salvați fișierul într-o locație ușor de găsit.

                                                                                                                                                  17

                                                                                                                                                  Efectuați o copie de rezervă a fișierului ISO pe sistemul local.

                                                                                                                                                  Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare.

                                                                                                                                                  18

                                                                                                                                                  Pentru a închide instrumentul de configurare, tastați CTRL+C.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Backup fișierul ISO de configurare. Aveți nevoie de ea pentru a crea mai multe noduri pentru recuperare, sau pentru a face modificări de configurare. Dacă pierdeți toate copiile fișierului ISO, ați pierdut, de asemenea, cheia principală. Recuperarea tastelor din baza de date PostgreSQL sau Microsoft SQL Server nu este posibilă.


                                                                                                                                                   

                                                                                                                                                  Nu avem niciodată o copie a acestei chei și nu poate ajuta dacă îl pierzi.

                                                                                                                                                  Instalați gazda HDS OVA

                                                                                                                                                  Utilizați această procedură pentru a crea o mașină virtuală din fișierul OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilizați clientul VMware vSphere de pe computer pentru a vă conecta la gazda virtuală ESXi.

                                                                                                                                                  2

                                                                                                                                                  Selectați Fișier > Implementați șablonul OVF.

                                                                                                                                                  3

                                                                                                                                                  În expert, specificați locația fișierului OVA pe care l-ați descărcat mai devreme, apoi faceți clic pe În continuare.

                                                                                                                                                  4

                                                                                                                                                  Pe Selectați un nume și un folder pagină , introduceți o Nume mașină virtuală pentru nod (de exemplu, „HDS_Node_1”), alegeți o locație în care se poate afla implementarea nodului mașinii virtuale, apoi faceți clic pe În continuare.

                                                                                                                                                  5

                                                                                                                                                  Pe Selectați o resursă de calcul pagină , alegeți resursa de calcul destinație, apoi faceți clic pe În continuare.

                                                                                                                                                  O verificare de validare se execută. După ce se termină, apar detaliile șablonului.

                                                                                                                                                  6

                                                                                                                                                  Verificați detaliile șablonului și apoi faceți clic pe Înainte.

                                                                                                                                                  7

                                                                                                                                                  Dacă vi se solicită să alegeți configurația de resurse de pe Configurare pagină , faceți clic pe 4 CPU apoi faceți clic pe În continuare.

                                                                                                                                                  8

                                                                                                                                                  Pe Selectați spațiul de stocare pagină , faceți clic pe În continuare pentru a accepta formatul implicit al discului și politica de stocare VM.

                                                                                                                                                  9

                                                                                                                                                  Pe Selectați rețelele pagină, alege opțiunea de rețea din lista de intrări pentru a oferi conexiunea dorită la VM.

                                                                                                                                                  10

                                                                                                                                                  Pe pagina Personalizați șablonul , configurați următoarele setări ale rețelei:

                                                                                                                                                  • Nume gazdă—Introduceți FQDN (nume de gazdă și domeniu) sau un singur cuvânt nume de gazdă pentru nod.

                                                                                                                                                     
                                                                                                                                                    • Nu este necesar să setați domeniul pentru a se potrivi domeniului pe care l-ați utilizat pentru a obține certificatul X.509.

                                                                                                                                                    • Pentru a vă asigura că vă înregistrați cu succes în cloud, utilizați numai caractere din FQDN sau numele gazdei pe care le-ați setat pentru nod. Capitalizarea nu este acceptată în acest moment.

                                                                                                                                                    • Lungimea totală a FQDN nu trebuie să depășească 64 de caractere.

                                                                                                                                                  • Adresă IP— Introduceți adresa IP pentru interfața internă a nodului.

                                                                                                                                                     

                                                                                                                                                    Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat.

                                                                                                                                                  • Mască—Introduceți adresa măștii subnet în notația punct-zecimală. De exemplu, 255.255.255.0.
                                                                                                                                                  • Gateway—Introduceți adresa IP a gateway-ului. Un gateway este un nod de rețea care servește ca punct de acces la o altă rețea.
                                                                                                                                                  • Servere DNS—Introduceți o listă de servere DNS separate prin virgulă, care se ocupă cu traducerea numelor de domenii către adrese IP numerice. (Sunt permise până la 4 intrări DNS.)
                                                                                                                                                  • Servere NTP—Introduceți serverul NTP al organizației dvs. sau un alt server NTP extern care poate fi utilizat în organizația dvs. Serverele NTP implicite nu pot funcționa pentru toate întreprinderile. De asemenea, puteți utiliza o listă separată prin virgulă pentru a introduce mai multe servere NTP.
                                                                                                                                                  • Implementați toate nodurile din aceeași subrețea sau VLAN, astfel încât toate nodurile dintr-un cluster să poată fi accesate de clienții din rețeaua dvs. în scopuri administrative.

                                                                                                                                                  Dacă preferați, puteți sări peste configurația de setare a rețelei și puteți urma pașii din Configurați VM-ul de securitate a datelor hibride pentru a configura setările din consola nodului.


                                                                                                                                                   

                                                                                                                                                  Opțiunea de configurare a setărilor de rețea în timpul implementării OVA a fost testată cu ESXi 6.5. Este posibil ca opțiunea să nu fie disponibilă în versiunile anterioare.

                                                                                                                                                  11

                                                                                                                                                  Faceți clic dreapta pe nodul VM, apoi alegeți Alimentare > Pornire.

                                                                                                                                                  Software-ul de securitate a datelor hibride este instalat ca invitat pe Gazda VM. Acum sunteți gata să vă conectați la consolă și să configurați nodul.

                                                                                                                                                  Sfaturi pentru depanare

                                                                                                                                                  Este posibil să aveți o întârziere de câteva minute înainte de apariția containerelor de nod. Un mesaj de firewall de legătură apare pe consolă în timpul primei boot-ări, în timpul căreia nu vă puteți conecta.

                                                                                                                                                  Configurați VM-ul de securitate a datelor hibride

                                                                                                                                                  Utilizați această procedură pentru a vă conecta pentru prima dată la consola VM a nodului de securitate a datelor hibride și pentru a seta acreditările de conectare. De asemenea, puteți utiliza consola pentru a configura setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.

                                                                                                                                                  1

                                                                                                                                                  În clientul VMware vSphere, selectați nodul de securitate a datelor hibride VM și selectați fila Console .

                                                                                                                                                  VM pornește în sus și apare un prompt de conectare. Dacă mesajul de conectare nu se afișează, apăsați Enter.
                                                                                                                                                  2

                                                                                                                                                  Utilizați următoarea conectare implicită și parola pentru a vă conecta și a modifica datele de autentificare:

                                                                                                                                                  1. Conectare: admin

                                                                                                                                                  2. Parolă: cisco

                                                                                                                                                  Deoarece vă conectați pentru prima dată la VM, trebuie să schimbați parola de administrator.

                                                                                                                                                  3

                                                                                                                                                  Dacă ați configurat deja setările de rețea în Instalați gazda HDS OVA, omiteți restul acestei proceduri. În caz contrar, în meniul principal, selectați opțiunea Editare configurație .

                                                                                                                                                  4

                                                                                                                                                  Configurați o configurație statică cu adresă IP, Mască, Gateway și informații DNS. Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat.

                                                                                                                                                  5

                                                                                                                                                  (Opțional) Modificați numele gazdei, domeniul sau serverul (serverele) NTP, dacă este necesar pentru a se potrivi cu politica de rețea.

                                                                                                                                                  Nu este necesar să setați domeniul pentru a se potrivi domeniului pe care l-ați utilizat pentru a obține certificatul X.509.

                                                                                                                                                  6

                                                                                                                                                  Salvați configurația de rețea și reporniți VM, astfel încât modificările să aibă efect.

                                                                                                                                                  Încărcați și montați ISO de configurare HDS

                                                                                                                                                  Utilizați această procedură pentru a configura mașina virtuală din fișierul ISO pe care l-ați creat cu instrumentul de configurare HDS.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Deoarece fișierul ISO deține cheia principală, acesta ar trebui să fie expus numai pe o bază „trebuie să știe”, pentru a fi accesat de către VM-urile de securitate a datelor hibride și de orice administratori care ar putea avea nevoie să facă modificări. Asigurați-vă că numai acei administratori pot accesa stația de date.

                                                                                                                                                  1

                                                                                                                                                  Încărcați fișierul ISO de pe computer:

                                                                                                                                                  1. În panoul de navigare din stânga al clientului VMware vSphere, faceţi clic pe serverul ESXi.

                                                                                                                                                  2. În lista Hardware a filei de configurare, faceți clic pe Storage (Depozitare).

                                                                                                                                                  3. În lista Datastores, faceți clic dreapta pe bara de date pentru VMs și faceți clic pe Browse Datastore.

                                                                                                                                                  4. Faceți clic pe pictograma Încărcare fișiere, apoi faceți clic pe Încărcare fișier.

                                                                                                                                                  5. Navigați la locația în care ați descărcat fișierul ISO pe computer și faceți clic pe Deschidere.

                                                                                                                                                  6. Faceți clic pe Da pentru a accepta avertismentul operațiunii de încărcare/descărcare și închideți dialogul cu stația de date.

                                                                                                                                                  2

                                                                                                                                                  Montați fișierul ISO:

                                                                                                                                                  1. În panoul de navigare din stânga al clientului VMware vSphere, da clic dreapta pe VM și faceți clic Editați setările .

                                                                                                                                                  2. Faceți clic pe OK pentru a accepta avertismentul privind opțiunile de editare restricționate.

                                                                                                                                                  3. Clic CD/DVD Drive 1, selectați opțiunea de montare dintr-un fișier ISO datastore și navigați la locația în care ați încărcat fișierul ISO de configurare.

                                                                                                                                                  4. Verificați Conectat și Conectat la putere.

                                                                                                                                                  5. Salvați modificările și reporniți mașina virtuală.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Dacă politica dvs. IT necesită, puteți dezinstala opțional fișierul ISO după ce toate nodurile dvs. preiau modificările de configurare. Consultați (Opțional) Dezasamblarea ISO după configurarea HDS pentru detalii.

                                                                                                                                                  Configurați nodul HDS pentru integrarea proxy

                                                                                                                                                  Dacă mediul de rețea necesită un proxy, utilizați această procedură pentru a specifica tipul de proxy pe care doriți să îl integrați cu securitatea datelor hibride. Dacă alegeți un proxy de inspecție transparent sau un proxy explicit HTTPS, puteți utiliza interfața nodului pentru a încărca și instala certificatul rădăcină. De asemenea, puteți verifica conexiunea proxy din interfață și puteți rezolva orice probleme potențiale.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  1

                                                                                                                                                  Introduceți URL-ul de configurare a nodului HDS https://[HDS Node IP or FQDN]/setup într-un browser web, introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.

                                                                                                                                                  2

                                                                                                                                                  Accesați Trust Store & Proxy, apoi alegeți o opțiune:

                                                                                                                                                  • Nu există proxy—Opțiunea implicită înainte de a integra un proxy. Nu este necesară nicio actualizare a certificatului.
                                                                                                                                                  • Proxy transparent fără inspecție- Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy și nu ar trebui să necesite nicio modificare pentru a lucra cu un proxy fără inspecție. Nu este necesară nicio actualizare a certificatului.
                                                                                                                                                  • Inspecție transparentă proxy- Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy. Nu sunt necesare modificări ale configurației HTTPS la implementarea securității datelor hibride, cu toate acestea, nodurile HDS au nevoie de un certificat rădăcină pentru a avea încredere în proxy. De obicei, proxy-urile de inspecție sunt utilizate de IT pentru a pune în aplicare politicile pe care site-urile pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).
                                                                                                                                                  • Proxy explicit—Cu proxy explicit, spuneți clientului (noduri HDS) ce server proxy să utilizeze, iar această opțiune acceptă mai multe tipuri de autentificare. După ce alegeți această opțiune, trebuie să introduceți următoarele informații:
                                                                                                                                                    1. IP proxy/FQDN—Adresă care poate fi utilizată pentru a ajunge la utilajul proxy.

                                                                                                                                                    2. Portul proxy—Un număr de port pe care proxy-ul îl folosește pentru a asculta traficul proxy.

                                                                                                                                                    3. Proxy Protocol—Alegeți http (vizualizează și controlează toate solicitările primite de la client) sau https (oferă un canal serverului, iar clientul primește și validează certificatul serverului). Alegeți o opțiune pe baza a ceea ce acceptă serverul proxy.

                                                                                                                                                    4. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:

                                                                                                                                                      • Niciuna – Nu este necesară autentificarea suplimentară.

                                                                                                                                                        Disponibil pentru proxy-uri HTTP sau HTTPS.

                                                                                                                                                      • De bază—Utilizat pentru un agent de utilizator HTTP pentru a furniza un nume de utilizator și o parolă atunci când efectuați o solicitare. Utilizează codificarea Base64.

                                                                                                                                                        Disponibil pentru proxy-uri HTTP sau HTTPS.

                                                                                                                                                        Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola.

                                                                                                                                                      • Digest—Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite în rețea.

                                                                                                                                                        Disponibil numai pentru proxy-uri HTTPS.

                                                                                                                                                        Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola.

                                                                                                                                                  Urmați pașii următori pentru un proxy de inspecție transparent, un proxy explicit HTTP cu autentificare de bază sau un proxy explicit HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Faceți clic pe Încărcați un certificat rădăcină sau un certificat de entitate finalizată, apoi navigați la o alegere a certificatului rădăcină pentru proxy.

                                                                                                                                                  Certificatul este încărcat, dar nu este încă instalat, deoarece trebuie să reporniți nodul pentru a instala certificatul. Faceți clic pe săgeata chevron după numele emitentului certificatului pentru a obține mai multe detalii sau faceți clic pe Ștergere dacă ați făcut o greșeală și doriți să reîncărcați fișierul.

                                                                                                                                                  4

                                                                                                                                                  Faceți clic pe Verificare conexiune proxy pentru a testa conectivitatea la rețea între nod și proxy.

                                                                                                                                                  Dacă testul conexiunii eșuează, veți vedea un mesaj de eroare care arată motivul și modul în care puteți corecta problema.

                                                                                                                                                  Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a reușit, nodul nu a putut ajunge la serverul DNS. Această condiție este de așteptat în multe configurații proxy explicite. Puteți continua cu configurarea, iar nodul va funcționa în modul de Rezoluție DNS Externă Blocată. Dacă credeți că aceasta este o eroare, completați acești pași și apoi consultați Dezactivarea modului de rezoluție DNS extern blocat.

                                                                                                                                                  5

                                                                                                                                                  După ce testul conexiunii trece, pentru proxy explicit setat numai la https, activați comutatorul pentru a Ruta toate solicitările de port 443/444 https din acest nod prin proxy explicit. Această setare necesită 15 secunde pentru a intra în vigoare.

                                                                                                                                                  6

                                                                                                                                                  Faceți clic pe Instalare toate certificatele în magazinul de încredere (apare pentru un proxy explicit HTTPS sau un proxy de inspecție transparent) sau Reporniți (apare pentru un proxy explicit HTTP), citiți mesajul și apoi faceți clic pe Instalare dacă sunteți pregătit.

                                                                                                                                                  Nodul repornește în câteva minute.

                                                                                                                                                  7

                                                                                                                                                  După repornirea nodului, conectați-vă din nou dacă este necesar, apoi deschideți pagina Prezentare generală pentru a verifica verificările de conectivitate pentru a vă asigura că toate sunt în stare verde.

                                                                                                                                                  Verificarea conexiunii proxy testează numai un subdomeniu al webex.com. Dacă există probleme de conectivitate, o problemă comună este că unele dintre domeniile cloud enumerate în instrucțiunile de instalare sunt blocate la proxy.

                                                                                                                                                  Înregistrați primul nod în cluster

                                                                                                                                                  Această sarcină preia nodul generic pe care l-ați creat în Configurarea VM-ului de securitate a datelor hibride, înregistrează nodul cu cloudul Webex și îl transformă într-un nod de securitate a datelor hibride.

                                                                                                                                                  Când vă înregistrați primul nod, creați un cluster căruia i se atribuie nodul. Un cluster conține unul sau mai multe noduri implementate pentru a oferi redundanță.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Odată ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți.

                                                                                                                                                  • Asigurați-vă că orice blocare pop-up din browser-ul dvs. este dezactivată sau că permiteți o excepție pentru admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Din meniul din partea stângă a ecranului, selectați Servicii.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Servicii hibride, găsiți Securitatea datelor hibride și faceți clic pe Configurare.

                                                                                                                                                  Apare pagina Nod de securitate a datelor hibride de înregistrare.
                                                                                                                                                  4

                                                                                                                                                  Selectați Da pentru a indica faptul că ați configurat nodul și sunteți gata să îl înregistrați, apoi faceți clic pe Înainte.

                                                                                                                                                  5

                                                                                                                                                  În primul câmp, introduceți un nume pentru clusterul la care doriți să alocați nodul dvs. de securitate a datelor hibride.

                                                                                                                                                  Vă recomandăm să denumiți un cluster bazat pe locul în care nodurile clusterului sunt localizate geografic. Exemple: "San Francisco" sau "New York" sau "Dallas"

                                                                                                                                                  6

                                                                                                                                                  În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Înainte.

                                                                                                                                                  Această adresă IP sau FQDN trebuie să corespundă adresei IP sau numelui gazdei și domeniului pe care l-ați utilizat în Configurarea VM-ului de securitate a datelor hibride.

                                                                                                                                                  Apare un mesaj care indică faptul că vă puteți înregistra nodul la Webex.
                                                                                                                                                  7

                                                                                                                                                  Faceți clic pe Du-te la Nod.

                                                                                                                                                  8

                                                                                                                                                  Faceți clic pe Continuare în mesajul de avertizare.

                                                                                                                                                  După câteva momente, sunteți redirecționat către testele de conectivitate la noduri pentru serviciile Webex. Dacă toate testele au succes, apare pagina Permiteți accesul la nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați permisiuni organizației dvs. Webex pentru a accesa nodul dvs.
                                                                                                                                                  9

                                                                                                                                                  Bifați caseta de selectare Permite accesul la nodul dvs. de securitate a datelor hibride , apoi faceți clic pe Continuare.

                                                                                                                                                  Contul dvs. este validat, iar mesajul „Înscriere completă” indică faptul că nodul dvs. este acum înregistrat în cloudul Webex.
                                                                                                                                                  10

                                                                                                                                                  Faceți clic pe link-ul sau închideți fila pentru a reveni la pagina de securitate a datelor hibride Control Hub.

                                                                                                                                                  Pe pagina Securitate datelor hibride, este afișat noul cluster care conține nodul pe care l-ați înregistrat. Nodul va descărca automat cel mai recent software din cloud.

                                                                                                                                                  Creați și înregistrați mai multe noduri

                                                                                                                                                  Pentru a adăuga noduri suplimentare în cluster, creați pur și simplu VMs suplimentare și montați același fișier ISO de configurare, apoi înregistrați nodul. Vă recomandăm să aveți cel puțin 3 noduri.

                                                                                                                                                   

                                                                                                                                                  În acest moment, VMs de rezervă pe care le-ați creat în Completați Condițiile prealabile pentru securitatea datelor hibride sunt gazde standby care sunt utilizate numai în caz de recuperare a dezastrelor; acestea nu sunt înregistrate la sistem până atunci. Pentru detalii, consultați Recuperarea dezastrelor utilizând Centrul de date standby.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Odată ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți.

                                                                                                                                                  • Asigurați-vă că orice blocare pop-up din browser-ul dvs. este dezactivată sau că permiteți o excepție pentru admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Creați o nouă mașină virtuală din OVA, repetând pașii din Instalați gazda HDS OVA.

                                                                                                                                                  2

                                                                                                                                                  Configurați configurația inițială pe noul VM, repetând pașii din Configurați VM-ul de securitate a datelor hibride.

                                                                                                                                                  3

                                                                                                                                                  Pe noul VM, repetați pașii din Încărcați și montați ISO de configurare HDS.

                                                                                                                                                  4

                                                                                                                                                  Dacă configurați un proxy pentru implementarea dvs., repetați pașii din Configurați nodul HDS pentru Integrare proxy după cum este necesar pentru noul nod.

                                                                                                                                                  5

                                                                                                                                                  Înregistrați nodul.

                                                                                                                                                  1. În https://admin.webex.com, selectați Servicii din meniul din partea stângă a ecranului.

                                                                                                                                                  2. În secțiunea Servicii hibride, găsiți cardul de securitate a datelor hibride și faceți clic pe Resurse.

                                                                                                                                                    Apare pagina Resurse de securitate a datelor hibride.
                                                                                                                                                  3. Faceți clic pe Adăugare resursă.

                                                                                                                                                  4. În primul câmp, selectați numele clusterului existent.

                                                                                                                                                  5. În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Înainte.

                                                                                                                                                    Apare un mesaj care indică faptul că vă puteți înregistra nodul în cloudul Webex.
                                                                                                                                                  6. Faceți clic pe Du-te la Nod.

                                                                                                                                                    După câteva momente, sunteți redirecționat către testele de conectivitate la noduri pentru serviciile Webex. Dacă toate testele au succes, apare pagina Permiteți accesul la nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați permisiuni organizației dvs. pentru a accesa nodul dvs.
                                                                                                                                                  7. Bifați caseta de selectare Permite accesul la nodul dvs. de securitate a datelor hibride , apoi faceți clic pe Continuare.

                                                                                                                                                    Contul dvs. este validat, iar mesajul „Înscriere completă” indică faptul că nodul dvs. este acum înregistrat în cloudul Webex.
                                                                                                                                                  8. Faceți clic pe link-ul sau închideți fila pentru a reveni la pagina de securitate a datelor hibride Control Hub.

                                                                                                                                                  Nodul dvs. este înregistrat. Rețineți că până când începeți o încercare, nodurile dvs. generează o alarmă care indică faptul că serviciul dvs. nu este încă activat.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Efectuați un proces și mutați-vă la producție (capitolul următor)
                                                                                                                                                  Efectuați un proces și mutați-vă la producție

                                                                                                                                                  Încercare la fluxul sarcinilor de producție

                                                                                                                                                  După ce ați configurat un cluster de securitate a datelor hibride, puteți iniția un pilot, puteți adăuga utilizatori la acesta și puteți începe să îl utilizați pentru testarea și verificarea implementării dvs. în vederea trecerii la producție.

                                                                                                                                                  1

                                                                                                                                                  Dacă este cazul, sincronizați HdsTrialGroup obiect de grup.

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați HdsTrialGroup obiectul de grup pentru sincronizare în cloud înainte de a putea începe o încercare. Pentru instrucțiuni, consultați Ghidul de implementare pentru Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Activați procesul

                                                                                                                                                  Începeți o încercare. Până când nu efectuați această sarcină, nodurile dvs. generează o alarmă care indică faptul că serviciul nu este încă activat.

                                                                                                                                                  3

                                                                                                                                                  Testați implementarea securității datelor hibride

                                                                                                                                                  Verificați dacă solicitările cheie trec la implementarea securității datelor hibride.

                                                                                                                                                  4

                                                                                                                                                  Monitorizarea sănătății securității datelor hibride

                                                                                                                                                  Verificați starea și configurați notificările prin e-mail pentru alarme.

                                                                                                                                                  5

                                                                                                                                                  Adăugați sau eliminați utilizatori din procesul dvs.

                                                                                                                                                  6

                                                                                                                                                  Finalizați faza de probă cu una dintre următoarele acțiuni:

                                                                                                                                                  Activați procesul

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați HdsTrialGroup obiectul de grup pentru sincronizare în cloud înainte de a putea iniția o încercare pentru organizația dvs. Pentru instrucțiuni, consultați Ghidul de implementare pentru Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la https://admin.webex.comși apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  Sub Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Stare serviciu, faceți clic pe Inițiere încercare.

                                                                                                                                                  Starea serviciului se modifică în modul de încercare.
                                                                                                                                                  4

                                                                                                                                                  Faceți clic pe Adăugare utilizatori și introduceți adresa de e-mail a unuia sau mai multor utilizatori pentru a pilot utilizând nodurile dvs. de securitate a datelor hibride pentru serviciile de criptare și indexare.

                                                                                                                                                  (Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory pentru a gestiona grupul de încercare, HdsTrialGroup.)

                                                                                                                                                  Testați implementarea securității datelor hibride

                                                                                                                                                  Utilizați această procedură pentru a testa scenariile de criptare a securității datelor hibride.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Configurați implementarea securității datelor hibride.

                                                                                                                                                  • Activați procesul și adăugați mai mulți utilizatori de proces.

                                                                                                                                                  • Asigurați-vă că aveți acces la syslog pentru a verifica dacă solicitările cheie trec la implementarea securității datelor hibride.

                                                                                                                                                  1

                                                                                                                                                  Tastele pentru un anumit spațiu sunt stabilite de creatorul spațiului. Conectați-vă la Aplicația Webex ca unul dintre utilizatorii pilot, apoi creați un spațiu și invitați cel puțin un utilizator pilot și un utilizator non-pilot.


                                                                                                                                                   

                                                                                                                                                  Dacă dezactivați implementarea securității datelor hibride, conținutul din spațiile pe care utilizatorii pilot le creează nu mai este accesibil după ce copiile în cache ale cheilor de criptare sunt înlocuite.

                                                                                                                                                  2

                                                                                                                                                  Trimiteți mesaje către noul spațiu.

                                                                                                                                                  3

                                                                                                                                                  Verificați ieșirea syslog pentru a verifica dacă solicitările cheie trec la implementarea securității datelor hibride.

                                                                                                                                                  1. Pentru a verifica dacă un utilizator stabilește mai întâi un canal securizat la KMS, filtrați pe kms.data.method=create și kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Ar trebui să găsiți o intrare, cum ar fi următoarele (identificatori scurtați pentru lizibilitate):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Pentru a verifica dacă un utilizator solicită o cheie existentă din KMS, filtrați pe kms.data.method=retrieve și kms.data.type=KEY:

                                                                                                                                                    Trebuie să găsiți o intrare, cum ar fi:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Pentru a verifica dacă un utilizator solicită crearea unei noi chei KMS, filtrați pe kms.data.method=create și kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Trebuie să găsiți o intrare, cum ar fi:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Pentru a verifica dacă un utilizator solicită crearea unui nou obiect de resurse KMS (KRO) atunci când este creat un spațiu sau o altă resursă protejată, filtrați pe kms.data.method=create și kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Trebuie să găsiți o intrare, cum ar fi:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitorizarea sănătății securității datelor hibride

                                                                                                                                                  Un indicator de stare din Control Hub vă arată dacă totul este bine cu implementarea securității datelor hibride. Pentru o alertare mai proactivă, înscrieți-vă pentru notificări prin e-mail. Veți fi notificat atunci când există alarme sau upgrade-uri de software care afectează serviciul.
                                                                                                                                                  1

                                                                                                                                                  În Control Hub, selectați Servicii din meniul din partea stângă a ecranului.

                                                                                                                                                  2

                                                                                                                                                  În secțiunea Servicii hibride, găsiți Securitatea datelor hibride și faceți clic pe Setări.

                                                                                                                                                  Apare pagina Setări securitate date hibride.
                                                                                                                                                  3

                                                                                                                                                  În secțiunea Notificări prin e-mail, tastați una sau mai multe adrese de e-mail separate prin virgule și apăsați Enter.

                                                                                                                                                  Adăugați sau eliminați utilizatori din procesul dvs.

                                                                                                                                                  După ce ați activat un trial și ați adăugat setul inițial de utilizatori de trial, puteți adăuga sau elimina membri de trial în orice moment în timp ce procesul este activ.

                                                                                                                                                  Dacă eliminați un utilizator din trial, clientul utilizatorului va solicita chei și crearea de taste din KMS cloud în loc de KMS dvs. Dacă clientul are nevoie de o cheie stocată pe KMS-ul dvs., KMS-ul cloud o va prelua în numele utilizatorului.

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory (în loc de această procedură) pentru a gestiona grupul de încercare, HdsTrialGroup; puteți vizualiza membrii grupului din Control Hub, dar nu îi puteți adăuga sau elimina.

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  Sub Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Modul de încercare din zona de stare a serviciului, faceți clic pe Adăugare utilizatori sau faceți clic pe vizualizare și editare pentru a elimina utilizatorii din trial.

                                                                                                                                                  4

                                                                                                                                                  Introduceți adresa de e-mail a unuia sau mai multor utilizatori pentru a adăuga sau faceți clic pe X de către un ID de utilizator pentru a elimina utilizatorul din încercare. Apoi faceți clic Salvați .

                                                                                                                                                  Mutați de la încercare la producție

                                                                                                                                                  Când sunteți mulțumit că implementarea dvs. funcționează bine pentru utilizatorii de încercare, puteți trece la producție. Când treceți la producție, toți utilizatorii din organizație vor utiliza domeniul dvs. local de securitate a datelor hibride pentru cheile de criptare și alte servicii din domeniul de securitate. Nu puteți reveni la modul de încercare din producție decât dacă dezactivați serviciul ca parte a recuperării dezastrelor. Reactivarea serviciului vă cere să configurați o nouă încercare.
                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  Sub Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Stare serviciu, faceți clic pe Mutare în producție.

                                                                                                                                                  4

                                                                                                                                                  Confirmați că doriți să mutați toți utilizatorii la producție.

                                                                                                                                                  Încheiați procesul fără a trece la producție

                                                                                                                                                  Dacă, în timpul perioadei de probă, decideți să nu continuați cu implementarea securității datelor hibride, puteți dezactiva securitatea datelor hibride, care încheie perioada de probă și mută utilizatorii de încercare înapoi la serviciile de securitate a datelor în cloud. Utilizatorii procesului vor pierde accesul la datele care au fost criptate în timpul procesului.
                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  Sub Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Dezactivare, faceți clic pe Dezactivare.

                                                                                                                                                  4

                                                                                                                                                  Confirmați că doriți să dezactivați serviciul și să finalizați procesul.

                                                                                                                                                  Gestionați implementarea HDS

                                                                                                                                                  Gestionați implementarea HDS

                                                                                                                                                  Utilizați sarcinile descrise aici pentru a gestiona implementarea securității datelor hibride.

                                                                                                                                                  Setați programul de upgrade al clusterului

                                                                                                                                                  Upgrade-urile de software pentru securitatea datelor hibride se fac automat la nivelul clusterului, ceea ce asigură că toate nodurile rulează întotdeauna aceeași versiune de software. Upgrade-urile se efectuează în conformitate cu programul de upgrade pentru cluster. Când un upgrade de software devine disponibil, aveți opțiunea de a actualiza manual clusterul înainte de ora programată de upgrade. Puteți seta un program specific de upgrade sau puteți utiliza programul implicit de 3:00 AM Daily Statele Unite ale Americii: America/Los Angeles. De asemenea, puteți alege să amânați un upgrade viitor, dacă este necesar.

                                                                                                                                                  Pentru a seta programul de upgrade:

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub .

                                                                                                                                                  2

                                                                                                                                                  Pe pagina Prezentare generală, în secțiunea Servicii hibride, selectați Securitatea datelor hibride.

                                                                                                                                                  3

                                                                                                                                                  Pe pagina Resurse de securitate a datelor hibride, selectați clusterul.

                                                                                                                                                  4

                                                                                                                                                  În panoul Prezentare generală din dreapta, în secțiunea Setări cluster, selectați numele clusterului.

                                                                                                                                                  5

                                                                                                                                                  Pe pagina Setări, în secțiunea Upgrade, selectați ora și fusul orar pentru programul de upgrade.

                                                                                                                                                  Notă: În cadrul fusului orar, se afișează următoarea dată și oră de upgrade disponibile. Puteți amâna upgrade-ul până în ziua următoare, dacă este necesar, făcând clic pe Amânare.

                                                                                                                                                  Modificarea configurației nodului

                                                                                                                                                  Ocazional, poate fi necesar să modificați configurația nodului Hybrid Data Security dintr-un motiv precum:
                                                                                                                                                  • Modificarea certificatelor x.509 din cauza expirării sau din alte motive.


                                                                                                                                                     

                                                                                                                                                    Nu acceptăm schimbarea nume domeniu CN al unui certificat. Domeniul trebuie să corespundă domeniului inițial utilizat pentru înregistrarea clusterului.

                                                                                                                                                  • Actualizarea setărilor bazei de date pentru a trece la o replică a bazei de date PostgreSQL sau Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nu acceptăm migrarea datelor de la PostgreSQL la Microsoft SQL Server sau invers. Pentru a comuta mediul bazei de date, începeți o nouă implementare a Hybrid Data Security.

                                                                                                                                                  • Crearea unei noi configurații pentru pregătirea unui nou centru de date.

                                                                                                                                                  De asemenea, din motive de securitate, Hybrid Data Security utilizează parole ale cont al serviciului care au o durată de viață de nouă luni. După ce instrumentul de configurare HDS generează aceste parole, le implementați în fiecare dintre nodurile HDS din fișierul de configurare ISO . Când parolele organizației dvs. se apropie de expirare, primiți o notificare de la echipa Webex prin care vă rugăm să resetați parola pentru contul computerului dvs. (E-mailul include textul „Utilizați API -ul contului de computer pentru a actualiza parola.”) Dacă parolele nu au expirat încă, instrumentul vă oferă două opțiuni:

                                                                                                                                                  • Resetare soft —Parolele vechi și noi sunt valabile până la 10 zile. Utilizați această perioadă pentru a înlocui treptat fișierul ISO pe noduri.

                                                                                                                                                  • Resetare hardware — Parolele vechi nu mai funcționează imediat.

                                                                                                                                                  Dacă parolele expiră fără resetare, acest lucru afectează serviciul HDS, necesitând o resetare hardware imediată și înlocuirea fișierului ISO pe toate nodurile.

                                                                                                                                                  Utilizați această procedură pentru a genera un nou fișier ISO de configurare și a-l aplica clusterului dvs.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Instrumentul de configurare HDS rulează ca container Docker pe un computer local. Pentru a-l accesa, rulați Docker pe acel computer. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi complete de administrator pentru organizația dvs.

                                                                                                                                                    Dacă instrumentul de configurare HDS rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin variabilele de mediu Docker atunci când ridicați containerul Docker în 1.e. Acest tabel oferă câteva variabile de mediu posibile:

                                                                                                                                                    Descriere

                                                                                                                                                    Variabilă

                                                                                                                                                    Proxy HTTP fără autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS fără autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTP cu autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS cu autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Aveți nevoie de o copie a fișierului ISO de configurare curentă pentru a genera o nouă configurație. ISO conține cheia principală de criptare a bazei de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de ISO când efectuați modificări de configurare, inclusiv date de autentificare în baza de date, actualizări de certificate sau modificări ale politicii de autorizare.

                                                                                                                                                  1

                                                                                                                                                  Utilizând Docker pe un computer local, rulați Instrumentul de configurare HDS.

                                                                                                                                                  1. În linia de comandă a computerului dvs., introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                    În medii obișnuite:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    În mediile FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.

                                                                                                                                                  2. Pentru a vă conecta la registry de imagini Docker, introduceți următoarele:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. La solicitarea parolei, introduceți acest hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Descărcați cea mai recentă imagine stabilă pentru mediul dvs.:

                                                                                                                                                    În medii obișnuite:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    În mediile FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Asigurați-vă că ați extras cel mai recent instrument de configurare pentru această procedură. Versiunile instrumentului create înainte de 22 februarie 2018 nu au ecrane de resetare a parolei.

                                                                                                                                                  5. Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                    • În mediile obișnuite fără un proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • În mediile obișnuite cu un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • În medii obișnuite cu un HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • În mediile FedRAMP fără un proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • În mediile FedRAMP cu un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • În mediile FedRAMP cu un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Când containerul rulează, veți vedea „Serverul Express ascultând pe portul 8080”.

                                                                                                                                                  6. Utilizați un browser pentru a vă conecta la localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală.

                                                                                                                                                  7. Când vi se solicită, introduceți datele de conectare pentru client Control Hub și apoi faceți clic Acceptați pentru a continua.

                                                                                                                                                  8. Importați fișierul ISO de configurație curentă.

                                                                                                                                                  9. Urmați instrucțiunile pentru a finaliza instrumentul și descărcați fișierul actualizat.

                                                                                                                                                    Pentru a închide instrumentul de configurare, tastați CTRL+C.

                                                                                                                                                  10. Creați o copie de rezervă a fișierului actualizat într-un alt centru de date.

                                                                                                                                                  2

                                                                                                                                                  Dacă aveți un singur nod HDS care rulează , creați un nou VM nod Hybrid Data Security și înregistrați-l utilizând noul fișier ISO de configurare. Pentru instrucțiuni mai detaliate, consultați Creați și înregistrați mai multe noduri.

                                                                                                                                                  1. Instalați OVA gazdă HDS.

                                                                                                                                                  2. Configurați VM HDS .

                                                                                                                                                  3. Montați fișier de configurare actualizat .

                                                                                                                                                  4. Înregistrați noul nod în Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Pentru nodurile HDS existente care rulează fișierul de fișier de configurare mai vechi , montați fișierul ISO . Efectuați următoarea procedură pe fiecare nod pe rând, actualizând fiecare nod înainte de a opri următorul nod:

                                                                                                                                                  1. Opriți mașină virtuală.

                                                                                                                                                  2. În panoul de navigare din stânga al clientului VMware vSphere, da clic dreapta pe VM și faceți clic Editați setările .

                                                                                                                                                  3. Clic CD/DVD Drive 1, selectați opțiunea de montare dintr-un fișier ISO și navigați până la locația de unde ați descărcat noul fișier ISO de configurare.

                                                                                                                                                  4. Verificați Conectați la pornire .

                                                                                                                                                  5. Salvați modificările și porniți mașină virtuală.

                                                                                                                                                  4

                                                                                                                                                  Repetați pasul 3 pentru a înlocui configurația pe fiecare nod rămas care rulează configurația veche.

                                                                                                                                                  Dezactivați Modul De Rezoluție DNS Externă Blocat

                                                                                                                                                  Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează aspectul DNS și conectivitatea la cloudul Cisco Webex. Dacă serverul DNS al nodului nu poate rezolva numele DNS publice, nodul intră automat în modul de Rezoluție DNS Externă Blocată.

                                                                                                                                                  Dacă nodurile dvs. sunt capabile să rezolve numele DNS publice prin intermediul serverelor DNS interne, puteți dezactiva acest mod prin reactivarea testului de conexiune proxy pe fiecare nod.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Asigurați-vă că serverele DNS interne pot rezolva numele DNS publice și că nodurile dvs. pot comunica cu acestea.
                                                                                                                                                  1

                                                                                                                                                  Într-un browser web, deschideți interfața nodului de securitate a datelor hibride (adresă IP/configurare, de exemplu, https://192.0.2.0/setup), introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.

                                                                                                                                                  2

                                                                                                                                                  Accesați Prezentare generală (pagina implicită).

                                                                                                                                                  Când este activat, Rezoluție DNS externă blocată este setat la Da .

                                                                                                                                                  3

                                                                                                                                                  Accesați pagina Trust Store & Proxy .

                                                                                                                                                  4

                                                                                                                                                  Faceți clic pe Verificare conexiune proxy.

                                                                                                                                                  Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a avut succes, nodul nu a putut ajunge la serverul DNS și va rămâne în acest mod. În caz contrar, după ce reporniți nodul și reveniți la pagina Prezentare generală , Rezoluția DNS externă blocată trebuie setată la nr.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Repetați testul conexiunii proxy pe fiecare nod din clusterul de securitate a datelor hibride.

                                                                                                                                                  Eliminați un nod

                                                                                                                                                  Utilizați această procedură pentru a elimina un nod de securitate a datelor hibride din cloudul Webex. După ce eliminați nodul din cluster, ștergeți mașina virtuală pentru a preveni accesul suplimentar la datele dvs. de securitate.
                                                                                                                                                  1

                                                                                                                                                  Utilizați clientul VMware vSphere de pe computer pentru a vă conecta la gazda virtuală ESXi și pentru a dezactiva mașina virtuală.

                                                                                                                                                  2

                                                                                                                                                  Eliminați nodul:

                                                                                                                                                  1. Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2. Pe cardul de securitate a datelor hibride, faceți clic pe Vizualizare toate pentru a afișa pagina Resurse de securitate a datelor hibride.

                                                                                                                                                  3. Selectați clusterul pentru a afișa panoul de Prezentare generală.

                                                                                                                                                  4. Faceți clic pe lista de noduri deschise.

                                                                                                                                                  5. În fila Noduri, selectați nodul pe care doriți să îl eliminați.

                                                                                                                                                  6. Faceți clic pe Acțiuni > Deregister node.

                                                                                                                                                  3

                                                                                                                                                  În clientul vSphere, ștergeți VM. (În panoul de navigare din stânga, faceți clic dreapta pe VM și faceți clic pe Ștergere.)

                                                                                                                                                  Dacă nu ștergeți VM, nu uitați să dezasamblați fișierul de configurare ISO. Fără fișierul ISO, nu puteți utiliza VM pentru a accesa datele de securitate.

                                                                                                                                                  Recuperare dezastre utilizând Centrul de date standby

                                                                                                                                                  Cel mai important serviciu pe care îl oferă clusterul de securitate a datelor hibride este crearea și stocarea de taste utilizate pentru criptarea mesajelor și a altor conținuturi stocate în cloudul Webex. Pentru fiecare utilizator din cadrul organizației care este atribuit securității datelor hibride, noile solicitări de creare a cheii sunt direcționate către cluster. Clusterul este, de asemenea, responsabil pentru returnarea cheilor pe care le-a creat oricărui utilizator autorizat să le recupereze, de exemplu, membrii unui spațiu de conversație.

                                                                                                                                                  Deoarece clusterul îndeplinește funcția critică de furnizare a acestor chei, este imperativ ca clusterul să rămână în funcțiune și să fie menținute backup-uri corespunzătoare. Pierderea bazei de date Hybrid Data Security sau a configurației ISO utilizate pentru schemă va duce la PIERDEREA INRECUPERABILĂ a conținutului clientului. Următoarele practici sunt obligatorii pentru a preveni o astfel de pierdere:

                                                                                                                                                  Dacă un dezastru face ca implementarea HDS în centrul de date principal să devină indisponibilă, urmați această procedură pentru a eșua manual la centrul de date standby.

                                                                                                                                                  1

                                                                                                                                                  Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.

                                                                                                                                                  2

                                                                                                                                                  După configurarea serverului Syslogd, faceți clic pe Setări avansate

                                                                                                                                                  3

                                                                                                                                                  Pe pagina Setări avansate, adăugați configurația de mai jos sau eliminați passiveMode configurare pentru a activa nodul. Nodul poate gestiona traficul odată ce acesta este configurat.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Completați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit.

                                                                                                                                                  5

                                                                                                                                                  Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare.

                                                                                                                                                  6

                                                                                                                                                  În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări..

                                                                                                                                                  7

                                                                                                                                                  Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Fișier ISO Datastore.


                                                                                                                                                   

                                                                                                                                                  Asigurați-vă că sunt verificate Conectate și Conectate la putere , astfel încât modificările de configurare actualizate să poată intra în vigoare după pornirea nodurilor.

                                                                                                                                                  8

                                                                                                                                                  Activați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute.

                                                                                                                                                  9

                                                                                                                                                  Repetați procesul pentru fiecare nod din centrul de date standby.


                                                                                                                                                   

                                                                                                                                                  Verificați ieșirea syslog pentru a verifica dacă nodurile centrului de date standby nu sunt în mod pasiv. „KMS configurat în mod pasiv” nu trebuie să apară în jurnalele de sistem.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  După eșec, dacă centrul principal de date devine din nou activ, plasați centrul de date în așteptare în modul pasiv, urmând pașii descriși în Configurarea centrului de date în așteptare pentru recuperarea dezastrelor.

                                                                                                                                                  (Opțional) Dezasamblare ISO După configurarea HDS

                                                                                                                                                  Configurația standard HDS rulează cu ISO montat. Dar, unii clienți preferă să nu lase fișierele ISO montate în mod continuu. Puteți demonta fișierul ISO după ce toate nodurile HDS preiau noua configurație.

                                                                                                                                                  Utilizați în continuare fișierele ISO pentru a face modificări de configurare. Când creați un nou ISO sau actualizați un ISO prin Instrumentul de configurare, trebuie să montați ISO actualizat pe toate nodurile HDS. După ce toate nodurile dvs. au preluat modificările de configurare, puteți demonta din nou ISO cu această procedură.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Actualizați toate nodurile HDS la versiunea 2021.01.22.4720 sau o versiune ulterioară.

                                                                                                                                                  1

                                                                                                                                                  Închideți unul dintre nodurile HDS.

                                                                                                                                                  2

                                                                                                                                                  În dispozitivul server vCenter, selectați nodul HDS.

                                                                                                                                                  3

                                                                                                                                                  Alegeți Editați setările > CD/DVD drive și debifați fișierul ISO Datastore.

                                                                                                                                                  4

                                                                                                                                                  Alimentați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 20 de minute.

                                                                                                                                                  5

                                                                                                                                                  Repetați pentru fiecare nod HDS la rândul său.

                                                                                                                                                  Depanarea securității datelor hibride

                                                                                                                                                  Vizualizare alerte și depanare

                                                                                                                                                  O implementare a securității datelor hibride este considerată indisponibilă dacă toate nodurile din cluster sunt inaccesibile sau clusterul funcționează atât de lent încât solicită timp de excludere. Dacă utilizatorii nu pot ajunge la clusterul dvs. de securitate a datelor hibride, aceștia experimentează următoarele simptome:

                                                                                                                                                  • Nu se pot crea spații noi (nu se pot crea chei noi)

                                                                                                                                                  • Mesajele și titlurile spațiului nu pot fi decriptate pentru:

                                                                                                                                                    • Utilizatori noi adăugați într-un spațiu (nu se pot prelua tastele)

                                                                                                                                                    • Utilizatorii existenți dintr-un spațiu care utilizează un client nou (nu pot prelua tastele)

                                                                                                                                                  • Utilizatorii existenți într-un spațiu vor continua să ruleze cu succes atâta timp cât clienții lor au un cache al cheilor de criptare

                                                                                                                                                  Este important să monitorizați în mod corespunzător clusterul de securitate a datelor hibride și să adresați imediat orice alerte pentru a evita perturbarea serviciului.

                                                                                                                                                  Alerte

                                                                                                                                                  Dacă există o problemă cu configurarea securității datelor hibride, Control Hub afișează alerte administratorului organizației și trimite e-mailuri la adresa de e-mail configurată. Alertele acoperă multe scenarii comune.

                                                                                                                                                  Tabelul 1. Probleme comune și pașii pentru a le rezolva

                                                                                                                                                  Alerte

                                                                                                                                                  Acțiune

                                                                                                                                                  Eșecul accesului la baza de date locală.

                                                                                                                                                  Verificați erorile bazei de date sau problemele de rețea locale.

                                                                                                                                                  Eșecul conexiunii la baza de date locală.

                                                                                                                                                  Verificați dacă serverul bazei de date este disponibil, iar acreditările contului de serviciu corespunzător au fost utilizate în configurația nodului.

                                                                                                                                                  Eșecul accesului la servicii în cloud.

                                                                                                                                                  Verificați dacă nodurile pot accesa serverele Webex astfel cum sunt specificate în cerințele de conectivitate externă.

                                                                                                                                                  Reînnoirea înregistrării serviciului în cloud.

                                                                                                                                                  S-a renunțat la înscrierea în serviciile cloud. Reînnoirea înregistrării este în curs.

                                                                                                                                                  Înscrierea în serviciul Cloud a scăzut.

                                                                                                                                                  Înscrierea la serviciile cloud s-a încheiat. Serviciul se închide.

                                                                                                                                                  Serviciul nu este încă activat.

                                                                                                                                                  Activați un proces sau finalizați mutarea procesului la producție.

                                                                                                                                                  Domeniul configurat nu corespunde certificatului serverului.

                                                                                                                                                  Asigurați-vă că certificatul serverului dvs. corespunde domeniului de activare a serviciului configurat.

                                                                                                                                                  Cauza cea mai probabilă este că certificatul CN a fost modificat recent și este acum diferit de CN care a fost utilizat în timpul configurării inițiale.

                                                                                                                                                  Nu s-a reușit autentificarea la serviciile cloud.

                                                                                                                                                  Verificați acuratețea și posibila expirare a acreditărilor contului de serviciu.

                                                                                                                                                  Nu s-a reușit deschiderea fișierului local de keystore.

                                                                                                                                                  Verificați integritatea și precizia parolei în fișierul de keystore local.

                                                                                                                                                  Certificatul serverului local este nevalid.

                                                                                                                                                  Verificați data de expirare a certificatului serverului și confirmați că acesta a fost eliberat de o autoritate de certificare de încredere.

                                                                                                                                                  Nu se pot posta măsurători.

                                                                                                                                                  Verificați accesul la rețeaua locală la serviciile cloud externe.

                                                                                                                                                  directorul /media/configdrive/hds nu există.

                                                                                                                                                  Verificați configurația de montare ISO pe gazda virtuală. Verificați dacă fișierul ISO există, dacă este configurat să fie montat pe repornire și dacă se montează cu succes.

                                                                                                                                                  Depanarea securității datelor hibride

                                                                                                                                                  Utilizați următoarele orientări generale atunci când depanați problemele legate de securitatea datelor hibride.
                                                                                                                                                  1

                                                                                                                                                  Revizuiți Control Hub pentru orice alerte și remediați orice elemente pe care le găsiți acolo.

                                                                                                                                                  2

                                                                                                                                                  Revizuiți ieșirea serverului syslog pentru activitatea din implementarea securității datelor hibride.

                                                                                                                                                  3

                                                                                                                                                  Contactați asistența Cisco.

                                                                                                                                                  Alte note

                                                                                                                                                  Probleme cunoscute pentru securitatea datelor hibride

                                                                                                                                                  • Dacă închideți clusterul de securitate a datelor hibride (prin ștergerea acestuia în Control Hub sau prin închiderea tuturor nodurilor), pierdeți fișierul ISO de configurare sau pierdeți accesul la baza de date Keystore, utilizatorii aplicației Webex nu mai pot utiliza spații din lista lor de persoane care au fost create cu tastele din KMS. Acest lucru este valabil atât pentru operațiunile de încercare, cât și pentru operațiunile de producție. În prezent, nu avem un loc de muncă sau o soluție pentru această problemă și vă solicităm să nu închideți serviciile HDS odată ce acestea gestionează conturile de utilizator active.

                                                                                                                                                  • Un client care are o conexiune ECDH existentă la un KMS menține acea conexiune pentru o perioadă de timp (probabil o oră). Atunci când un utilizator devine membru al unui proces de securitate a datelor hibride, clientul utilizatorului continuă să utilizeze conexiunea ECDH existentă până la expirarea acesteia. Alternativ, utilizatorul se poate deconecta și reconecta la aplicația Aplicației Webex pentru a actualiza locația pe care aplicația o contactează pentru cheile de criptare.

                                                                                                                                                    Același comportament apare atunci când mutați un proces la producție pentru organizație. Toți utilizatorii non-trial cu conexiuni ECDH existente la serviciile anterioare de securitate a datelor vor continua să utilizeze aceste servicii până când conexiunea ECDH este renegociată (prin expirare sau prin deconectare și reconectare).

                                                                                                                                                  Utilizați OpenSSL pentru a genera un fișier PKCS12

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • OpenSSL este un instrument care poate fi folosit pentru a face fișierul PKCS12 în formatul adecvat pentru încărcare în instrumentul de configurare HDS. Există alte modalități de a face acest lucru, și nu sprijinim sau promovăm un mod peste altul.

                                                                                                                                                  • Dacă alegeți să utilizați OpenSSL, oferim această procedură ca ghid pentru a vă ajuta să creați un fișier care îndeplinește cerințele certificatului X.509 din X.509 Cerințe de certificat. Înțelegeți aceste cerințe înainte de a continua.

                                                                                                                                                  • Instalați OpenSSL într-un mediu acceptat. Consultați https://www.openssl.org pentru software și documentație.

                                                                                                                                                  • Creați o tastă privată.

                                                                                                                                                  • Începeți această procedură atunci când primiți certificatul de server de la Autoritatea dvs. de certificare (CA).

                                                                                                                                                  1

                                                                                                                                                  Când primiți certificatul de server de la CA, salvați-l ca hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Afișați certificatul ca text și verificați detaliile.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilizați un editor de text pentru a crea un fișier de pachet de certificate numit hdsnode-bundle.pem. Fișierul pachet trebuie să includă certificatul serverului, orice certificate CA intermediare și certificatele CA rădăcină, în formatul de mai jos:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Creați fișierul .p12 cu numele prietenos kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Verificați detaliile certificatului serverului.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Introduceți o parolă la solicitarea de criptare a cheii private, astfel încât aceasta să fie listată în ieșire. Apoi, verificați dacă cheia privată și primul certificat includ liniile friendlyName: kms-private-key.

                                                                                                                                                    Exemplu:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Reveniți la Completarea Condițiilor prealabile pentru securitatea datelor hibride. Veţi utiliza hdsnode.p12 fișier și parola pe care ați setat-o pentru acesta, în Creați un ISO de configurare pentru gazdele HDS.


                                                                                                                                                   

                                                                                                                                                  Puteți reutiliza aceste fișiere pentru a solicita un nou certificat atunci când certificatul original expiră.

                                                                                                                                                  Trafic între nodurile HDS și cloud

                                                                                                                                                  Trafic colecție metrică de ieșire

                                                                                                                                                  Nodurile de securitate a datelor hibride trimit anumite măsurători în cloudul Webex. Acestea includ măsurători de sistem pentru înălțimea maximă, înălțimea utilizată, sarcina CPU și numărul de fire; măsurători pe fire sincrone și asincronice; măsurători pe alerte care implică un prag de conexiuni de criptare, latență sau o lungime a cozii de solicitare; măsurători pe placa de date; și măsurători de conexiune de criptare. Nodurile trimit material cheie criptat printr-un canal în afara benzii (separat de solicitare).

                                                                                                                                                  Trafic de intrare

                                                                                                                                                  Nodurile de securitate a datelor hibride primesc următoarele tipuri de trafic de intrare din cloudul Webex:

                                                                                                                                                  • Cereri de criptare de la clienți, care sunt rutate de serviciul de criptare

                                                                                                                                                  • Actualizări la software-ul nodului

                                                                                                                                                  Configurați proxy-urile Squid pentru securitatea datelor hibride

                                                                                                                                                  Șoseta web nu se poate Conecta Prin Proxy Squid

                                                                                                                                                  Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea websocket ( wss:) conexiuni care necesită Securitatea datelor hibride. Aceste secțiuni oferă îndrumări cu privire la modul de configurare a diferitelor versiuni de Squid pentru a ignora wss: trafic pentru buna funcționare a serviciilor.

                                                                                                                                                  Squid 4 și 5

                                                                                                                                                  Adăugați on_unsupported_protocol directivă privind squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Am testat cu succes Securitatea datelor hibride cu următoarele reguli adăugate la squid.conf. Aceste reguli se pot modifica pe măsură ce dezvoltăm caracteristici și actualizăm cloudul Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Prefață

                                                                                                                                                  Informații noi și modificate

                                                                                                                                                  Dată

                                                                                                                                                  Modificări efectuate

                                                                                                                                                  20 octombrie 2023

                                                                                                                                                  07 august 2023

                                                                                                                                                  23 mai 2023

                                                                                                                                                  06 decembrie 2022

                                                                                                                                                  23 noiembrie 2022

                                                                                                                                                  13 octombrie 2021

                                                                                                                                                  Docker Desktop trebuie să ruleze un program de configurare înainte de a putea instala noduri HDS. Consultați Cerințele de desktop ale Docker.

                                                                                                                                                  24 iunie 2021

                                                                                                                                                  Rețineți că puteți reutiliza fișierul cu tastatură privată și CSR pentru a solicita un alt certificat. Consultați Utilizarea OpenSSL pentru a genera un fișier PKCS12 pentru detalii.

                                                                                                                                                  30 aprilie 2021

                                                                                                                                                  A schimbat cerința VM pentru spațiul local pe hard disk la 30 GB. Consultați Cerințele Gazdei Virtuale pentru detalii.

                                                                                                                                                  24 februarie 2021

                                                                                                                                                  Instrumentul de configurare HDS poate rula acum în spatele unui proxy. Consultați Creați un ISO de configurare pentru gazdele HDS pentru detalii.

                                                                                                                                                  2 februarie 2021

                                                                                                                                                  HDS poate rula acum fără un fișier ISO montat. Consultați (Opțional) Dezasamblarea ISO după configurarea HDS pentru detalii.

                                                                                                                                                  11 ianuarie 2021

                                                                                                                                                  Au fost adăugate informații despre instrumentul de configurare HDS și proxy-uri pentru a crea un ISO de configurare pentru gazdele HDS.

                                                                                                                                                  13 octombrie 2020

                                                                                                                                                  Fișiere de instalare Descărcare actualizate.

                                                                                                                                                  8 octombrie 2020

                                                                                                                                                  Actualizat Creați un ISO de configurare pentru gazdele HDS și modificați configurația nodului cu comenzi pentru mediile FedRAMP.

                                                                                                                                                  14 august 2020

                                                                                                                                                  Actualizat Creați un ISO de configurare pentru gazdele HDS și modificați configurația nodului cu modificări ale procesului de conectare.

                                                                                                                                                  5 august 2020

                                                                                                                                                  Actualizat Testați implementarea securității datelor hibride pentru modificări ale mesajelor jurnal.

                                                                                                                                                  S-au actualizat Cerințele Gazdei Virtuale pentru a elimina numărul maxim de gazde.

                                                                                                                                                  16 iunie 2020

                                                                                                                                                  Actualizat Eliminați un nod pentru modificările din interfața cu utilizatorul Control Hub.

                                                                                                                                                  4 iunie 2020

                                                                                                                                                  Actualizat Creați un ISO de configurare pentru gazdele HDS pentru modificările din Setările avansate pe care le-ați putea seta.

                                                                                                                                                  29 mai 2020

                                                                                                                                                  Actualizat Creați un ISO de configurare pentru gazdele HDS pentru a afișa puteți utiliza, de asemenea, TLS cu baze de date SQL Server, modificări de interfață de utilizator și alte clarificări.

                                                                                                                                                  5 mai 2020

                                                                                                                                                  Actualizat Cerințele Gazdei Virtuale pentru a afișa noua cerință a ESXi 6.5.

                                                                                                                                                  21 aprilie 2020

                                                                                                                                                  Actualizat Cerințe de conectivitate externă cu noi gazde CI din America.

                                                                                                                                                  Aprilie 1, 2020

                                                                                                                                                  Actualizat Cerințele de conectivitate externă cu informații despre gazdele regionale CI.

                                                                                                                                                  20 februarie 2020Actualizat Creați un ISO de configurare pentru gazdele HDS cu informații despre noul ecran opțional de setări avansate din instrumentul de configurare HDS.
                                                                                                                                                  4 februarie 2020Cerințe server proxy actualizate.
                                                                                                                                                  16 decembrie 2019A clarificat cerința ca modul de rezoluție DNS extern blocat să funcționeze în cerințele serverului proxy.
                                                                                                                                                  19 noiembrie 2019

                                                                                                                                                  Au fost adăugate informații despre modul de rezoluție DNS extern blocat în următoarele secțiuni:

                                                                                                                                                  8 noiembrie 2019

                                                                                                                                                  Acum puteți configura setările de rețea pentru un nod în timp ce implementați OVA, mai degrabă decât ulterior.

                                                                                                                                                  Actualizat în consecință următoarele secțiuni:


                                                                                                                                                   

                                                                                                                                                  Opțiunea de configurare a setărilor de rețea în timpul implementării OVA a fost testată cu ESXi 6.5. Este posibil ca opțiunea să nu fie disponibilă în versiunile anterioare.

                                                                                                                                                  6 septembrie 2019

                                                                                                                                                  S-a adăugat standardul SQL Server la cerințele serverului bazei de date.

                                                                                                                                                  august 29, 2019A fost adăugată Configurarea proxy-urilor Squid pentru securitatea datelor hibride , cu îndrumări privind configurarea proxy-urilor Squid pentru a ignora traficul websocket pentru funcționarea corespunzătoare.
                                                                                                                                                  20 august 2019

                                                                                                                                                  Secțiuni adăugate și actualizate pentru a acoperi asistența proxy pentru comunicațiile nodului de securitate a datelor hibride în cloudul Webex.

                                                                                                                                                  Pentru a accesa doar conținutul de asistență proxy pentru o implementare existentă, consultați Asistența proxy pentru securitatea datelor hibride și articolul de ajutor Webex Video Mesh .

                                                                                                                                                  13 iunie 2019A fost actualizat Fluxul de activități de producție cu un memento pentru a sincroniza HdsTrialGroup obiectul de grup înainte de a începe un trial dacă organizația dvs. utilizează sincronizarea directorului.
                                                                                                                                                  6 martie 2019
                                                                                                                                                  februarie 28, 2019
                                                                                                                                                  • A corectat cantitatea de spațiu pe hard disk local pe server pe care ar trebui să o setați deoparte atunci când pregătiți gazdele virtuale care devin nodurile de securitate a datelor hibride, de la 50-GB la 20-GB, pentru a reflecta dimensiunea discului pe care OVA îl creează.

                                                                                                                                                  26 februarie 2019
                                                                                                                                                  • Nodurile de securitate a datelor hibride acceptă acum conexiuni criptate cu serverele bazei de date PostgreSQL și conexiuni criptate de conectare la un server syslog TLS capabil. Actualizat Creați un ISO de configurare pentru gazdele HDS cu instrucțiuni.

                                                                                                                                                  • URL-urile de destinație au fost eliminate din tabelul „Cerințe de conectivitate la internet pentru nodul de securitate a datelor hibride VMs”. Tabelul se referă acum la lista menținută în tabelul „URL-uri suplimentare pentru serviciile hibride Webex Teams” din Cerințele rețelei pentru serviciile Webex Teams.

                                                                                                                                                  24 ianuarie 2019

                                                                                                                                                  • Securitatea datelor hibride acceptă acum Microsoft SQL Server ca bază de date. SQL Server întotdeauna activat (întotdeauna pe clusterele de eșec și întotdeauna pe grupurile de disponibilitate) este acceptat de driverele JDBC care sunt utilizate în securitatea datelor hibride. Conținut adăugat legat de implementarea cu SQL Server.


                                                                                                                                                     

                                                                                                                                                    Asistența pentru serverul Microsoft SQL este destinată numai noilor implementări ale securității datelor hibride. În prezent, nu acceptăm migrarea datelor de la PostgreSQL la serverul Microsoft SQL în cadrul unei implementări existente.

                                                                                                                                                  noiembrie 5, 2018
                                                                                                                                                  19 octombrie 2018

                                                                                                                                                  31 iulie 2018

                                                                                                                                                  21 mai 2018

                                                                                                                                                  Terminologia modificată pentru a reflecta rebranding-ul Cisco Spark:

                                                                                                                                                  • Securitatea datelor hibride Cisco Spark este acum Securitatea datelor hibride.

                                                                                                                                                  • Aplicația Cisco Spark este acum aplicația Webex App.

                                                                                                                                                  • Cisco Collaboraton Cloud este acum cloudul Webex.

                                                                                                                                                  11 aprilie 2018
                                                                                                                                                  22 februarie 2018
                                                                                                                                                  februarie 15, 2018
                                                                                                                                                  • În tabelul X.509 Cerințe privind certificatul , s-a specificat că certificatul nu poate fi un certificat de carte de vizită și că KMS utilizează domeniul CN, nu orice domeniu definit în câmpurile SAN x.509v3.

                                                                                                                                                  ianuarie 18, 2018

                                                                                                                                                  noiembrie 2, 2017

                                                                                                                                                  • Sincronizarea directorului clarificată a HdsTrialGroup.

                                                                                                                                                  • Fix instrucțiuni pentru încărcarea fișierului de configurare ISO pentru montare la nodurile VM.

                                                                                                                                                  18 august 2017

                                                                                                                                                  Prima publicare

                                                                                                                                                  Începeți cu securitatea datelor hibride

                                                                                                                                                  Prezentare generală a securității datelor hibride

                                                                                                                                                  Începând cu prima zi, securitatea datelor a fost accentul principal în proiectarea Aplicației Webex. Piatra de temelie a acestei securități este criptarea conținutului end-to-end, activată de clienții aplicației Webex care interacționează cu Serviciul de gestionare a cheilor (KMS). KMS este responsabil pentru crearea și gestionarea cheilor criptografice pe care clienții le utilizează pentru a cripta și decripta în mod dinamic mesajele și fișierele.

                                                                                                                                                  În mod implicit, toți clienții Aplicației Webex primesc criptare end-to-end cu chei dinamice stocate în KMS cloud, în domeniul de securitate al Cisco. Hybrid Data Security mută KMS și alte funcții legate de securitate în centrul de date la nivel de întreprindere dvs., astfel încât nimeni în afară de dvs. să nu dețină cheile conținutului dvs. criptat.

                                                                                                                                                  Arhitectură Realm de securitate

                                                                                                                                                  Arhitectura cloud Webex separă diferite tipuri de servicii în domenii separate sau domenii de încredere, după cum este descris mai jos.

                                                                                                                                                  Domenii de separare (fără securitate hibridă a datelor)

                                                                                                                                                  Pentru a înțelege în continuare securitatea datelor hibride, să ne uităm mai întâi la acest caz cloud pur, în care Cisco oferă toate funcțiile din domeniile sale cloud. Serviciul de identitate, singurul loc în care utilizatorii pot fi direct corelați cu informațiile lor personale, cum ar fi adresa de e-mail, este separat în mod logic și fizic de domeniul de securitate din centrul de date B. Ambele sunt, la rândul lor, separate de domeniul în care conținutul criptat este stocat în cele din urmă, în centrul de date C.

                                                                                                                                                  În această diagramă, clientul este aplicația Webex care rulează pe laptopul unui utilizator și s-a autentificat cu serviciul de identitate. Când utilizatorul compune un mesaj pentru a trimite într-un spațiu, au loc următorii pași:

                                                                                                                                                  1. Clientul stabilește o conexiune securizată cu serviciul de gestionare a cheilor (KMS), apoi solicită o cheie pentru a cripta mesajul. Conexiunea securizată utilizează ECDH, iar KMS criptează cheia utilizând o cheie principală AES-256.

                                                                                                                                                  2. Mesajul este criptat înainte de a părăsi clientul. Clientul îl trimite la serviciul de indexare, care creează indexuri de căutare criptate pentru a ajuta în căutările viitoare pentru conținut.

                                                                                                                                                  3. Mesajul criptat este trimis serviciului de conformitate pentru verificări de conformitate.

                                                                                                                                                  4. Mesajul criptat este stocat în domeniul de stocare.

                                                                                                                                                  Când implementați Securitatea datelor hibride, mutați funcțiile domeniului de securitate (KMS, indexare și conformitate) în centrul dvs. de date local. Celelalte servicii cloud care alcătuiesc Webex (inclusiv stocarea identității și a conținutului) rămân în domeniile Cisco.

                                                                                                                                                  Colaborarea cu Alte Organizații

                                                                                                                                                  Utilizatorii din organizația dvs. pot utiliza în mod regulat Aplicația Webex pentru a colabora cu participanți externi din alte organizații. Când unul dintre utilizatorii dvs. solicită o cheie pentru un spațiu care este deținut de organizația dvs. (deoarece a fost creat de unul dintre utilizatorii dvs.), KMS trimite cheia către client printr-un canal ECDH securizat. Cu toate acestea, atunci când o altă organizație deține cheia pentru spațiu, KMS-ul direcționează cererea către cloudul Webex printr-un canal ECDH separat pentru a obține cheia de la KMS-ul corespunzător și apoi returnează cheia către utilizatorul dvs. pe canalul original.

                                                                                                                                                  Serviciul KMS care rulează pe Org A validează conexiunile la KMS în alte organizații utilizând x.509 certificate PKI. Consultați Pregătiți-vă mediul pentru detalii despre generarea unui certificat x.509 pe care să-l utilizați cu implementarea securității datelor hibride.

                                                                                                                                                  Așteptări pentru implementarea securității datelor hibride

                                                                                                                                                  O implementare a securității datelor hibride necesită un angajament semnificativ din partea clienților și o conștientizare a riscurilor pe care le implică deținerea cheilor de criptare.

                                                                                                                                                  Pentru a implementa securitatea datelor hibride, trebuie să furnizați:

                                                                                                                                                  Pierderea completă a configurației ISO pe care o construiți pentru securitatea datelor hibride sau a bazei de date pe care o furnizați va duce la pierderea tastelor. Pierderea tastelor împiedică utilizatorii să decripteze conținutul spațiului și alte date criptate în Aplicația Webex. Dacă se întâmplă acest lucru, puteți construi o nouă implementare, dar numai conținut nou va fi vizibil. Pentru a evita pierderea accesului la date, trebuie:

                                                                                                                                                  • Gestionați backup-ul și recuperarea bazei de date și configurația ISO.

                                                                                                                                                  • Fiți pregătiți să efectuați recuperarea rapidă a dezastrelor dacă apare o catastrofă, cum ar fi defectarea discului de bază de date sau dezastrul centrului de date.


                                                                                                                                                   

                                                                                                                                                  Nu există niciun mecanism pentru a muta cheile înapoi în Cloud după o implementare HDS.

                                                                                                                                                  Proces de configurare la nivel înalt

                                                                                                                                                  Acest document acoperă configurarea și gestionarea implementării securității datelor hibride:

                                                                                                                                                  • Configurați securitatea datelor hibride—Aceasta include pregătirea infrastructurii necesare și instalarea software-ului de securitate a datelor hibride, testarea implementării dvs. cu un subset de utilizatori în modul de încercare și, odată ce testarea dvs. este finalizată, trecerea la producție. Aceasta convertește întreaga organizație pentru a utiliza clusterul dvs. de securitate a datelor hibride pentru funcțiile de securitate.

                                                                                                                                                    Fazele de configurare, încercare și producție sunt acoperite în detaliu în următoarele trei capitole.

                                                                                                                                                  • Mențineți implementarea securității datelor hibride—cloud-ul Webex oferă automat upgrade-uri în curs. Departamentul dvs. IT poate oferi un singur nivel de asistență pentru această implementare și poate angaja asistență Cisco după cum este necesar. Puteți utiliza notificări pe ecran și puteți configura alerte pe bază de e-mail în Control Hub.

                                                                                                                                                  • Înțelegerea alertelor comune, a pașilor de depanare și a problemelor cunoscute—Dacă întâmpinați probleme la implementarea sau utilizarea securității datelor hibride, ultimul capitol din acest ghid și apendicele Probleme cunoscute vă pot ajuta să determinați și să remediați problema.

                                                                                                                                                  Model de implementare a securității datelor hibride

                                                                                                                                                  În cadrul centrului dvs. de date al întreprinderii, implementați Securitatea datelor hibride ca un singur grup de noduri pe gazde virtuale separate. Nodurile comunică cu cloudul Webex prin prize web securizate și HTTP securizat.

                                                                                                                                                  În timpul procesului de instalare, vă oferim fișierul OVA pentru a configura dispozitivul virtual pe VMs pe care le furnizați. Utilizați instrumentul de configurare HDS pentru a crea un fișier ISO de configurare a clusterului personalizat pe care îl montați pe fiecare nod. Clusterul de securitate a datelor hibride utilizează serverul Syslogd furnizat și baza de date PostgreSQL sau Microsoft SQL Server. (Configurați detaliile conexiunii Syslogd și a bazei de date în Instrumentul de configurare HDS.)

                                                                                                                                                  Model de implementare a securității datelor hibride

                                                                                                                                                  Numărul minim de noduri pe care le puteți avea într-un cluster este de două. Vă recomandăm cel puțin trei, și puteți avea până la cinci. Existența mai multor noduri asigură faptul că serviciul nu este întrerupt în timpul unui upgrade de software sau al unei alte activități de întreținere pe un nod. (Cloudul Webex actualizează doar un nod la un moment dat.)

                                                                                                                                                  Toate nodurile dintr-un cluster accesează aceeași bază de date cu tastatură și înregistrează activitatea pe același server syslog. Nodurile în sine sunt apatride și se ocupă de solicitările cheie în modul rotund-robin, așa cum este direcționat de cloud.

                                                                                                                                                  Nodurile devin active atunci când le înregistrați în Control Hub. Pentru a scoate un nod individual din serviciu, îl puteți desînregistra și apoi îl puteți reînregistra, dacă este necesar.

                                                                                                                                                  Sprijinim doar un singur cluster per organizație.

                                                                                                                                                  Mod de încercare pentru securitatea datelor hibride

                                                                                                                                                  După configurarea unei implementări de securitate a datelor hibride, încercați mai întâi cu un set de utilizatori pilot. În timpul perioadei de încercare, acești utilizatori utilizează domeniul local de securitate a datelor hibride pentru cheile de criptare și alte servicii din domeniul de securitate. Ceilalți utilizatori continuă să utilizeze domeniul de securitate cloud.

                                                                                                                                                  Dacă decideți să nu continuați implementarea în timpul perioadei de încercare și să dezactivați serviciul, utilizatorii pilot și orice utilizatori cu care au interacționat prin crearea de spații noi în timpul perioadei de încercare vor pierde accesul la mesaje și conținut. Aceștia vor vedea „Acest mesaj nu poate fi decriptat” în aplicația Webex.

                                                                                                                                                  Dacă sunteți mulțumit că implementarea dvs. funcționează bine pentru utilizatorii de încercare și sunteți pregătit să extindeți Securitatea datelor hibride la toți utilizatorii dvs., mutați implementarea în producție. Utilizatorii pilot continuă să aibă acces la cheile care au fost utilizate în timpul încercării. Cu toate acestea, nu se poate muta înapoi și înainte între modul de producție și procesul inițial. Dacă trebuie să dezactivați serviciul, cum ar fi pentru a efectua recuperarea dezastrelor, atunci când reactivați, trebuie să începeți o nouă încercare și să configurați setul de utilizatori pilot pentru noua încercare înainte de a reveni la modul de producție. Dacă utilizatorii păstrează accesul la date în acest moment depinde de faptul dacă ați menținut cu succes copii de rezervă ale stocului de date cheie și ale fișierului de configurare ISO pentru nodurile de securitate a datelor hibride din cluster.

                                                                                                                                                  Centrul de date standby pentru recuperarea dezastrelor

                                                                                                                                                  În timpul implementării, ați configurat un centru de date standby securizat. În cazul unui dezastru al unui centru de date, puteți eșua manual implementarea în centrul de date standby.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Eşec manual la centrul de date standby

                                                                                                                                                  Bazele de date ale centrelor de date active și standby sunt în sincronizare unele cu altele, ceea ce va reduce la minimum timpul necesar pentru a efectua eșecul. Fișierul ISO al centrului de date standby este actualizat cu configurații suplimentare care asigură că nodurile sunt înregistrate în organizație, dar nu vor gestiona traficul. Prin urmare, nodurile centrului de date standby rămân întotdeauna la zi cu cea mai recentă versiune de software HDS.


                                                                                                                                                   

                                                                                                                                                  Nodurile active de securitate a datelor hibride trebuie să fie întotdeauna în același centru de date ca serverul de bază de date activă.

                                                                                                                                                  Configurarea Centrului de date standby pentru recuperarea dezastrelor

                                                                                                                                                  Urmați pașii de mai jos pentru a configura fișierul ISO al centrului de date standby:

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Centrul de date standby trebuie să reflecte mediul de producție al VMs și o bază de date PostgreSQL sau Microsoft SQL Server de rezervă. De exemplu, dacă producția are 3 VMs care rulează noduri HDS, mediul de rezervă ar trebui să aibă 3 VMs. (Consultați Standby Data Center for Disaster Recovery pentru o prezentare generală a acestui model de eșec.)

                                                                                                                                                  • Asigurați-vă că sincronizarea bazei de date este activată între baza de date a nodurilor de cluster active și pasive.

                                                                                                                                                  1

                                                                                                                                                  Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.


                                                                                                                                                   

                                                                                                                                                  Fișierul ISO trebuie să fie o copie a fișierului ISO original al centrului de date principal pe care urmează să fie făcute următoarele actualizări de configurare.

                                                                                                                                                  2

                                                                                                                                                  După configurarea serverului Syslogd, faceți clic pe Setări avansate

                                                                                                                                                  3

                                                                                                                                                  Pe pagina Setări avansate, adăugați configurația de mai jos pentru a plasa nodul în modul pasiv. În acest mod, nodul va fi înregistrat în organizație și conectat la cloud, dar nu va gestiona niciun trafic.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Completați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit.

                                                                                                                                                  5

                                                                                                                                                  Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare.

                                                                                                                                                  6

                                                                                                                                                  În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări..

                                                                                                                                                  7

                                                                                                                                                  Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Fișier ISO Datastore.


                                                                                                                                                   

                                                                                                                                                  Asigurați-vă că sunt verificate Conectate și Conectate la putere , astfel încât modificările de configurare actualizate să poată intra în vigoare după pornirea nodurilor.

                                                                                                                                                  8

                                                                                                                                                  Activați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute.

                                                                                                                                                  9

                                                                                                                                                  Repetați procesul pentru fiecare nod din centrul de date standby.


                                                                                                                                                   

                                                                                                                                                  Verificați jurnalele pentru a verifica dacă nodurile sunt în mod pasiv. Ar trebui să puteți vizualiza mesajul „KMS configurat în mod pasiv” în jurnalele de sistem.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  După configurare passiveMode în fișierul ISO și salvându-l, puteți crea o altă copie a fișierului ISO fără passiveMode configurare și salvați-l într-o locație sigură. Această copie a fișierului ISO fără passiveMode configurat poate ajuta într-un proces rapid de eșec în timpul recuperării dezastrelor. Consultați Recuperarea dezastrelor utilizând Centrul de date standby pentru procedura detaliată de nereușită.

                                                                                                                                                  Asistență proxy

                                                                                                                                                  Securitatea datelor hibride acceptă inspecții explicite, transparente și proxy-uri neinspectate. Puteți lega aceste proxy-uri de implementarea dvs., astfel încât să puteți securiza și monitoriza traficul de la întreprindere la cloud. Puteți utiliza o interfață de administrare a platformei pe noduri pentru gestionarea certificatelor și pentru a verifica starea generală a conectivității după ce ați configurat proxy-ul pe noduri.

                                                                                                                                                  Nodurile de securitate a datelor hibride acceptă următoarele opțiuni proxy:

                                                                                                                                                  • Fără proxy—Implicit dacă nu utilizați configurația de configurare a nodului HDS Trust Store și proxy pentru a integra un proxy. Nu este necesară nicio actualizare a certificatului.

                                                                                                                                                  • Proxy fără inspecție transparent—Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy și nu ar trebui să necesite nicio modificare pentru a lucra cu un proxy fără inspecție. Nu este necesară nicio actualizare a certificatului.

                                                                                                                                                  • Tunelare transparentă sau inspecție proxy—Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy. Nu sunt necesare modificări ale configurației HTTP sau HTTPS pe noduri. Cu toate acestea, nodurile au nevoie de un certificat rădăcină, astfel încât să aibă încredere în proxy. De obicei, proxy-urile de inspecție sunt utilizate de IT pentru a pune în aplicare politicile pe care site-urile pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).

                                                                                                                                                  • Proxy explicit—Cu proxy explicit, spuneți nodurilor HDS ce server proxy și sistem de autentificare să utilizați. Pentru a configura un proxy explicit, trebuie să introduceți următoarele informații pe fiecare nod:

                                                                                                                                                    1. IP proxy/FQDN—Adresă care poate fi utilizată pentru a ajunge la utilajul proxy.

                                                                                                                                                    2. Portul proxy—Un număr de port pe care proxy-ul îl folosește pentru a asculta traficul proxy.

                                                                                                                                                    3. Proxy Protocol—În funcție de ce acceptă serverul dvs. proxy, alegeți între următoarele protocoale:

                                                                                                                                                      • HTTP—Vizualizează și controlează toate solicitările pe care clientul le trimite.

                                                                                                                                                      • HTTPS—Oferă un canal serverului. Clientul primește și validează certificatul serverului.

                                                                                                                                                    4. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:

                                                                                                                                                      • Niciuna – Nu este necesară autentificarea suplimentară.

                                                                                                                                                        Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.

                                                                                                                                                      • De bază—Utilizat pentru un agent de utilizator HTTP pentru a furniza un nume de utilizator și o parolă atunci când efectuați o solicitare. Utilizează codificarea Base64.

                                                                                                                                                        Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.

                                                                                                                                                        Vă cere să introduceți numele de utilizator și parola pe fiecare nod.

                                                                                                                                                      • Digest—Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite în rețea.

                                                                                                                                                        Disponibil numai dacă selectați HTTPS ca protocol proxy.

                                                                                                                                                        Vă cere să introduceți numele de utilizator și parola pe fiecare nod.

                                                                                                                                                  Exemplu de noduri hibride de securitate a datelor și proxy

                                                                                                                                                  Această diagramă arată o conexiune de exemplu între securitatea datelor hibride, rețea și un proxy. Pentru inspectarea transparentă și opțiunile HTTPS de inspecție explicită a proxy-urilor, trebuie instalat același certificat rădăcină pe proxy și pe nodurile de securitate a datelor hibride.

                                                                                                                                                  Modul de rezoluție DNS extern blocat (configurații proxy explicite)

                                                                                                                                                  Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează aspectul DNS și conectivitatea la cloudul Cisco Webex. În implementările cu configurații proxy explicite care nu permit rezoluția DNS externă pentru clienții interni, dacă nodul nu poate interoga serverele DNS, acesta intră automat în modul de Rezoluție DNS Externă Blocată. În acest mod, pot continua testele de înregistrare a nodurilor și alte teste de conectivitate proxy.

                                                                                                                                                  Pregătiți-vă mediul

                                                                                                                                                  Cerințe privind securitatea datelor hibride

                                                                                                                                                  Cerințe de licență Cisco Webex

                                                                                                                                                  Pentru implementarea securității datelor hibride:

                                                                                                                                                  Cerințe Docker Desktop

                                                                                                                                                  Înainte de a instala nodurile HDS, aveți nevoie de Docker Desktop pentru a rula un program de configurare. Docker și-a actualizat recent modelul de licențiere. Este posibil ca organizația dvs. să necesite un abonament cu plată pentru Docker Desktop. Pentru detalii, consultați postarea de pe blogul Docker, " Docker actualizează și extinde abonamentele noastre la produse ".

                                                                                                                                                  X.509 Cerințe privind certificatul

                                                                                                                                                  Lanțul certificatului trebuie să îndeplinească următoarele cerințe:

                                                                                                                                                  Tabelul 1. Cerințe de certificare X.509 pentru implementarea securității datelor hibride

                                                                                                                                                  Obligatoriu

                                                                                                                                                  Detalii

                                                                                                                                                  • Semnată de o autoritate de certificare de încredere (CA)

                                                                                                                                                  În mod implicit, avem încredere în CA-urile din lista Mozilla (cu excepția WoSign și StartCom) la https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Poartă un nume de domeniu comun (CN) care identifică implementarea securității datelor hibride

                                                                                                                                                  • Nu este un certificat de carte de vizită

                                                                                                                                                  CN-ul nu trebuie să fie accesibil sau o gazdă live. Vă recomandăm să utilizați un nume care reflectă organizația dvs., de exemplu, hds.company.com.

                                                                                                                                                  CN nu trebuie să conțină un * (wildcard).

                                                                                                                                                  CN este utilizat pentru a verifica nodurile de securitate a datelor hibride pentru clienții Aplicației Webex. Toate nodurile de securitate a datelor hibride din clusterul dvs. utilizează același certificat. KMS-ul se identifică utilizând domeniul CN, nu orice domeniu care este definit în câmpurile SAN x.509v3.

                                                                                                                                                  După ce ați înregistrat un nod cu acest certificat, nu acceptăm schimbarea numelui domeniului CN. Alegeți un domeniu care se poate aplica atât implementărilor de încercare, cât și implementărilor de producție.

                                                                                                                                                  • Semnătură non-SHA1

                                                                                                                                                  Software-ul KMS nu acceptă semnăturile SHA1 pentru validarea conexiunilor la KMSs ale altor organizații.

                                                                                                                                                  • Format ca fișier PKCS #12 protejat prin parolă

                                                                                                                                                  • Utilizați numele prietenos al kms-private-key pentru a eticheta certificatul, cheia privată și orice certificate intermediare pentru a încărca.

                                                                                                                                                  Puteți utiliza un convertor, cum ar fi OpenSSL pentru a schimba formatul certificatului.

                                                                                                                                                  Va trebui să introduceți parola atunci când rulați Instrumentul de configurare HDS.

                                                                                                                                                  Software-ul KMS nu impune utilizarea cheii sau restricții extinse de utilizare a cheii. Unele autorități de certificare impun aplicarea unor restricții extinse de utilizare a cheilor pentru fiecare certificat, cum ar fi autentificarea serverului. Este în regulă să utilizați autentificarea serverului sau alte setări.

                                                                                                                                                  Cerințe Gazdă virtuală

                                                                                                                                                  Gazdele virtuale pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. au următoarele cerințe:

                                                                                                                                                  • Cel puțin două gazde separate (3 recomandate) plasate în același centru de date securizat

                                                                                                                                                  • VMware ESXi 6.5 (sau mai târziu) instalat și rulează.


                                                                                                                                                     

                                                                                                                                                    Trebuie să faceți upgrade dacă aveți o versiune anterioară a ESXi.

                                                                                                                                                  • Minim 4 vCPU-uri, 8-GB memorie principală, 30-GB spațiu pe hard disk local pe server

                                                                                                                                                  Cerințe server bază de date


                                                                                                                                                   

                                                                                                                                                  Creați o nouă bază de date pentru stocarea cheilor. Nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.

                                                                                                                                                  Există două opțiuni pentru serverul de baze de date. Cerințele pentru fiecare sunt după cum urmează:

                                                                                                                                                  Tabelul 2. Cerințe server bază de date în funcție de tipul de bază de date

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  • PostgreSQL 14, 15 sau 16, instalat și în funcțiune.

                                                                                                                                                  • Server SQL 2016, 2017 sau 2019 (Enterprise sau Standard) instalat.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 necesită pachetul de servicii 2 și actualizarea cumulativă 2 sau mai târziu.

                                                                                                                                                  Minim 8 vCPU-uri, 16-GB de memorie principală, suficient spațiu pe hard disk și monitorizare pentru a se asigura că nu este depășit (2-TB recomandat dacă doriți să rulați baza de date pentru o lungă perioadă de timp, fără a fi nevoie de a crește spațiul de stocare)

                                                                                                                                                  Minim 8 vCPU-uri, 16-GB de memorie principală, suficient spațiu pe hard disk și monitorizare pentru a se asigura că nu este depășit (2-TB recomandat dacă doriți să rulați baza de date pentru o lungă perioadă de timp, fără a fi nevoie de a crește spațiul de stocare)

                                                                                                                                                  Software-ul HDS instalează în prezent următoarele versiuni de drivere pentru comunicarea cu serverul bazei de date:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  Șofer JDBC Postgres 42.2.5

                                                                                                                                                  Driver JDBC SQL Server 4.6

                                                                                                                                                  Această versiune a driverului acceptă SQL Server întotdeauna activat (întotdeauna pe instanțe de cluster nereușite și întotdeauna pe grupuri de disponibilitate).

                                                                                                                                                  Cerințe suplimentare pentru autentificarea Windows împotriva Microsoft SQL Server

                                                                                                                                                  Dacă doriți ca nodurile HDS să utilizeze autentificarea Windows pentru a obține acces la baza dvs. de date Keystore pe Microsoft SQL Server, atunci aveți nevoie de următoarea configurație în mediul dvs.:

                                                                                                                                                  • Nodurile HDS, infrastructura Active Directory și serverul MS SQL trebuie sincronizate cu NTP.

                                                                                                                                                  • Contul Windows pe care îl furnizați nodurilor HDS trebuie să aibă acces citit/scris la baza de date.

                                                                                                                                                  • Serverele DNS pe care le furnizați nodurilor HDS trebuie să poată rezolva Centrul dvs. de distribuție a cheilor (KDC).

                                                                                                                                                  • Puteți înregistra instanța bazei de date HDS pe serverul dvs. Microsoft SQL ca nume principal al serviciului (SPN) în directorul dvs. activ. Consultați Înregistrarea unui nume principal de serviciu pentru conexiunile Kerberos.

                                                                                                                                                    Instrumentul de configurare HDS, lansatorul HDS și KMS local trebuie să utilizeze autentificarea Windows pentru a accesa baza de date Keystore. Ei folosesc detaliile din configurația ISO pentru a construi SPN atunci când solicită acces cu autentificarea Kerberos.

                                                                                                                                                  Cerințe de conectivitate externă

                                                                                                                                                  Configurați firewall-ul pentru a permite următoarea conectivitate pentru aplicațiile HDS:

                                                                                                                                                  Aplicație

                                                                                                                                                  Protocol

                                                                                                                                                  Port

                                                                                                                                                  Direcție din aplicație

                                                                                                                                                  Destinație

                                                                                                                                                  Noduri de securitate a datelor hibride

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS de ieșire și WSS

                                                                                                                                                  • Servere Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Toate gazdele de identitate comune

                                                                                                                                                  • Alte URL-uri care sunt listate pentru securitatea datelor hibride în tabelul URL-uri suplimentare pentru serviciile hibride Webex al cerințelor rețelei pentru serviciile Webex

                                                                                                                                                  Instrument de configurare HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS de ieșire

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Toate gazdele de identitate comune

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Nodurile de securitate a datelor hibride funcționează cu traducerea accesului la rețea (NAT) sau în spatele unui firewall, atâta timp cât NAT sau firewall permite conexiunile de ieșire necesare la destinațiile de domeniu din tabelul precedent. Pentru conexiunile care intră în nodurile de securitate a datelor hibride, niciun port nu trebuie să fie vizibil de pe internet. În cadrul centrului dvs. de date, clienții au nevoie de acces la nodurile de securitate a datelor hibride din porturile TCP 443 și 22, în scopuri administrative.

                                                                                                                                                  URL-urile gazdelor pentru identitatea comună (CI) sunt specifice regiunii. Acestea sunt gazdele actuale CI:

                                                                                                                                                  Regiune

                                                                                                                                                  URL-uri comune ale gazdei pentru identitate

                                                                                                                                                  Țările din America

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Uniunea Europeană

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Cerințe server proxy

                                                                                                                                                  • Sprijinim oficial următoarele soluții proxy care se pot integra cu nodurile dvs. de securitate a datelor hibride.

                                                                                                                                                  • Acceptăm următoarele combinații de tip autentificare pentru proxy-uri explicite:

                                                                                                                                                    • Nicio autentificare cu HTTP sau HTTPS

                                                                                                                                                    • Autentificare de bază cu HTTP sau HTTPS

                                                                                                                                                    • Autentificare Digest numai cu HTTPS

                                                                                                                                                  • Pentru un proxy de inspecție transparent sau un proxy explicit HTTPS, trebuie să aveți o copie a certificatului rădăcină al proxy-ului. Instrucțiunile de implementare din acest ghid vă spun cum să încărcați copia în magazinele de încredere ale nodurilor de securitate a datelor hibride.

                                                                                                                                                  • Rețeaua care găzduiește nodurile HDS trebuie să fie configurată pentru a forța traficul TCP de ieșire în portul 443 să se deplaseze prin proxy.

                                                                                                                                                  • Proxy-urile care inspectează traficul web pot interfera cu conexiunile socket-urilor web. Dacă apare această problemă, ocolirea (nu inspectarea) traficului la wbx2.com și ciscospark.com va rezolva problema.

                                                                                                                                                  Completați cerințele preliminare pentru securitatea datelor hibride

                                                                                                                                                  Utilizați această listă de verificare pentru a vă asigura că sunteți gata să instalați și să configurați clusterul de securitate a datelor hibride.
                                                                                                                                                  1

                                                                                                                                                  Asigurați-vă că organizația dvs. Webex este activată pentru pachetul Pro pentru Cisco Webex Control Hub și obțineți acreditările unui cont cu drepturi depline de administrator al organizației. Contactați-vă partenerul Cisco sau managerul de cont pentru ajutor în acest proces.

                                                                                                                                                  2

                                                                                                                                                  Alegeți un nume de domeniu pentru implementarea HDS (de exemplu, hds.company.com) și să obțină un lanț de certificate care conține un certificat X.509, cheie privată și orice certificate intermediare. Lanțul certificatului trebuie să îndeplinească cerințele din Cerințele de certificare X.509.

                                                                                                                                                  3

                                                                                                                                                  Pregătiți gazdele virtuale identice pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. Aveți nevoie de cel puțin două gazde separate (3 recomandate) plasate în același centru de date securizat, care îndeplinesc cerințele din Cerințele Gazdei Virtuale.

                                                                                                                                                  4

                                                                                                                                                  Pregătiți serverul bazei de date care va acționa ca un magazin de date cheie pentru cluster, în conformitate cu cerințele serverului bazei de date. Serverul bazei de date trebuie să fie plasat în centrul de date securizat cu gazdele virtuale.

                                                                                                                                                  1. Creați o bază de date pentru stocarea tastelor. (Trebuie să creați această bază de date—nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.)

                                                                                                                                                  2. Colectați detaliile pe care nodurile le vor utiliza pentru a comunica cu serverul bazei de date:

                                                                                                                                                    • numele gazdei sau adresa IP (gazda) și portul

                                                                                                                                                    • numele bazei de date (dbname) pentru stocarea cheilor

                                                                                                                                                    • numele de utilizator și parola unui utilizator cu toate privilegiile din baza de date de stocare cu tastatură

                                                                                                                                                  5

                                                                                                                                                  Pentru recuperarea rapidă a dezastrelor, configurați un mediu de rezervă într-un alt centru de date. Mediul de rezervă reflectă mediul de producție al VMs și un server de baze de date de rezervă. De exemplu, dacă producția are 3 VMs care rulează noduri HDS, mediul de rezervă ar trebui să aibă 3 VMs.

                                                                                                                                                  6

                                                                                                                                                  Configurați o gazdă syslog pentru a colecta jurnale de la nodurile din cluster. Aduna adresa de rețea și portul syslog (implicit este UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Creați o politică de rezervă securizată pentru nodurile de securitate a datelor hibride, serverul bazei de date și gazda syslog. Cel puțin, pentru a preveni pierderea de date nerecuperabile, trebuie să salvați baza de date și fișierul ISO de configurare generat pentru nodurile de securitate a datelor hibride.


                                                                                                                                                   

                                                                                                                                                  Deoarece nodurile de securitate a datelor hibride stochează cheile utilizate în criptarea și decriptarea conținutului, nemenținerea unei implementări operaționale va duce la PIERDEREA NERECUPERABILĂ a conținutului respectiv.

                                                                                                                                                  Clienții Aplicației Webex își ascund cheile, astfel încât este posibil ca o întrerupere să nu fie vizibilă imediat, dar va deveni evidentă în timp. În timp ce ieșirile temporare sunt imposibil de prevenit, acestea sunt recuperabile. Cu toate acestea, pierderea completă (fără backup-uri disponibile) a bazei de date sau a fișierului ISO de configurare va duce la date client nerecuperabile. Operatorii nodurilor de securitate a datelor hibride se așteaptă să mențină backup-uri frecvente ale bazei de date și ale fișierului ISO de configurare și să fie pregătiți să reconstruiască centrul de date de securitate a datelor hibride în cazul în care apare un eșec catastrofal.

                                                                                                                                                  8

                                                                                                                                                  Asigurați-vă că configurația firewall-ului dvs. permite conectivitatea pentru nodurile dvs. de securitate a datelor hibride, astfel cum sunt prezentate în cerințele de conectivitate externă.

                                                                                                                                                  9

                                                                                                                                                  Instalați Docker ( https://www.docker.com) pe orice mașină locală care rulează un sistem de operare acceptat (Microsoft Windows 10 Professional sau Enterprise pe 64 de biți sau Mac OSX Yosemite 10.10.3 sau mai sus) cu un browser web care îl poate accesa la http://127.0.0.1:8080.

                                                                                                                                                  Utilizați instanța Docker pentru a descărca și rula Instrumentul de configurare HDS, care construiește informațiile de configurare locale pentru toate nodurile de securitate a datelor hibride. Este posibil ca organizația dvs. să aibă nevoie de o licență Docker Desktop. Consultați Cerințele Docker Desktop pentru mai multe informații.

                                                                                                                                                  Pentru a instala și rula Instrumentul de configurare HDS, utilajul local trebuie să aibă conectivitatea descrisă în Cerințele de conectivitate externă.

                                                                                                                                                  10

                                                                                                                                                  Dacă integrați un proxy cu securitatea datelor hibride, asigurați-vă că îndeplinește Cerințele serverului proxy.

                                                                                                                                                  11

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului, creați un grup în Active Directory numit HdsTrialGroup, și adăugați utilizatori pilot. Grupul de încercare poate avea până la 250 de utilizatori. Fișierul HdsTrialGroup obiectul trebuie să fie sincronizat în cloud înainte de a putea iniția o încercare pentru organizația dvs. Pentru a sincroniza un obiect de grup, selectați-l în Directory Connector Configurare > Meniu Selecție obiect. (Pentru instrucțiuni detaliate, consultați Ghidul de implementare pentru Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Tastele pentru un anumit spațiu sunt stabilite de creatorul spațiului. Atunci când selectați utilizatori pilot, rețineți că, dacă decideți să dezactivați definitiv implementarea securității datelor hibride, toți utilizatorii pierd accesul la conținut în spațiile create de utilizatorii pilot. Pierderea devine evidentă imediat ce aplicațiile utilizatorilor își reîmprospătează copiile cache ale conținutului.

                                                                                                                                                  Configurarea unui cluster de securitate a datelor hibride

                                                                                                                                                  Flux sarcină de implementare a securității datelor hibride

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Pregătiți-vă mediul

                                                                                                                                                  1

                                                                                                                                                  Descărcați fișierele de instalare

                                                                                                                                                  Descărcați fișierul OVA la utilajul local pentru utilizare ulterioară.

                                                                                                                                                  2

                                                                                                                                                  Creați un ISO de configurare pentru gazdele HDS

                                                                                                                                                  Utilizați instrumentul de configurare HDS pentru a crea un fișier de configurare ISO pentru nodurile de securitate a datelor hibride.

                                                                                                                                                  3

                                                                                                                                                  Instalați gazda HDS OVA

                                                                                                                                                  Creați o mașină virtuală din fișierul OVA și efectuați configurația inițială, cum ar fi setările de rețea.


                                                                                                                                                   

                                                                                                                                                  Opțiunea de configurare a setărilor de rețea în timpul implementării OVA a fost testată cu ESXi 6.5. Este posibil ca opțiunea să nu fie disponibilă în versiunile anterioare.

                                                                                                                                                  4

                                                                                                                                                  Configurați VM-ul de securitate a datelor hibride

                                                                                                                                                  Conectați-vă la consola VM și setați acreditările de conectare. Configurați setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.

                                                                                                                                                  5

                                                                                                                                                  Încărcați și montați ISO de configurare HDS

                                                                                                                                                  Configurați VM din fișierul de configurare ISO pe care l-ați creat cu instrumentul de configurare HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurați nodul HDS pentru integrarea proxy

                                                                                                                                                  Dacă mediul de rețea necesită configurare proxy, specificați tipul de proxy pe care îl veți utiliza pentru nod și adăugați certificatul proxy la magazinul de încredere, dacă este necesar.

                                                                                                                                                  7

                                                                                                                                                  Înregistrați primul nod în cluster

                                                                                                                                                  Înregistrați VM cu cloudul Cisco Webex ca nod de securitate a datelor hibrid.

                                                                                                                                                  8

                                                                                                                                                  Creați și înregistrați mai multe noduri

                                                                                                                                                  Finalizați configurarea clusterului.

                                                                                                                                                  9

                                                                                                                                                  Efectuați un proces și mutați-vă la producție (capitolul următor)

                                                                                                                                                  Până când începeți o încercare, nodurile dvs. generează o alarmă care indică faptul că serviciul dvs. nu este încă activat.

                                                                                                                                                  Descărcați fișierele de instalare

                                                                                                                                                  În această sarcină, descărcați un fișier OVA pe mașina dvs. (nu pe serverele pe care le-ați configurat ca noduri de securitate a datelor hibride). Utilizați acest fișier mai târziu în procesul de instalare.
                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la https://admin.webex.comși apoi faceți clic pe Servicii.

                                                                                                                                                  2

                                                                                                                                                  În secțiunea Servicii hibride, găsiți cardul de securitate a datelor hibride, apoi faceți clic pe Configurare.

                                                                                                                                                  Dacă cardul este dezactivat sau nu îl vedeți, contactați echipa de cont sau organizația parteneră. Dați-le numărul contului dvs. și solicitați să activați organizația dvs. pentru securitatea datelor hibride. Pentru a găsi numărul contului, faceți clic pe dispozitivul din dreapta sus, lângă numele organizației dvs.


                                                                                                                                                   

                                                                                                                                                  De asemenea, puteți descărca OVA în orice moment din secțiunea Ajutor de pe pagina Setări . Pe cardul de securitate a datelor hibride, faceți clic pe Editare setări pentru a deschide pagina. Atunci, faceți clic pe Descărcați software-ul de securitate a datelor hibride în secțiunea Ajutor .


                                                                                                                                                   

                                                                                                                                                  Versiunile mai vechi ale pachetului software (OVA) nu vor fi compatibile cu cele mai recente upgrade-uri de securitate a datelor hibride. Acest lucru poate duce la probleme în timp ce actualizarea aplicației. Asigurați-vă că descărcați cea mai recentă versiune a fișierului OVA.

                                                                                                                                                  3

                                                                                                                                                  Selectați Nu pentru a indica faptul că nu ați configurat încă nodul, apoi faceți clic pe Înainte.

                                                                                                                                                  Fișierul OVA începe automat să se descarce. Salvați fișierul într-o locație de pe utilajul dvs.
                                                                                                                                                  4

                                                                                                                                                  Opțional, faceți clic pe Deschidere Ghid de implementare pentru a verifica dacă există o versiune ulterioară a acestui ghid disponibil.

                                                                                                                                                  Creați un ISO de configurare pentru gazdele HDS

                                                                                                                                                  Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi utilizați ISO pentru a configura gazda dvs. de securitate a datelor hibride.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Instrumentul de configurare HDS rulează ca container Docker pe un computer local. Pentru a-l accesa, rulați Docker pe acel computer. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi complete de administrator pentru organizația dvs.

                                                                                                                                                    Dacă instrumentul de configurare HDS rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin variabilele de mediu Docker atunci când ridicați containerul Docker în pasul 5. Acest tabel oferă câteva variabile de mediu posibile:

                                                                                                                                                    Descriere

                                                                                                                                                    Variabilă

                                                                                                                                                    Proxy HTTP fără autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS fără autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTP cu autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS cu autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Fișierul de configurare ISO pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier oricând efectuați modificări de configurare, cum ar fi acestea:

                                                                                                                                                    • Informații bază de date

                                                                                                                                                    • Actualizări certificat

                                                                                                                                                    • Modificări ale politicii de autorizare

                                                                                                                                                  • Dacă intenționați să criptați conexiunile la baza de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

                                                                                                                                                  1

                                                                                                                                                  În linia de comandă a computerului dvs., introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                  În medii obișnuite:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  În mediile FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.

                                                                                                                                                  2

                                                                                                                                                  Pentru a vă conecta la registry de imagini Docker, introduceți următoarele:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  La solicitarea parolei, introduceți acest hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Descărcați cea mai recentă imagine stabilă pentru mediul dvs.:

                                                                                                                                                  În medii obișnuite:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  În mediile FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                  • În mediile obișnuite fără un proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • În mediile obișnuite cu un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • În mediile obișnuite cu un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • În mediile FedRAMP fără un proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • În mediile FedRAMP cu un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • În mediile FedRAMP cu un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Când containerul rulează, veți vedea „Serverul Express ascultând pe portul 8080”.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală.

                                                                                                                                                  Utilizați un browser web pentru a merge la gazda locală, http://127.0.0.1:8080, și introduceți numele de utilizator al administratorului clientului pentru Control Hub la prompt.

                                                                                                                                                  Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul adecvat pentru acel cont. Instrumentul afișează apoi apelul standard de conectare.

                                                                                                                                                  7

                                                                                                                                                  Când vi se solicită, introduceți acreditările de conectare ale administratorului clientului Control Hub, apoi faceți clic pe Conectare pentru a permite accesul la serviciile necesare pentru securitatea datelor hibride.

                                                                                                                                                  8

                                                                                                                                                  Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Get Started.

                                                                                                                                                  9

                                                                                                                                                  Pe pagina ISO Import aveți aceste opțiuni:

                                                                                                                                                  • Nu—Dacă creați primul nod HDS, nu aveți un fișier ISO pentru încărcare.
                                                                                                                                                  • Da—Dacă ați creat deja noduri HDS, apoi selectați fișierul ISO în navigare și încărcați-l.
                                                                                                                                                  10

                                                                                                                                                  Verificați dacă certificatul dvs. X.509 îndeplinește cerințele din Cerințele de certificare X.509.

                                                                                                                                                  • Dacă nu ați mai încărcat un certificat înainte, încărcați certificatul X.509, introduceți parola și faceți clic pe Continuare.
                                                                                                                                                  • Dacă certificatul dvs. este OK, faceți clic pe Continuare.
                                                                                                                                                  • Dacă certificatul dvs. a expirat sau doriți să îl înlocuiți, selectați Nu pentru Continuare utilizând lanțul certificatului HDS și cheia privată din ISO anterior?. Încărcați un nou certificat X.509, introduceți parola și faceți clic pe Continuare.
                                                                                                                                                  11

                                                                                                                                                  Introduceți adresa bazei de date și contul HDS pentru a accesa baza de date cu tastatură:

                                                                                                                                                  1. Selectați tipul bazei de date (PostgreSQL sau Microsoft SQL Server).

                                                                                                                                                    Dacă alegeți Microsoft SQL Server, primiți un câmp tip autentificare.

                                                                                                                                                  2. (Numai serverul Microsoft SQL) Selectați tipul dvs. de autentificare:

                                                                                                                                                    • Autentificare de bază: Aveți nevoie de un nume de cont SQL Server local în câmpul Nume de utilizator .

                                                                                                                                                    • Autentificare Windows: Aveți nevoie de un cont Windows în format username@DOMAIN în câmpul Nume utilizator .

                                                                                                                                                  3. Introduceți adresa serverului bazei de date în formular <hostname>:<port> sau <IP-address>:<port>.

                                                                                                                                                    Exemplu:
                                                                                                                                                    dbhost.example.org:1433 sau 198.51.100.17:1433

                                                                                                                                                    Puteți utiliza o adresă IP pentru autentificarea de bază, dacă nodurile nu pot utiliza DNS pentru a rezolva numele gazdei.

                                                                                                                                                    Dacă utilizați autentificarea Windows, trebuie să introduceți un nume de domeniu complet calificat în format dbhost.example.org:1433

                                                                                                                                                  4. Introduceți numele bazei de date.

                                                                                                                                                  5. Introduceți numele de utilizator și parola unui utilizator cu toate privilegiile din baza de date de stocare cu tastatură.

                                                                                                                                                  12

                                                                                                                                                  Selectați un mod de conectare la baza de date TLS:

                                                                                                                                                  Mod

                                                                                                                                                  Descriere

                                                                                                                                                  Prefer TLS (opțiune prestabilită)

                                                                                                                                                  Nodurile HDS nu necesită TLS pentru a se conecta la server bază de date de date . Dacă activați TLS pe serverul bazei de date, nodurile încearcă o conexiune criptată.

                                                                                                                                                  Solicită TLS

                                                                                                                                                  Nodurile HDS se conectează numai dacă server bază de date poate negocia TLS.

                                                                                                                                                  Solicită TLS și verifică semnatarul certificatului


                                                                                                                                                   

                                                                                                                                                  Acest mod nu se aplică bazelor de date SQL Server.

                                                                                                                                                  • Nodurile HDS se conectează numai dacă server bază de date poate negocia TLS.

                                                                                                                                                  • După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de pe serverul bazei de date cu autoritatea certificatului din certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul întrerupe conexiunea.

                                                                                                                                                  Utilizați certificat rădăcină bază de date de sub meniul drop-down pentru a încărca certificat rădăcină pentru această opțiune.

                                                                                                                                                  Solicită TLS și verifică semnatarul certificatului și numele gazdei

                                                                                                                                                  • Nodurile HDS se conectează numai dacă server bază de date poate negocia TLS.

                                                                                                                                                  • După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de pe serverul bazei de date cu autoritatea certificatului din certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul întrerupe conexiunea.

                                                                                                                                                  • Nodurile verifică, de asemenea, dacă numele gazdei din certificatul de server corespunde numelui gazdei din câmpul Gazdă bază de date și port . Numele trebuie să corespundă exact, sau nodul întrerupe conexiunea.

                                                                                                                                                  Utilizați certificat rădăcină bază de date de sub meniul drop-down pentru a încărca certificat rădăcină pentru această opțiune.

                                                                                                                                                  Când încărcați certificatul rădăcină (dacă este necesar) și faceți clic pe Continuare, instrumentul de configurare HDS testează conexiunea TLS la serverul bazei de date. Instrumentul verifică, de asemenea, semnatarul certificatului și numele gazdei, dacă este cazul. Dacă un test eșuează, instrumentul afișează un mesaj de eroare care descrie problema. Puteți alege să ignorați eroarea și să continuați configurarea. (Din cauza diferențelor de conectivitate, nodurile HDS ar putea fi capabile să stabilească conexiunea TLS, chiar dacă utilajul Instrumentului de configurare HDS nu o poate testa cu succes.)

                                                                                                                                                  13

                                                                                                                                                  Pe pagina Jurnale de sistem, configurați serverul Syslogd:

                                                                                                                                                  1. Introduceți URL-ul serverului syslog.

                                                                                                                                                    Dacă serverul nu poate fi rezolvat prin DNS din nodurile clusterului dvs. HDS, utilizați o adresă IP în URL.

                                                                                                                                                    Exemplu:
                                                                                                                                                    udp://10.92.43.23:514 indică conectarea la gazda Syslogd 10.92.43.23 pe portul UDP 514.
                                                                                                                                                  2. Dacă configurați serverul pentru a utiliza criptarea TLS, verificați dacă este configurat serverul syslog pentru criptarea SSL?.

                                                                                                                                                    Dacă bifați această casetă de selectare, asigurați-vă că introduceți un URL TCP, cum ar fi tcp://10.92.43.23:514.

                                                                                                                                                  3. Din lista derulantă Choose syslog record termination , alegeți setarea potrivită pentru fișierul dvs. ISO: Alegerea sau linia nouă este utilizată pentru Graylog și Rsyslog TCP

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Newline -- \n—Selectați această opțiune pentru Graylog și Rsyslog TCP.

                                                                                                                                                  4. Faceți clic pe Continuați.

                                                                                                                                                  14

                                                                                                                                                  (Opțional) Puteți modifica valoarea implicită a unor parametri de conexiune la baza de date în Setări avansate. În general, acest parametru este singurul pe care s-ar putea dori să-l modificați:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Faceți clic pe Continuare pe ecranul Resetare Conturi serviciu Parolă .

                                                                                                                                                  Parolele contului de serviciu au o durată de viață de nouă luni. Utilizați acest ecran atunci când parolele dvs. se apropie de expirare sau doriți să le resetați pentru a dezactiva fișierele ISO anterioare.

                                                                                                                                                  16

                                                                                                                                                  Faceți clic pe Descărcați fișierul ISO. Salvați fișierul într-o locație ușor de găsit.

                                                                                                                                                  17

                                                                                                                                                  Efectuați o copie de rezervă a fișierului ISO pe sistemul local.

                                                                                                                                                  Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare.

                                                                                                                                                  18

                                                                                                                                                  Pentru a închide instrumentul de configurare, tastați CTRL+C.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Backup fișierul ISO de configurare. Aveți nevoie de ea pentru a crea mai multe noduri pentru recuperare, sau pentru a face modificări de configurare. Dacă pierdeți toate copiile fișierului ISO, ați pierdut, de asemenea, cheia principală. Recuperarea tastelor din baza de date PostgreSQL sau Microsoft SQL Server nu este posibilă.


                                                                                                                                                   

                                                                                                                                                  Nu avem niciodată o copie a acestei chei și nu poate ajuta dacă îl pierzi.

                                                                                                                                                  Instalați gazda HDS OVA

                                                                                                                                                  Utilizați această procedură pentru a crea o mașină virtuală din fișierul OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilizați clientul VMware vSphere de pe computer pentru a vă conecta la gazda virtuală ESXi.

                                                                                                                                                  2

                                                                                                                                                  Selectați Fișier > Implementați șablonul OVF.

                                                                                                                                                  3

                                                                                                                                                  În expert, specificați locația fișierului OVA pe care l-ați descărcat mai devreme, apoi faceți clic pe În continuare.

                                                                                                                                                  4

                                                                                                                                                  Pe Selectați un nume și un folder pagină , introduceți o Nume mașină virtuală pentru nod (de exemplu, „HDS_Node_1”), alegeți o locație în care se poate afla implementarea nodului mașinii virtuale, apoi faceți clic pe În continuare.

                                                                                                                                                  5

                                                                                                                                                  Pe Selectați o resursă de calcul pagină , alegeți resursa de calcul destinație, apoi faceți clic pe În continuare.

                                                                                                                                                  O verificare de validare se execută. După ce se termină, apar detaliile șablonului.

                                                                                                                                                  6

                                                                                                                                                  Verificați detaliile șablonului și apoi faceți clic pe Înainte.

                                                                                                                                                  7

                                                                                                                                                  Dacă vi se solicită să alegeți configurația de resurse de pe Configurare pagină , faceți clic pe 4 CPU apoi faceți clic pe În continuare.

                                                                                                                                                  8

                                                                                                                                                  Pe Selectați spațiul de stocare pagină , faceți clic pe În continuare pentru a accepta formatul implicit al discului și politica de stocare VM.

                                                                                                                                                  9

                                                                                                                                                  Pe Selectați rețelele pagină, alege opțiunea de rețea din lista de intrări pentru a oferi conexiunea dorită la VM.

                                                                                                                                                  10

                                                                                                                                                  Pe pagina Personalizați șablonul , configurați următoarele setări ale rețelei:

                                                                                                                                                  • Nume gazdă—Introduceți FQDN (nume de gazdă și domeniu) sau un singur cuvânt nume de gazdă pentru nod.

                                                                                                                                                     
                                                                                                                                                    • Nu este necesar să setați domeniul pentru a se potrivi domeniului pe care l-ați utilizat pentru a obține certificatul X.509.

                                                                                                                                                    • Pentru a vă asigura că vă înregistrați cu succes în cloud, utilizați numai caractere din FQDN sau numele gazdei pe care le-ați setat pentru nod. Capitalizarea nu este acceptată în acest moment.

                                                                                                                                                    • Lungimea totală a FQDN nu trebuie să depășească 64 de caractere.

                                                                                                                                                  • Adresă IP— Introduceți adresa IP pentru interfața internă a nodului.

                                                                                                                                                     

                                                                                                                                                    Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat.

                                                                                                                                                  • Mască—Introduceți adresa măștii subnet în notația punct-zecimală. De exemplu, 255.255.255.0.
                                                                                                                                                  • Gateway—Introduceți adresa IP a gateway-ului. Un gateway este un nod de rețea care servește ca punct de acces la o altă rețea.
                                                                                                                                                  • Servere DNS—Introduceți o listă de servere DNS separate prin virgulă, care se ocupă cu traducerea numelor de domenii către adrese IP numerice. (Sunt permise până la 4 intrări DNS.)
                                                                                                                                                  • Servere NTP—Introduceți serverul NTP al organizației dvs. sau un alt server NTP extern care poate fi utilizat în organizația dvs. Serverele NTP implicite nu pot funcționa pentru toate întreprinderile. De asemenea, puteți utiliza o listă separată prin virgulă pentru a introduce mai multe servere NTP.
                                                                                                                                                  • Implementați toate nodurile din aceeași subrețea sau VLAN, astfel încât toate nodurile dintr-un cluster să poată fi accesate de clienții din rețeaua dvs. în scopuri administrative.

                                                                                                                                                  Dacă preferați, puteți sări peste configurația de setare a rețelei și puteți urma pașii din Configurați VM-ul de securitate a datelor hibride pentru a configura setările din consola nodului.


                                                                                                                                                   

                                                                                                                                                  Opțiunea de configurare a setărilor de rețea în timpul implementării OVA a fost testată cu ESXi 6.5. Este posibil ca opțiunea să nu fie disponibilă în versiunile anterioare.

                                                                                                                                                  11

                                                                                                                                                  Faceți clic dreapta pe nodul VM, apoi alegeți Alimentare > Pornire.

                                                                                                                                                  Software-ul de securitate a datelor hibride este instalat ca invitat pe Gazda VM. Acum sunteți gata să vă conectați la consolă și să configurați nodul.

                                                                                                                                                  Sfaturi pentru depanare

                                                                                                                                                  Este posibil să aveți o întârziere de câteva minute înainte de apariția containerelor de nod. Un mesaj de firewall de legătură apare pe consolă în timpul primei boot-ări, în timpul căreia nu vă puteți conecta.

                                                                                                                                                  Configurați VM-ul de securitate a datelor hibride

                                                                                                                                                  Utilizați această procedură pentru a vă conecta pentru prima dată la consola VM a nodului de securitate a datelor hibride și pentru a seta acreditările de conectare. De asemenea, puteți utiliza consola pentru a configura setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.

                                                                                                                                                  1

                                                                                                                                                  În clientul VMware vSphere, selectați nodul de securitate a datelor hibride VM și selectați fila Console .

                                                                                                                                                  VM pornește în sus și apare un prompt de conectare. Dacă mesajul de conectare nu se afișează, apăsați Enter.
                                                                                                                                                  2

                                                                                                                                                  Utilizați următoarea conectare implicită și parola pentru a vă conecta și a modifica datele de autentificare:

                                                                                                                                                  1. Conectare: admin

                                                                                                                                                  2. Parolă: cisco

                                                                                                                                                  Deoarece vă conectați pentru prima dată la VM, trebuie să schimbați parola de administrator.

                                                                                                                                                  3

                                                                                                                                                  Dacă ați configurat deja setările de rețea în Instalați gazda HDS OVA, omiteți restul acestei proceduri. În caz contrar, în meniul principal, selectați opțiunea Editare configurație .

                                                                                                                                                  4

                                                                                                                                                  Configurați o configurație statică cu adresă IP, Mască, Gateway și informații DNS. Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat.

                                                                                                                                                  5

                                                                                                                                                  (Opțional) Modificați numele gazdei, domeniul sau serverul (serverele) NTP, dacă este necesar pentru a se potrivi cu politica de rețea.

                                                                                                                                                  Nu este necesar să setați domeniul pentru a se potrivi domeniului pe care l-ați utilizat pentru a obține certificatul X.509.

                                                                                                                                                  6

                                                                                                                                                  Salvați configurația de rețea și reporniți VM, astfel încât modificările să aibă efect.

                                                                                                                                                  Încărcați și montați ISO de configurare HDS

                                                                                                                                                  Utilizați această procedură pentru a configura mașina virtuală din fișierul ISO pe care l-ați creat cu instrumentul de configurare HDS.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Deoarece fișierul ISO deține cheia principală, acesta ar trebui să fie expus numai pe o bază „trebuie să știe”, pentru a fi accesat de către VM-urile de securitate a datelor hibride și de orice administratori care ar putea avea nevoie să facă modificări. Asigurați-vă că numai acei administratori pot accesa stația de date.

                                                                                                                                                  1

                                                                                                                                                  Încărcați fișierul ISO de pe computer:

                                                                                                                                                  1. În panoul de navigare din stânga al clientului VMware vSphere, faceţi clic pe serverul ESXi.

                                                                                                                                                  2. În lista Hardware a filei de configurare, faceți clic pe Storage (Depozitare).

                                                                                                                                                  3. În lista Datastores, faceți clic dreapta pe bara de date pentru VMs și faceți clic pe Browse Datastore.

                                                                                                                                                  4. Faceți clic pe pictograma Încărcare fișiere, apoi faceți clic pe Încărcare fișier.

                                                                                                                                                  5. Navigați la locația în care ați descărcat fișierul ISO pe computer și faceți clic pe Deschidere.

                                                                                                                                                  6. Faceți clic pe Da pentru a accepta avertismentul operațiunii de încărcare/descărcare și închideți dialogul cu stația de date.

                                                                                                                                                  2

                                                                                                                                                  Montați fișierul ISO:

                                                                                                                                                  1. În panoul de navigare din stânga al clientului VMware vSphere, da clic dreapta pe VM și faceți clic Editați setările .

                                                                                                                                                  2. Faceți clic pe OK pentru a accepta avertismentul privind opțiunile de editare restricționate.

                                                                                                                                                  3. Clic CD/DVD Drive 1, selectați opțiunea de montare dintr-un fișier ISO datastore și navigați la locația în care ați încărcat fișierul ISO de configurare.

                                                                                                                                                  4. Verificați Conectat și Conectat la putere.

                                                                                                                                                  5. Salvați modificările și reporniți mașina virtuală.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Dacă politica dvs. IT necesită, puteți dezinstala opțional fișierul ISO după ce toate nodurile dvs. preiau modificările de configurare. Consultați (Opțional) Dezasamblarea ISO după configurarea HDS pentru detalii.

                                                                                                                                                  Configurați nodul HDS pentru integrarea proxy

                                                                                                                                                  Dacă mediul de rețea necesită un proxy, utilizați această procedură pentru a specifica tipul de proxy pe care doriți să îl integrați cu securitatea datelor hibride. Dacă alegeți un proxy de inspecție transparent sau un proxy explicit HTTPS, puteți utiliza interfața nodului pentru a încărca și instala certificatul rădăcină. De asemenea, puteți verifica conexiunea proxy din interfață și puteți rezolva orice probleme potențiale.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  1

                                                                                                                                                  Introduceți URL-ul de configurare a nodului HDS https://[HDS Node IP or FQDN]/setup într-un browser web, introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.

                                                                                                                                                  2

                                                                                                                                                  Accesați Trust Store & Proxy, apoi alegeți o opțiune:

                                                                                                                                                  • Nu există proxy—Opțiunea implicită înainte de a integra un proxy. Nu este necesară nicio actualizare a certificatului.
                                                                                                                                                  • Proxy transparent fără inspecție- Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy și nu ar trebui să necesite nicio modificare pentru a lucra cu un proxy fără inspecție. Nu este necesară nicio actualizare a certificatului.
                                                                                                                                                  • Inspecție transparentă proxy- Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy. Nu sunt necesare modificări ale configurației HTTPS la implementarea securității datelor hibride, cu toate acestea, nodurile HDS au nevoie de un certificat rădăcină pentru a avea încredere în proxy. De obicei, proxy-urile de inspecție sunt utilizate de IT pentru a pune în aplicare politicile pe care site-urile pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).
                                                                                                                                                  • Proxy explicit—Cu proxy explicit, spuneți clientului (noduri HDS) ce server proxy să utilizeze, iar această opțiune acceptă mai multe tipuri de autentificare. După ce alegeți această opțiune, trebuie să introduceți următoarele informații:
                                                                                                                                                    1. IP proxy/FQDN—Adresă care poate fi utilizată pentru a ajunge la utilajul proxy.

                                                                                                                                                    2. Portul proxy—Un număr de port pe care proxy-ul îl folosește pentru a asculta traficul proxy.

                                                                                                                                                    3. Proxy Protocol—Alegeți http (vizualizează și controlează toate solicitările primite de la client) sau https (oferă un canal serverului, iar clientul primește și validează certificatul serverului). Alegeți o opțiune pe baza a ceea ce acceptă serverul proxy.

                                                                                                                                                    4. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:

                                                                                                                                                      • Niciuna – Nu este necesară autentificarea suplimentară.

                                                                                                                                                        Disponibil pentru proxy-uri HTTP sau HTTPS.

                                                                                                                                                      • De bază—Utilizat pentru un agent de utilizator HTTP pentru a furniza un nume de utilizator și o parolă atunci când efectuați o solicitare. Utilizează codificarea Base64.

                                                                                                                                                        Disponibil pentru proxy-uri HTTP sau HTTPS.

                                                                                                                                                        Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola.

                                                                                                                                                      • Digest—Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite în rețea.

                                                                                                                                                        Disponibil numai pentru proxy-uri HTTPS.

                                                                                                                                                        Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola.

                                                                                                                                                  Urmați pașii următori pentru un proxy de inspecție transparent, un proxy explicit HTTP cu autentificare de bază sau un proxy explicit HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Faceți clic pe Încărcați un certificat rădăcină sau un certificat de entitate finalizată, apoi navigați la o alegere a certificatului rădăcină pentru proxy.

                                                                                                                                                  Certificatul este încărcat, dar nu este încă instalat, deoarece trebuie să reporniți nodul pentru a instala certificatul. Faceți clic pe săgeata chevron după numele emitentului certificatului pentru a obține mai multe detalii sau faceți clic pe Ștergere dacă ați făcut o greșeală și doriți să reîncărcați fișierul.

                                                                                                                                                  4

                                                                                                                                                  Faceți clic pe Verificare conexiune proxy pentru a testa conectivitatea la rețea între nod și proxy.

                                                                                                                                                  Dacă testul conexiunii eșuează, veți vedea un mesaj de eroare care arată motivul și modul în care puteți corecta problema.

                                                                                                                                                  Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a reușit, nodul nu a putut ajunge la serverul DNS. Această condiție este de așteptat în multe configurații proxy explicite. Puteți continua cu configurarea, iar nodul va funcționa în modul de Rezoluție DNS Externă Blocată. Dacă credeți că aceasta este o eroare, completați acești pași și apoi consultați Dezactivarea modului de rezoluție DNS extern blocat.

                                                                                                                                                  5

                                                                                                                                                  După ce testul conexiunii trece, pentru proxy explicit setat numai la https, activați comutatorul pentru a Ruta toate solicitările de port 443/444 https din acest nod prin proxy explicit. Această setare necesită 15 secunde pentru a intra în vigoare.

                                                                                                                                                  6

                                                                                                                                                  Faceți clic pe Instalare toate certificatele în magazinul de încredere (apare pentru un proxy explicit HTTPS sau un proxy de inspecție transparent) sau Reporniți (apare pentru un proxy explicit HTTP), citiți mesajul și apoi faceți clic pe Instalare dacă sunteți pregătit.

                                                                                                                                                  Nodul repornește în câteva minute.

                                                                                                                                                  7

                                                                                                                                                  După repornirea nodului, conectați-vă din nou dacă este necesar, apoi deschideți pagina Prezentare generală pentru a verifica verificările de conectivitate pentru a vă asigura că toate sunt în stare verde.

                                                                                                                                                  Verificarea conexiunii proxy testează numai un subdomeniu al webex.com. Dacă există probleme de conectivitate, o problemă comună este că unele dintre domeniile cloud enumerate în instrucțiunile de instalare sunt blocate la proxy.

                                                                                                                                                  Înregistrați primul nod în cluster

                                                                                                                                                  Această sarcină preia nodul generic pe care l-ați creat în Configurarea VM-ului de securitate a datelor hibride, înregistrează nodul cu cloudul Webex și îl transformă într-un nod de securitate a datelor hibride.

                                                                                                                                                  Când vă înregistrați primul nod, creați un cluster căruia i se atribuie nodul. Un cluster conține unul sau mai multe noduri implementate pentru a oferi redundanță.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Odată ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți.

                                                                                                                                                  • Asigurați-vă că orice blocare pop-up din browser-ul dvs. este dezactivată sau că permiteți o excepție pentru admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Din meniul din partea stângă a ecranului, selectați Servicii.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Servicii hibride, găsiți Securitatea datelor hibride și faceți clic pe Configurare.

                                                                                                                                                  Apare pagina Nod de securitate a datelor hibride de înregistrare.
                                                                                                                                                  4

                                                                                                                                                  Selectați Da pentru a indica faptul că ați configurat nodul și sunteți gata să îl înregistrați, apoi faceți clic pe Înainte.

                                                                                                                                                  5

                                                                                                                                                  În primul câmp, introduceți un nume pentru clusterul la care doriți să alocați nodul dvs. de securitate a datelor hibride.

                                                                                                                                                  Vă recomandăm să denumiți un cluster bazat pe locul în care nodurile clusterului sunt localizate geografic. Exemple: "San Francisco" sau "New York" sau "Dallas"

                                                                                                                                                  6

                                                                                                                                                  În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Înainte.

                                                                                                                                                  Această adresă IP sau FQDN trebuie să corespundă adresei IP sau numelui gazdei și domeniului pe care l-ați utilizat în Configurarea VM-ului de securitate a datelor hibride.

                                                                                                                                                  Apare un mesaj care indică faptul că vă puteți înregistra nodul la Webex.
                                                                                                                                                  7

                                                                                                                                                  Faceți clic pe Du-te la Nod.

                                                                                                                                                  8

                                                                                                                                                  Faceți clic pe Continuare în mesajul de avertizare.

                                                                                                                                                  După câteva momente, sunteți redirecționat către testele de conectivitate la noduri pentru serviciile Webex. Dacă toate testele au succes, apare pagina Permiteți accesul la nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați permisiuni organizației dvs. Webex pentru a accesa nodul dvs.
                                                                                                                                                  9

                                                                                                                                                  Bifați caseta de selectare Permite accesul la nodul dvs. de securitate a datelor hibride , apoi faceți clic pe Continuare.

                                                                                                                                                  Contul dvs. este validat, iar mesajul „Înscriere completă” indică faptul că nodul dvs. este acum înregistrat în cloudul Webex.
                                                                                                                                                  10

                                                                                                                                                  Faceți clic pe link-ul sau închideți fila pentru a reveni la pagina de securitate a datelor hibride Control Hub.

                                                                                                                                                  Pe pagina Securitate datelor hibride, este afișat noul cluster care conține nodul pe care l-ați înregistrat. Nodul va descărca automat cel mai recent software din cloud.

                                                                                                                                                  Creați și înregistrați mai multe noduri

                                                                                                                                                  Pentru a adăuga noduri suplimentare în cluster, creați pur și simplu VMs suplimentare și montați același fișier ISO de configurare, apoi înregistrați nodul. Vă recomandăm să aveți cel puțin 3 noduri.

                                                                                                                                                   

                                                                                                                                                  În acest moment, VMs de rezervă pe care le-ați creat în Completați Condițiile prealabile pentru securitatea datelor hibride sunt gazde standby care sunt utilizate numai în caz de recuperare a dezastrelor; acestea nu sunt înregistrate la sistem până atunci. Pentru detalii, consultați Recuperarea dezastrelor utilizând Centrul de date standby.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Odată ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți.

                                                                                                                                                  • Asigurați-vă că orice blocare pop-up din browser-ul dvs. este dezactivată sau că permiteți o excepție pentru admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Creați o nouă mașină virtuală din OVA, repetând pașii din Instalați gazda HDS OVA.

                                                                                                                                                  2

                                                                                                                                                  Configurați configurația inițială pe noul VM, repetând pașii din Configurați VM-ul de securitate a datelor hibride.

                                                                                                                                                  3

                                                                                                                                                  Pe noul VM, repetați pașii din Încărcați și montați ISO de configurare HDS.

                                                                                                                                                  4

                                                                                                                                                  Dacă configurați un proxy pentru implementarea dvs., repetați pașii din Configurați nodul HDS pentru Integrare proxy după cum este necesar pentru noul nod.

                                                                                                                                                  5

                                                                                                                                                  Înregistrați nodul.

                                                                                                                                                  1. În https://admin.webex.com, selectați Servicii din meniul din partea stângă a ecranului.

                                                                                                                                                  2. În secțiunea Servicii hibride, găsiți cardul de securitate a datelor hibride și faceți clic pe Resurse.

                                                                                                                                                    Apare pagina Resurse de securitate a datelor hibride.
                                                                                                                                                  3. Faceți clic pe Adăugare resursă.

                                                                                                                                                  4. În primul câmp, selectați numele clusterului existent.

                                                                                                                                                  5. În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Înainte.

                                                                                                                                                    Apare un mesaj care indică faptul că vă puteți înregistra nodul în cloudul Webex.
                                                                                                                                                  6. Faceți clic pe Du-te la Nod.

                                                                                                                                                    După câteva momente, sunteți redirecționat către testele de conectivitate la noduri pentru serviciile Webex. Dacă toate testele au succes, apare pagina Permiteți accesul la nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați permisiuni organizației dvs. pentru a accesa nodul dvs.
                                                                                                                                                  7. Bifați caseta de selectare Permite accesul la nodul dvs. de securitate a datelor hibride , apoi faceți clic pe Continuare.

                                                                                                                                                    Contul dvs. este validat, iar mesajul „Înscriere completă” indică faptul că nodul dvs. este acum înregistrat în cloudul Webex.
                                                                                                                                                  8. Faceți clic pe link-ul sau închideți fila pentru a reveni la pagina de securitate a datelor hibride Control Hub.

                                                                                                                                                  Nodul dvs. este înregistrat. Rețineți că până când începeți o încercare, nodurile dvs. generează o alarmă care indică faptul că serviciul dvs. nu este încă activat.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Efectuați un proces și mutați-vă la producție (capitolul următor)
                                                                                                                                                  Efectuați un proces și mutați-vă la producție

                                                                                                                                                  Încercare la fluxul sarcinilor de producție

                                                                                                                                                  După ce ați configurat un cluster de securitate a datelor hibride, puteți iniția un pilot, puteți adăuga utilizatori la acesta și puteți începe să îl utilizați pentru testarea și verificarea implementării dvs. în vederea trecerii la producție.

                                                                                                                                                  1

                                                                                                                                                  Dacă este cazul, sincronizați HdsTrialGroup obiect de grup.

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați HdsTrialGroup obiectul de grup pentru sincronizare în cloud înainte de a putea începe o încercare. Pentru instrucțiuni, consultați Ghidul de implementare pentru Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Activați procesul

                                                                                                                                                  Începeți o încercare. Până când nu efectuați această sarcină, nodurile dvs. generează o alarmă care indică faptul că serviciul nu este încă activat.

                                                                                                                                                  3

                                                                                                                                                  Testați implementarea securității datelor hibride

                                                                                                                                                  Verificați dacă solicitările cheie trec la implementarea securității datelor hibride.

                                                                                                                                                  4

                                                                                                                                                  Monitorizarea sănătății securității datelor hibride

                                                                                                                                                  Verificați starea și configurați notificările prin e-mail pentru alarme.

                                                                                                                                                  5

                                                                                                                                                  Adăugați sau eliminați utilizatori din procesul dvs.

                                                                                                                                                  6

                                                                                                                                                  Finalizați faza de probă cu una dintre următoarele acțiuni:

                                                                                                                                                  Activați procesul

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați HdsTrialGroup obiectul de grup pentru sincronizare în cloud înainte de a putea iniția o încercare pentru organizația dvs. Pentru instrucțiuni, consultați Ghidul de implementare pentru Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la https://admin.webex.comși apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  Sub Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Stare serviciu, faceți clic pe Inițiere încercare.

                                                                                                                                                  Starea serviciului se modifică în modul de încercare.
                                                                                                                                                  4

                                                                                                                                                  Faceți clic pe Adăugare utilizatori și introduceți adresa de e-mail a unuia sau mai multor utilizatori pentru a pilot utilizând nodurile dvs. de securitate a datelor hibride pentru serviciile de criptare și indexare.

                                                                                                                                                  (Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory pentru a gestiona grupul de încercare, HdsTrialGroup.)

                                                                                                                                                  Testați implementarea securității datelor hibride

                                                                                                                                                  Utilizați această procedură pentru a testa scenariile de criptare a securității datelor hibride.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Configurați implementarea securității datelor hibride.

                                                                                                                                                  • Activați procesul și adăugați mai mulți utilizatori de proces.

                                                                                                                                                  • Asigurați-vă că aveți acces la syslog pentru a verifica dacă solicitările cheie trec la implementarea securității datelor hibride.

                                                                                                                                                  1

                                                                                                                                                  Tastele pentru un anumit spațiu sunt stabilite de creatorul spațiului. Conectați-vă la Aplicația Webex ca unul dintre utilizatorii pilot, apoi creați un spațiu și invitați cel puțin un utilizator pilot și un utilizator non-pilot.


                                                                                                                                                   

                                                                                                                                                  Dacă dezactivați implementarea securității datelor hibride, conținutul din spațiile pe care utilizatorii pilot le creează nu mai este accesibil după ce copiile în cache ale cheilor de criptare sunt înlocuite.

                                                                                                                                                  2

                                                                                                                                                  Trimiteți mesaje către noul spațiu.

                                                                                                                                                  3

                                                                                                                                                  Verificați ieșirea syslog pentru a verifica dacă solicitările cheie trec la implementarea securității datelor hibride.

                                                                                                                                                  1. Pentru a verifica dacă un utilizator stabilește mai întâi un canal securizat la KMS, filtrați pe kms.data.method=create și kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Ar trebui să găsiți o intrare, cum ar fi următoarele (identificatori scurtați pentru lizibilitate):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Pentru a verifica dacă un utilizator solicită o cheie existentă din KMS, filtrați pe kms.data.method=retrieve și kms.data.type=KEY:

                                                                                                                                                    Trebuie să găsiți o intrare, cum ar fi:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Pentru a verifica dacă un utilizator solicită crearea unei noi chei KMS, filtrați pe kms.data.method=create și kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Trebuie să găsiți o intrare, cum ar fi:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Pentru a verifica dacă un utilizator solicită crearea unui nou obiect de resurse KMS (KRO) atunci când este creat un spațiu sau o altă resursă protejată, filtrați pe kms.data.method=create și kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Trebuie să găsiți o intrare, cum ar fi:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitorizarea sănătății securității datelor hibride

                                                                                                                                                  Un indicator de stare din Control Hub vă arată dacă totul este bine cu implementarea securității datelor hibride. Pentru o alertare mai proactivă, înscrieți-vă pentru notificări prin e-mail. Veți fi notificat atunci când există alarme sau upgrade-uri de software care afectează serviciul.
                                                                                                                                                  1

                                                                                                                                                  În Control Hub, selectați Servicii din meniul din partea stângă a ecranului.

                                                                                                                                                  2

                                                                                                                                                  În secțiunea Servicii hibride, găsiți Securitatea datelor hibride și faceți clic pe Setări.

                                                                                                                                                  Apare pagina Setări securitate date hibride.
                                                                                                                                                  3

                                                                                                                                                  În secțiunea Notificări prin e-mail, tastați una sau mai multe adrese de e-mail separate prin virgule și apăsați Enter.

                                                                                                                                                  Adăugați sau eliminați utilizatori din procesul dvs.

                                                                                                                                                  După ce ați activat un trial și ați adăugat setul inițial de utilizatori de trial, puteți adăuga sau elimina membri de trial în orice moment în timp ce procesul este activ.

                                                                                                                                                  Dacă eliminați un utilizator din trial, clientul utilizatorului va solicita chei și crearea de taste din KMS cloud în loc de KMS dvs. Dacă clientul are nevoie de o cheie stocată pe KMS-ul dvs., KMS-ul cloud o va prelua în numele utilizatorului.

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory (în loc de această procedură) pentru a gestiona grupul de încercare, HdsTrialGroup; puteți vizualiza membrii grupului din Control Hub, dar nu îi puteți adăuga sau elimina.

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  Sub Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Modul de încercare din zona de stare a serviciului, faceți clic pe Adăugare utilizatori sau faceți clic pe vizualizare și editare pentru a elimina utilizatorii din trial.

                                                                                                                                                  4

                                                                                                                                                  Introduceți adresa de e-mail a unuia sau mai multor utilizatori pentru a adăuga sau faceți clic pe X de către un ID de utilizator pentru a elimina utilizatorul din încercare. Apoi faceți clic Salvați .

                                                                                                                                                  Mutați de la încercare la producție

                                                                                                                                                  Când sunteți mulțumit că implementarea dvs. funcționează bine pentru utilizatorii de încercare, puteți trece la producție. Când treceți la producție, toți utilizatorii din organizație vor utiliza domeniul dvs. local de securitate a datelor hibride pentru cheile de criptare și alte servicii din domeniul de securitate. Nu puteți reveni la modul de încercare din producție decât dacă dezactivați serviciul ca parte a recuperării dezastrelor. Reactivarea serviciului vă cere să configurați o nouă încercare.
                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  Sub Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Stare serviciu, faceți clic pe Mutare în producție.

                                                                                                                                                  4

                                                                                                                                                  Confirmați că doriți să mutați toți utilizatorii la producție.

                                                                                                                                                  Încheiați procesul fără a trece la producție

                                                                                                                                                  Dacă, în timpul perioadei de probă, decideți să nu continuați cu implementarea securității datelor hibride, puteți dezactiva securitatea datelor hibride, care încheie perioada de probă și mută utilizatorii de încercare înapoi la serviciile de securitate a datelor în cloud. Utilizatorii procesului vor pierde accesul la datele care au fost criptate în timpul procesului.
                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  Sub Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Dezactivare, faceți clic pe Dezactivare.

                                                                                                                                                  4

                                                                                                                                                  Confirmați că doriți să dezactivați serviciul și să finalizați procesul.

                                                                                                                                                  Gestionați implementarea HDS

                                                                                                                                                  Gestionați implementarea HDS

                                                                                                                                                  Utilizați sarcinile descrise aici pentru a gestiona implementarea securității datelor hibride.

                                                                                                                                                  Setați programul de upgrade al clusterului

                                                                                                                                                  Upgrade-urile de software pentru securitatea datelor hibride se fac automat la nivelul clusterului, ceea ce asigură că toate nodurile rulează întotdeauna aceeași versiune de software. Upgrade-urile se efectuează în conformitate cu programul de upgrade pentru cluster. Când un upgrade de software devine disponibil, aveți opțiunea de a actualiza manual clusterul înainte de ora programată de upgrade. Puteți seta un program specific de upgrade sau puteți utiliza programul implicit de 3:00 AM Daily Statele Unite ale Americii: America/Los Angeles. De asemenea, puteți alege să amânați un upgrade viitor, dacă este necesar.

                                                                                                                                                  Pentru a seta programul de upgrade:

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub .

                                                                                                                                                  2

                                                                                                                                                  Pe pagina Prezentare generală, în secțiunea Servicii hibride, selectați Securitatea datelor hibride.

                                                                                                                                                  3

                                                                                                                                                  Pe pagina Resurse de securitate a datelor hibride, selectați clusterul.

                                                                                                                                                  4

                                                                                                                                                  În panoul Prezentare generală din dreapta, în secțiunea Setări cluster, selectați numele clusterului.

                                                                                                                                                  5

                                                                                                                                                  Pe pagina Setări, în secțiunea Upgrade, selectați ora și fusul orar pentru programul de upgrade.

                                                                                                                                                  Notă: În cadrul fusului orar, se afișează următoarea dată și oră de upgrade disponibile. Puteți amâna upgrade-ul până în ziua următoare, dacă este necesar, făcând clic pe Amânare.

                                                                                                                                                  Modificarea configurației nodului

                                                                                                                                                  Ocazional, poate fi necesar să modificați configurația nodului Hybrid Data Security dintr-un motiv precum:
                                                                                                                                                  • Modificarea certificatelor x.509 din cauza expirării sau din alte motive.


                                                                                                                                                     

                                                                                                                                                    Nu acceptăm schimbarea nume domeniu CN al unui certificat. Domeniul trebuie să corespundă domeniului inițial utilizat pentru înregistrarea clusterului.

                                                                                                                                                  • Actualizarea setărilor bazei de date pentru a trece la o replică a bazei de date PostgreSQL sau Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nu acceptăm migrarea datelor de la PostgreSQL la Microsoft SQL Server sau invers. Pentru a comuta mediul bazei de date, începeți o nouă implementare a Hybrid Data Security.

                                                                                                                                                  • Crearea unei noi configurații pentru pregătirea unui nou centru de date.

                                                                                                                                                  De asemenea, din motive de securitate, Hybrid Data Security utilizează parole ale cont al serviciului care au o durată de viață de nouă luni. După ce instrumentul de configurare HDS generează aceste parole, le implementați în fiecare dintre nodurile HDS din fișierul de configurare ISO . Când parolele organizației dvs. se apropie de expirare, primiți o notificare de la echipa Webex prin care vă rugăm să resetați parola pentru contul computerului dvs. (E-mailul include textul „Utilizați API -ul contului de computer pentru a actualiza parola.”) Dacă parolele nu au expirat încă, instrumentul vă oferă două opțiuni:

                                                                                                                                                  • Resetare soft —Parolele vechi și noi sunt valabile până la 10 zile. Utilizați această perioadă pentru a înlocui treptat fișierul ISO pe noduri.

                                                                                                                                                  • Resetare hardware — Parolele vechi nu mai funcționează imediat.

                                                                                                                                                  Dacă parolele expiră fără resetare, acest lucru afectează serviciul HDS, necesitând o resetare hardware imediată și înlocuirea fișierului ISO pe toate nodurile.

                                                                                                                                                  Utilizați această procedură pentru a genera un nou fișier ISO de configurare și a-l aplica clusterului dvs.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Instrumentul de configurare HDS rulează ca container Docker pe un computer local. Pentru a-l accesa, rulați Docker pe acel computer. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi complete de administrator pentru organizația dvs.

                                                                                                                                                    Dacă instrumentul de configurare HDS rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin variabilele de mediu Docker atunci când ridicați containerul Docker în 1.e. Acest tabel oferă câteva variabile de mediu posibile:

                                                                                                                                                    Descriere

                                                                                                                                                    Variabilă

                                                                                                                                                    Proxy HTTP fără autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS fără autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTP cu autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS cu autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Aveți nevoie de o copie a fișierului ISO de configurare curentă pentru a genera o nouă configurație. ISO conține cheia principală de criptare a bazei de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de ISO când efectuați modificări de configurare, inclusiv date de autentificare în baza de date, actualizări de certificate sau modificări ale politicii de autorizare.

                                                                                                                                                  1

                                                                                                                                                  Utilizând Docker pe un computer local, rulați Instrumentul de configurare HDS.

                                                                                                                                                  1. În linia de comandă a computerului dvs., introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                    În medii obișnuite:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    În mediile FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.

                                                                                                                                                  2. Pentru a vă conecta la registry de imagini Docker, introduceți următoarele:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. La solicitarea parolei, introduceți acest hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Descărcați cea mai recentă imagine stabilă pentru mediul dvs.:

                                                                                                                                                    În medii obișnuite:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    În mediile FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Asigurați-vă că ați extras cel mai recent instrument de configurare pentru această procedură. Versiunile instrumentului create înainte de 22 februarie 2018 nu au ecrane de resetare a parolei.

                                                                                                                                                  5. Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                    • În mediile obișnuite fără un proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • În mediile obișnuite cu un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • În medii obișnuite cu un HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • În mediile FedRAMP fără un proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • În mediile FedRAMP cu un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • În mediile FedRAMP cu un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Când containerul rulează, veți vedea „Serverul Express ascultând pe portul 8080”.

                                                                                                                                                  6. Utilizați un browser pentru a vă conecta la localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală.

                                                                                                                                                  7. Când vi se solicită, introduceți datele de conectare pentru client Control Hub și apoi faceți clic Acceptați pentru a continua.

                                                                                                                                                  8. Importați fișierul ISO de configurație curentă.

                                                                                                                                                  9. Urmați instrucțiunile pentru a finaliza instrumentul și descărcați fișierul actualizat.

                                                                                                                                                    Pentru a închide instrumentul de configurare, tastați CTRL+C.

                                                                                                                                                  10. Creați o copie de rezervă a fișierului actualizat într-un alt centru de date.

                                                                                                                                                  2

                                                                                                                                                  Dacă aveți un singur nod HDS care rulează , creați un nou VM nod Hybrid Data Security și înregistrați-l utilizând noul fișier ISO de configurare. Pentru instrucțiuni mai detaliate, consultați Creați și înregistrați mai multe noduri.

                                                                                                                                                  1. Instalați OVA gazdă HDS.

                                                                                                                                                  2. Configurați VM HDS .

                                                                                                                                                  3. Montați fișier de configurare actualizat .

                                                                                                                                                  4. Înregistrați noul nod în Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Pentru nodurile HDS existente care rulează fișierul de fișier de configurare mai vechi , montați fișierul ISO . Efectuați următoarea procedură pe fiecare nod pe rând, actualizând fiecare nod înainte de a opri următorul nod:

                                                                                                                                                  1. Opriți mașină virtuală.

                                                                                                                                                  2. În panoul de navigare din stânga al clientului VMware vSphere, da clic dreapta pe VM și faceți clic Editați setările .

                                                                                                                                                  3. Clic CD/DVD Drive 1, selectați opțiunea de montare dintr-un fișier ISO și navigați până la locația de unde ați descărcat noul fișier ISO de configurare.

                                                                                                                                                  4. Verificați Conectați la pornire .

                                                                                                                                                  5. Salvați modificările și porniți mașină virtuală.

                                                                                                                                                  4

                                                                                                                                                  Repetați pasul 3 pentru a înlocui configurația pe fiecare nod rămas care rulează configurația veche.

                                                                                                                                                  Dezactivați Modul De Rezoluție DNS Externă Blocat

                                                                                                                                                  Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează aspectul DNS și conectivitatea la cloudul Cisco Webex. Dacă serverul DNS al nodului nu poate rezolva numele DNS publice, nodul intră automat în modul de Rezoluție DNS Externă Blocată.

                                                                                                                                                  Dacă nodurile dvs. sunt capabile să rezolve numele DNS publice prin intermediul serverelor DNS interne, puteți dezactiva acest mod prin reactivarea testului de conexiune proxy pe fiecare nod.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Asigurați-vă că serverele DNS interne pot rezolva numele DNS publice și că nodurile dvs. pot comunica cu acestea.
                                                                                                                                                  1

                                                                                                                                                  Într-un browser web, deschideți interfața nodului de securitate a datelor hibride (adresă IP/configurare, de exemplu, https://192.0.2.0/setup), introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.

                                                                                                                                                  2

                                                                                                                                                  Accesați Prezentare generală (pagina implicită).

                                                                                                                                                  Când este activat, Rezoluție DNS externă blocată este setat la Da .

                                                                                                                                                  3

                                                                                                                                                  Accesați pagina Trust Store & Proxy .

                                                                                                                                                  4

                                                                                                                                                  Faceți clic pe Verificare conexiune proxy.

                                                                                                                                                  Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a avut succes, nodul nu a putut ajunge la serverul DNS și va rămâne în acest mod. În caz contrar, după ce reporniți nodul și reveniți la pagina Prezentare generală , Rezoluția DNS externă blocată trebuie setată la nr.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Repetați testul conexiunii proxy pe fiecare nod din clusterul de securitate a datelor hibride.

                                                                                                                                                  Eliminați un nod

                                                                                                                                                  Utilizați această procedură pentru a elimina un nod de securitate a datelor hibride din cloudul Webex. După ce eliminați nodul din cluster, ștergeți mașina virtuală pentru a preveni accesul suplimentar la datele dvs. de securitate.
                                                                                                                                                  1

                                                                                                                                                  Utilizați clientul VMware vSphere de pe computer pentru a vă conecta la gazda virtuală ESXi și pentru a dezactiva mașina virtuală.

                                                                                                                                                  2

                                                                                                                                                  Eliminați nodul:

                                                                                                                                                  1. Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2. Pe cardul de securitate a datelor hibride, faceți clic pe Vizualizare toate pentru a afișa pagina Resurse de securitate a datelor hibride.

                                                                                                                                                  3. Selectați clusterul pentru a afișa panoul de Prezentare generală.

                                                                                                                                                  4. Faceți clic pe lista de noduri deschise.

                                                                                                                                                  5. În fila Noduri, selectați nodul pe care doriți să îl eliminați.

                                                                                                                                                  6. Faceți clic pe Acțiuni > Deregister node.

                                                                                                                                                  3

                                                                                                                                                  În clientul vSphere, ștergeți VM. (În panoul de navigare din stânga, faceți clic dreapta pe VM și faceți clic pe Ștergere.)

                                                                                                                                                  Dacă nu ștergeți VM, nu uitați să dezasamblați fișierul de configurare ISO. Fără fișierul ISO, nu puteți utiliza VM pentru a accesa datele de securitate.

                                                                                                                                                  Recuperare dezastre utilizând Centrul de date standby

                                                                                                                                                  Cel mai important serviciu pe care îl oferă clusterul de securitate a datelor hibride este crearea și stocarea de taste utilizate pentru criptarea mesajelor și a altor conținuturi stocate în cloudul Webex. Pentru fiecare utilizator din cadrul organizației care este atribuit securității datelor hibride, noile solicitări de creare a cheii sunt direcționate către cluster. Clusterul este, de asemenea, responsabil pentru returnarea cheilor pe care le-a creat oricărui utilizator autorizat să le recupereze, de exemplu, membrii unui spațiu de conversație.

                                                                                                                                                  Deoarece clusterul îndeplinește funcția critică de furnizare a acestor chei, este imperativ ca clusterul să rămână în funcțiune și să fie menținute backup-uri corespunzătoare. Pierderea bazei de date Hybrid Data Security sau a configurației ISO utilizate pentru schemă va duce la PIERDEREA INRECUPERABILĂ a conținutului clientului. Următoarele practici sunt obligatorii pentru a preveni o astfel de pierdere:

                                                                                                                                                  Dacă un dezastru face ca implementarea HDS în centrul de date principal să devină indisponibilă, urmați această procedură pentru a eșua manual la centrul de date standby.

                                                                                                                                                  1

                                                                                                                                                  Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.

                                                                                                                                                  2

                                                                                                                                                  După configurarea serverului Syslogd, faceți clic pe Setări avansate

                                                                                                                                                  3

                                                                                                                                                  Pe pagina Setări avansate, adăugați configurația de mai jos sau eliminați passiveMode configurare pentru a activa nodul. Nodul poate gestiona traficul odată ce acesta este configurat.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Completați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit.

                                                                                                                                                  5

                                                                                                                                                  Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare.

                                                                                                                                                  6

                                                                                                                                                  În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări..

                                                                                                                                                  7

                                                                                                                                                  Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Fișier ISO Datastore.


                                                                                                                                                   

                                                                                                                                                  Asigurați-vă că sunt verificate Conectate și Conectate la putere , astfel încât modificările de configurare actualizate să poată intra în vigoare după pornirea nodurilor.

                                                                                                                                                  8

                                                                                                                                                  Activați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute.

                                                                                                                                                  9

                                                                                                                                                  Repetați procesul pentru fiecare nod din centrul de date standby.


                                                                                                                                                   

                                                                                                                                                  Verificați ieșirea syslog pentru a verifica dacă nodurile centrului de date standby nu sunt în mod pasiv. „KMS configurat în mod pasiv” nu trebuie să apară în jurnalele de sistem.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  După eșec, dacă centrul principal de date devine din nou activ, plasați centrul de date în așteptare în modul pasiv, urmând pașii descriși în Configurarea centrului de date în așteptare pentru recuperarea dezastrelor.

                                                                                                                                                  (Opțional) Dezasamblare ISO După configurarea HDS

                                                                                                                                                  Configurația standard HDS rulează cu ISO montat. Dar, unii clienți preferă să nu lase fișierele ISO montate în mod continuu. Puteți demonta fișierul ISO după ce toate nodurile HDS preiau noua configurație.

                                                                                                                                                  Utilizați în continuare fișierele ISO pentru a face modificări de configurare. Când creați un nou ISO sau actualizați un ISO prin Instrumentul de configurare, trebuie să montați ISO actualizat pe toate nodurile HDS. După ce toate nodurile dvs. au preluat modificările de configurare, puteți demonta din nou ISO cu această procedură.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Actualizați toate nodurile HDS la versiunea 2021.01.22.4720 sau o versiune ulterioară.

                                                                                                                                                  1

                                                                                                                                                  Închideți unul dintre nodurile HDS.

                                                                                                                                                  2

                                                                                                                                                  În dispozitivul server vCenter, selectați nodul HDS.

                                                                                                                                                  3

                                                                                                                                                  Alegeți Editați setările > CD/DVD drive și debifați fișierul ISO Datastore.

                                                                                                                                                  4

                                                                                                                                                  Alimentați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 20 de minute.

                                                                                                                                                  5

                                                                                                                                                  Repetați pentru fiecare nod HDS la rândul său.

                                                                                                                                                  Depanarea securității datelor hibride

                                                                                                                                                  Vizualizare alerte și depanare

                                                                                                                                                  O implementare a securității datelor hibride este considerată indisponibilă dacă toate nodurile din cluster sunt inaccesibile sau clusterul funcționează atât de lent încât solicită timp de excludere. Dacă utilizatorii nu pot ajunge la clusterul dvs. de securitate a datelor hibride, aceștia experimentează următoarele simptome:

                                                                                                                                                  • Nu se pot crea spații noi (nu se pot crea chei noi)

                                                                                                                                                  • Mesajele și titlurile spațiului nu pot fi decriptate pentru:

                                                                                                                                                    • Utilizatori noi adăugați într-un spațiu (nu se pot prelua tastele)

                                                                                                                                                    • Utilizatorii existenți dintr-un spațiu care utilizează un client nou (nu pot prelua tastele)

                                                                                                                                                  • Utilizatorii existenți într-un spațiu vor continua să ruleze cu succes atâta timp cât clienții lor au un cache al cheilor de criptare

                                                                                                                                                  Este important să monitorizați în mod corespunzător clusterul de securitate a datelor hibride și să adresați imediat orice alerte pentru a evita perturbarea serviciului.

                                                                                                                                                  Alerte

                                                                                                                                                  Dacă există o problemă cu configurarea securității datelor hibride, Control Hub afișează alerte administratorului organizației și trimite e-mailuri la adresa de e-mail configurată. Alertele acoperă multe scenarii comune.

                                                                                                                                                  Tabelul 1. Probleme comune și pașii pentru a le rezolva

                                                                                                                                                  Alerte

                                                                                                                                                  Acțiune

                                                                                                                                                  Eșecul accesului la baza de date locală.

                                                                                                                                                  Verificați erorile bazei de date sau problemele de rețea locale.

                                                                                                                                                  Eșecul conexiunii la baza de date locală.

                                                                                                                                                  Verificați dacă serverul bazei de date este disponibil, iar acreditările contului de serviciu corespunzător au fost utilizate în configurația nodului.

                                                                                                                                                  Eșecul accesului la servicii în cloud.

                                                                                                                                                  Verificați dacă nodurile pot accesa serverele Webex astfel cum sunt specificate în cerințele de conectivitate externă.

                                                                                                                                                  Reînnoirea înregistrării serviciului în cloud.

                                                                                                                                                  S-a renunțat la înscrierea în serviciile cloud. Reînnoirea înregistrării este în curs.

                                                                                                                                                  Înscrierea în serviciul Cloud a scăzut.

                                                                                                                                                  Înscrierea la serviciile cloud s-a încheiat. Serviciul se închide.

                                                                                                                                                  Serviciul nu este încă activat.

                                                                                                                                                  Activați un proces sau finalizați mutarea procesului la producție.

                                                                                                                                                  Domeniul configurat nu corespunde certificatului serverului.

                                                                                                                                                  Asigurați-vă că certificatul serverului dvs. corespunde domeniului de activare a serviciului configurat.

                                                                                                                                                  Cauza cea mai probabilă este că certificatul CN a fost modificat recent și este acum diferit de CN care a fost utilizat în timpul configurării inițiale.

                                                                                                                                                  Nu s-a reușit autentificarea la serviciile cloud.

                                                                                                                                                  Verificați acuratețea și posibila expirare a acreditărilor contului de serviciu.

                                                                                                                                                  Nu s-a reușit deschiderea fișierului local de keystore.

                                                                                                                                                  Verificați integritatea și precizia parolei în fișierul de keystore local.

                                                                                                                                                  Certificatul serverului local este nevalid.

                                                                                                                                                  Verificați data de expirare a certificatului serverului și confirmați că acesta a fost eliberat de o autoritate de certificare de încredere.

                                                                                                                                                  Nu se pot posta măsurători.

                                                                                                                                                  Verificați accesul la rețeaua locală la serviciile cloud externe.

                                                                                                                                                  directorul /media/configdrive/hds nu există.

                                                                                                                                                  Verificați configurația de montare ISO pe gazda virtuală. Verificați dacă fișierul ISO există, dacă este configurat să fie montat pe repornire și dacă se montează cu succes.

                                                                                                                                                  Depanarea securității datelor hibride

                                                                                                                                                  Utilizați următoarele orientări generale atunci când depanați problemele legate de securitatea datelor hibride.
                                                                                                                                                  1

                                                                                                                                                  Revizuiți Control Hub pentru orice alerte și remediați orice elemente pe care le găsiți acolo.

                                                                                                                                                  2

                                                                                                                                                  Revizuiți ieșirea serverului syslog pentru activitatea din implementarea securității datelor hibride.

                                                                                                                                                  3

                                                                                                                                                  Contactați asistența Cisco.

                                                                                                                                                  Alte note

                                                                                                                                                  Probleme cunoscute pentru securitatea datelor hibride

                                                                                                                                                  • Dacă închideți clusterul de securitate a datelor hibride (prin ștergerea acestuia în Control Hub sau prin închiderea tuturor nodurilor), pierdeți fișierul ISO de configurare sau pierdeți accesul la baza de date Keystore, utilizatorii aplicației Webex nu mai pot utiliza spații din lista lor de persoane care au fost create cu tastele din KMS. Acest lucru este valabil atât pentru operațiunile de încercare, cât și pentru operațiunile de producție. În prezent, nu avem un loc de muncă sau o soluție pentru această problemă și vă solicităm să nu închideți serviciile HDS odată ce acestea gestionează conturile de utilizator active.

                                                                                                                                                  • Un client care are o conexiune ECDH existentă la un KMS menține acea conexiune pentru o perioadă de timp (probabil o oră). Atunci când un utilizator devine membru al unui proces de securitate a datelor hibride, clientul utilizatorului continuă să utilizeze conexiunea ECDH existentă până la expirarea acesteia. Alternativ, utilizatorul se poate deconecta și reconecta la aplicația Aplicației Webex pentru a actualiza locația pe care aplicația o contactează pentru cheile de criptare.

                                                                                                                                                    Același comportament apare atunci când mutați un proces la producție pentru organizație. Toți utilizatorii non-trial cu conexiuni ECDH existente la serviciile anterioare de securitate a datelor vor continua să utilizeze aceste servicii până când conexiunea ECDH este renegociată (prin expirare sau prin deconectare și reconectare).

                                                                                                                                                  Utilizați OpenSSL pentru a genera un fișier PKCS12

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • OpenSSL este un instrument care poate fi folosit pentru a face fișierul PKCS12 în formatul adecvat pentru încărcare în instrumentul de configurare HDS. Există alte modalități de a face acest lucru, și nu sprijinim sau promovăm un mod peste altul.

                                                                                                                                                  • Dacă alegeți să utilizați OpenSSL, oferim această procedură ca ghid pentru a vă ajuta să creați un fișier care îndeplinește cerințele certificatului X.509 din X.509 Cerințe de certificat. Înțelegeți aceste cerințe înainte de a continua.

                                                                                                                                                  • Instalați OpenSSL într-un mediu acceptat. Consultați https://www.openssl.org pentru software și documentație.

                                                                                                                                                  • Creați o tastă privată.

                                                                                                                                                  • Începeți această procedură atunci când primiți certificatul de server de la Autoritatea dvs. de certificare (CA).

                                                                                                                                                  1

                                                                                                                                                  Când primiți certificatul de server de la CA, salvați-l ca hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Afișați certificatul ca text și verificați detaliile.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilizați un editor de text pentru a crea un fișier de pachet de certificate numit hdsnode-bundle.pem. Fișierul pachet trebuie să includă certificatul serverului, orice certificate CA intermediare și certificatele CA rădăcină, în formatul de mai jos:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Creați fișierul .p12 cu numele prietenos kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Verificați detaliile certificatului serverului.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Introduceți o parolă la solicitarea de criptare a cheii private, astfel încât aceasta să fie listată în ieșire. Apoi, verificați dacă cheia privată și primul certificat includ liniile friendlyName: kms-private-key.

                                                                                                                                                    Exemplu:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Reveniți la Completarea Condițiilor prealabile pentru securitatea datelor hibride. Veţi utiliza hdsnode.p12 fișier și parola pe care ați setat-o pentru acesta, în Creați un ISO de configurare pentru gazdele HDS.


                                                                                                                                                   

                                                                                                                                                  Puteți reutiliza aceste fișiere pentru a solicita un nou certificat atunci când certificatul original expiră.

                                                                                                                                                  Trafic între nodurile HDS și cloud

                                                                                                                                                  Trafic colecție metrică de ieșire

                                                                                                                                                  Nodurile de securitate a datelor hibride trimit anumite măsurători în cloudul Webex. Acestea includ măsurători de sistem pentru înălțimea maximă, înălțimea utilizată, sarcina CPU și numărul de fire; măsurători pe fire sincrone și asincronice; măsurători pe alerte care implică un prag de conexiuni de criptare, latență sau o lungime a cozii de solicitare; măsurători pe placa de date; și măsurători de conexiune de criptare. Nodurile trimit material cheie criptat printr-un canal în afara benzii (separat de solicitare).

                                                                                                                                                  Trafic de intrare

                                                                                                                                                  Nodurile de securitate a datelor hibride primesc următoarele tipuri de trafic de intrare din cloudul Webex:

                                                                                                                                                  • Cereri de criptare de la clienți, care sunt rutate de serviciul de criptare

                                                                                                                                                  • Actualizări la software-ul nodului

                                                                                                                                                  Configurați proxy-urile Squid pentru securitatea datelor hibride

                                                                                                                                                  Șoseta web nu se poate Conecta Prin Proxy Squid

                                                                                                                                                  Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea websocket ( wss:) conexiuni care necesită Securitatea datelor hibride. Aceste secțiuni oferă îndrumări cu privire la modul de configurare a diferitelor versiuni de Squid pentru a ignora wss: trafic pentru buna funcționare a serviciilor.

                                                                                                                                                  Squid 4 și 5

                                                                                                                                                  Adăugați on_unsupported_protocol directivă privind squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Am testat cu succes Securitatea datelor hibride cu următoarele reguli adăugate la squid.conf. Aceste reguli se pot modifica pe măsură ce dezvoltăm caracteristici și actualizăm cloudul Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Prefață

                                                                                                                                                  Informații noi și modificate

                                                                                                                                                  Dată

                                                                                                                                                  Modificări efectuate

                                                                                                                                                  20 octombrie 2023

                                                                                                                                                  07 august 2023

                                                                                                                                                  23 mai 2023

                                                                                                                                                  06 decembrie 2022

                                                                                                                                                  23 noiembrie 2022

                                                                                                                                                  octombrie 13, 2021

                                                                                                                                                  Docker Desktop trebuie să ruleze un program de configurare înainte de a putea instala noduri HDS. Consultați Cerințele de desktop ale Docker.

                                                                                                                                                  iunie 24, 2021

                                                                                                                                                  Rețineți că puteți reutiliza fișierul cu tastatură privată și CSR pentru a solicita un alt certificat. Consultați Utilizarea OpenSSL pentru a genera un fișier PKCS12 pentru detalii.

                                                                                                                                                  30 aprilie 2021

                                                                                                                                                  A schimbat cerința VM pentru spațiul local pe hard disk la 30 GB. Consultați Cerințele Gazdei Virtuale pentru detalii.

                                                                                                                                                  februarie 24, 2021

                                                                                                                                                  Instrumentul de configurare HDS poate rula acum în spatele unui proxy. Consultați Creați un ISO de configurare pentru gazdele HDS pentru detalii.

                                                                                                                                                  februarie 2, 2021

                                                                                                                                                  HDS poate rula acum fără un fișier ISO montat. Consultați (Opțional) Dezasamblarea ISO după configurarea HDS pentru detalii.

                                                                                                                                                  11 ianuarie 2021

                                                                                                                                                  Au fost adăugate informații despre instrumentul de configurare HDS și proxy-uri pentru a crea un ISO de configurare pentru gazdele HDS.

                                                                                                                                                  13 octombrie 2020

                                                                                                                                                  Fișiere de instalare Descărcare actualizate.

                                                                                                                                                  8 octombrie 2020

                                                                                                                                                  Actualizat Creați un ISO de configurare pentru gazdele HDS și modificați configurația nodului cu comenzi pentru mediile FedRAMP.

                                                                                                                                                  14 august 2020

                                                                                                                                                  Actualizat Creați un ISO de configurare pentru gazdele HDS și modificați configurația nodului cu modificări ale procesului de conectare.

                                                                                                                                                  5 august 2020

                                                                                                                                                  Actualizat Testați implementarea securității datelor hibride pentru modificări ale mesajelor jurnal.

                                                                                                                                                  S-au actualizat Cerințele Gazdei Virtuale pentru a elimina numărul maxim de gazde.

                                                                                                                                                  16 iunie 2020

                                                                                                                                                  Actualizat Eliminați un nod pentru modificările din interfața cu utilizatorul Control Hub.

                                                                                                                                                  4 iunie 2020

                                                                                                                                                  Actualizat Creați un ISO de configurare pentru gazdele HDS pentru modificările din Setările avansate pe care le-ați putea seta.

                                                                                                                                                  29 mai 2020

                                                                                                                                                  Actualizat Creați un ISO de configurare pentru gazdele HDS pentru a afișa puteți utiliza, de asemenea, TLS cu baze de date SQL Server, modificări de interfață de utilizator și alte clarificări.

                                                                                                                                                  5 mai 2020

                                                                                                                                                  Actualizat Cerințele Gazdei Virtuale pentru a afișa noua cerință a ESXi 6.5.

                                                                                                                                                  21 aprilie 2020

                                                                                                                                                  Actualizat Cerințe de conectivitate externă cu noi gazde CI din America.

                                                                                                                                                  Aprilie 1, 2020

                                                                                                                                                  Actualizat Cerințele de conectivitate externă cu informații despre gazdele regionale CI.

                                                                                                                                                  20 februarie 2020Actualizat Creați un ISO de configurare pentru gazdele HDS cu informații despre noul ecran opțional de setări avansate din instrumentul de configurare HDS.
                                                                                                                                                  4 februarie 2020Cerințe server proxy actualizate.
                                                                                                                                                  16 decembrie 2019A clarificat cerința ca modul de rezoluție DNS extern blocat să funcționeze în cerințele serverului proxy.
                                                                                                                                                  noiembrie 19, 2019

                                                                                                                                                  Au fost adăugate informații despre modul de rezoluție DNS extern blocat în următoarele secțiuni:

                                                                                                                                                  8 noiembrie 2019

                                                                                                                                                  Acum puteți configura setările de rețea pentru un nod în timp ce implementați OVA mai degrabă decât ulterior.

                                                                                                                                                  Actualizat în consecință următoarele secțiuni:


                                                                                                                                                   

                                                                                                                                                  Opțiunea de configurare a setărilor de rețea în timpul implementării OVA a fost testată cu ESXi 6.5. Este posibil ca opțiunea să nu fie disponibilă în versiunile anterioare.

                                                                                                                                                  6 septembrie 2019

                                                                                                                                                  S-a adăugat standardul SQL Server la cerințele serverului bazei de date.

                                                                                                                                                  august 29, 2019A fost adăugată Configurarea proxy-urilor Squid pentru securitatea datelor hibride , cu îndrumări privind configurarea proxy-urilor Squid pentru a ignora traficul websocket pentru funcționarea corespunzătoare.
                                                                                                                                                  august 20, 2019

                                                                                                                                                  Secțiuni adăugate și actualizate pentru a acoperi asistența proxy pentru comunicațiile nodului de securitate a datelor hibride în cloudul Webex.

                                                                                                                                                  Pentru a accesa doar conținutul de asistență proxy pentru o implementare existentă, consultați Asistența proxy pentru securitatea datelor hibride și articolul de ajutor Webex Video Mesh .

                                                                                                                                                  13 iunie 2019S-a actualizat Trial to Production Task Flow cu un memento pentru a sincroniza obiectul grupului HdsTrialGroup înainte de a începe un trial dacă organizația dvs. utilizează sincronizarea directorului.
                                                                                                                                                  6 martie 2019
                                                                                                                                                  februarie 28, 2019
                                                                                                                                                  • A corectat cantitatea de spațiu pe hard disk local pe server pe care ar trebui să o setați deoparte atunci când pregătiți gazdele virtuale care devin nodurile de securitate a datelor hibride, de la 50-GB la 20-GB, pentru a reflecta dimensiunea discului pe care OVA îl creează.

                                                                                                                                                  26 februarie 2019
                                                                                                                                                  • Nodurile de securitate a datelor hibride acceptă acum conexiuni criptate cu servere de bază de date PostgreSQL și conexiuni criptate de conectare la un server syslog TLS capabil. Actualizat Creați un ISO de configurare pentru gazdele HDS cu instrucțiuni.

                                                                                                                                                  • URL-urile de destinație au fost eliminate din tabelul „Cerințe de conectivitate la internet pentru nodul de securitate a datelor hibride VMs”. Tabelul se referă acum la lista menținută în tabelul „URL-uri suplimentare pentru serviciile hibride Webex Teams” din Cerințele rețelei pentru serviciile Webex Teams.

                                                                                                                                                  ianuarie 24, 2019

                                                                                                                                                  • Securitatea datelor hibride acceptă acum Microsoft SQL Server ca bază de date. SQL Server întotdeauna activat (întotdeauna pe clusterele de eșec și întotdeauna pe grupurile de disponibilitate) este acceptat de driverele JDBC care sunt utilizate în securitatea datelor hibride. Conținut adăugat legat de implementarea cu SQL Server.


                                                                                                                                                     

                                                                                                                                                    Asistența pentru serverul Microsoft SQL este destinată numai noilor implementări ale securității datelor hibride. În prezent, nu acceptăm migrarea datelor de la PostgreSQL la serverul Microsoft SQL în cadrul unei implementări existente.

                                                                                                                                                  noiembrie 5, 2018
                                                                                                                                                  19 octombrie 2018

                                                                                                                                                  31 iulie 2018

                                                                                                                                                  21 mai 2018

                                                                                                                                                  Terminologia modificată pentru a reflecta rebranding-ul Cisco Spark:

                                                                                                                                                  • Securitatea datelor hibride Cisco Spark este acum Securitatea datelor hibride.

                                                                                                                                                  • Aplicația Cisco Spark este acum aplicația Webex App.

                                                                                                                                                  • Cisco Collaboraton Cloud este acum cloudul Webex.

                                                                                                                                                  11 aprilie 2018
                                                                                                                                                  22 februarie 2018
                                                                                                                                                  februarie 15, 2018
                                                                                                                                                  • În tabelul X.509 Cerințe privind certificatul , s-a specificat că certificatul nu poate fi un certificat de carte de vizită și că KMS utilizează domeniul CN, nu orice domeniu definit în câmpurile SAN x.509v3.

                                                                                                                                                  ianuarie 18, 2018

                                                                                                                                                  noiembrie 2, 2017

                                                                                                                                                  • Sincronizarea directorului clarificată a HdsTrialGroup.

                                                                                                                                                  • Fix instrucțiuni pentru încărcarea fișierului de configurare ISO pentru montare la nodurile VM.

                                                                                                                                                  18 august 2017

                                                                                                                                                  Prima publicare

                                                                                                                                                  Începeți cu securitatea datelor hibride

                                                                                                                                                  Prezentare generală a securității datelor hibride

                                                                                                                                                  Începând cu prima zi, securitatea datelor a fost accentul principal în proiectarea Aplicației Webex. Piatra de temelie a acestei securități este criptarea integrală a conținutului, activată de clienții Aplicației Webex care interacționează cu Serviciul de gestionare a cheilor (KMS). KMS este responsabil pentru crearea și gestionarea cheilor criptografice pe care clienții le utilizează pentru a cripta și decripta dinamic mesajele și fișierele.

                                                                                                                                                  În mod implicit, toți clienții Aplicației Webex primesc criptare end-to-end cu chei dinamice stocate în KMS cloud, în domeniul de securitate al Cisco. Hybrid Data Security mută KMS și alte funcții legate de securitate în centrul de date al întreprinderii dvs., deci nimeni în afară de dvs. nu deține cheile conținutului dvs. criptat.

                                                                                                                                                  Arhitectură Realm de securitate

                                                                                                                                                  Arhitectura cloud Webex separă diferite tipuri de servicii în domenii separate sau domenii de încredere, după cum este descris mai jos.

                                                                                                                                                  Domenii de separare (fără securitate hibridă a datelor)

                                                                                                                                                  Pentru a înțelege în continuare Securitatea datelor hibride, să ne uităm mai întâi la acest caz cloud pur, în care Cisco oferă toate funcțiile din domeniile sale cloud. Serviciul de identitate, singurul loc în care utilizatorii pot fi direct corelați cu informațiile lor personale, cum ar fi adresa de e-mail, este separat în mod logic și fizic de domeniul de securitate din centrul de date B. Ambele sunt, la rândul lor, separate de domeniul în care conținutul criptat este stocat în cele din urmă, în centrul de date C.

                                                                                                                                                  În această diagramă, clientul este aplicația Webex care rulează pe laptopul unui utilizator și s-a autentificat cu serviciul de identitate. Când utilizatorul compune un mesaj pentru a trimite într-un spațiu, au loc următorii pași:

                                                                                                                                                  1. Clientul stabilește o conexiune securizată cu serviciul de gestionare a cheilor (KMS), apoi solicită o cheie pentru a cripta mesajul. Conexiunea securizată utilizează ECDH, iar KMS criptează cheia utilizând o cheie principală AES-256.

                                                                                                                                                  2. Mesajul este criptat înainte de a părăsi clientul. Clientul îl trimite la serviciul de indexare, care creează indexuri de căutare criptate pentru a ajuta în căutările viitoare pentru conținut.

                                                                                                                                                  3. Mesajul criptat este trimis serviciului de conformitate pentru verificări de conformitate.

                                                                                                                                                  4. Mesajul criptat este stocat în domeniul de stocare.

                                                                                                                                                  Când implementați Securitatea datelor hibride, mutați funcțiile domeniului de securitate (KMS, indexare și conformitate) în centrul dvs. de date local. Celelalte servicii cloud care alcătuiesc Webex (inclusiv stocarea identității și a conținutului) rămân în domeniile Cisco.

                                                                                                                                                  Colaborarea cu Alte Organizații

                                                                                                                                                  Utilizatorii din organizația dvs. pot utiliza în mod regulat Aplicația Webex pentru a colabora cu participanți externi din alte organizații. Atunci când unul dintre utilizatorii dvs. solicită o cheie pentru un spațiu care este deținut de organizația dvs. (deoarece a fost creat de unul dintre utilizatorii dvs.), KMS trimite cheia către client printr-un canal ECDH securizat. Cu toate acestea, atunci când o altă organizație deține cheia pentru spațiu, KMS-ul direcționează cererea către cloudul Webex printr-un canal ECDH separat pentru a obține cheia de la KMS-ul corespunzător, apoi returnează cheia către utilizatorul dvs. pe canalul original.

                                                                                                                                                  Serviciul KMS care rulează pe Org A validează conexiunile la KMS în alte organizații utilizând x.509 certificate PKI. Consultați Pregătiți-vă mediul pentru detalii despre generarea unui certificat x.509 pe care să-l utilizați cu implementarea securității datelor hibride.

                                                                                                                                                  Așteptări pentru implementarea securității datelor hibride

                                                                                                                                                  O implementare a securității datelor hibride necesită un angajament semnificativ din partea clienților și o conștientizare a riscurilor pe care le implică deținerea cheilor de criptare.

                                                                                                                                                  Pentru a implementa securitatea datelor hibride, trebuie să furnizați:

                                                                                                                                                  Pierderea completă a configurației ISO pe care o construiți pentru securitatea datelor hibride sau a bazei de date pe care o furnizați va duce la pierderea tastelor. Pierderea tastelor împiedică utilizatorii să decripteze conținutul spațiului și alte date criptate în Aplicația Webex. Dacă se întâmplă acest lucru, puteți construi o nouă implementare, dar numai conținut nou va fi vizibil. Pentru a evita pierderea accesului la date, trebuie:

                                                                                                                                                  • Gestionați backup-ul și recuperarea bazei de date și configurația ISO.

                                                                                                                                                  • Fiți pregătiți să efectuați recuperarea rapidă a dezastrelor dacă apare o catastrofă, cum ar fi defectarea discului de bază de date sau dezastrul centrului de date.


                                                                                                                                                   

                                                                                                                                                  Nu există niciun mecanism pentru a muta cheile înapoi în Cloud după o implementare HDS.

                                                                                                                                                  Proces de configurare la nivel înalt

                                                                                                                                                  Acest document acoperă configurarea și gestionarea implementării securității datelor hibride:

                                                                                                                                                  • Configurați securitatea datelor hibride—Aceasta include pregătirea infrastructurii necesare și instalarea software-ului de securitate a datelor hibride, testarea implementării dvs. cu un subset de utilizatori în modul de încercare și, odată ce testarea dvs. este finalizată, trecerea la producție. Aceasta convertește întreaga organizație pentru a utiliza clusterul dvs. de securitate a datelor hibride pentru funcțiile de securitate.

                                                                                                                                                    Fazele de configurare, încercare și producție sunt acoperite în detaliu în următoarele trei capitole.

                                                                                                                                                  • Mențineți implementarea securității datelor hibride—cloud-ul Webex oferă automat upgrade-uri în curs. Departamentul dvs. IT poate oferi un singur nivel de asistență pentru această implementare și poate angaja asistență Cisco după cum este necesar. Puteți utiliza notificări pe ecran și puteți configura alerte pe bază de e-mail în Control Hub.

                                                                                                                                                  • Înțelegeți alertele comune, pașii de depanare și problemele cunoscute—Dacă întâmpinați probleme la implementarea sau utilizarea securității datelor hibride, ultimul capitol al acestui ghid și apendicele Probleme cunoscute vă pot ajuta să determinați și să remediați problema.

                                                                                                                                                  Model de implementare a securității datelor hibride

                                                                                                                                                  În cadrul centrului dvs. de date al întreprinderii, implementați Securitatea datelor hibride ca un singur grup de noduri pe gazde virtuale separate. Nodurile comunică cu cloudul Webex prin intermediul unor prize web securizate și HTTP securizat.

                                                                                                                                                  În timpul procesului de instalare, vă oferim fișierul OVA pentru a configura dispozitivul virtual pe VMs pe care le furnizați. Utilizați instrumentul de configurare HDS pentru a crea un fișier ISO de configurare a clusterului personalizat pe care îl montați pe fiecare nod. Clusterul de securitate a datelor hibride utilizează serverul Syslogd furnizat și baza de date PostgreSQL sau Microsoft SQL Server. (Configurați detaliile conexiunii Syslogd și a bazei de date în Instrumentul de configurare HDS.)

                                                                                                                                                  Model de implementare a securității datelor hibride

                                                                                                                                                  Numărul minim de noduri pe care le puteți avea într-un cluster este de două. Vă recomandăm cel puțin trei, și puteți avea până la cinci. Având mai multe noduri asigură faptul că serviciul nu este întrerupt în timpul unui upgrade de software sau al unei alte activități de întreținere pe un nod. (Cloudul Webex actualizează un singur nod la un moment dat.)

                                                                                                                                                  Toate nodurile dintr-un cluster accesează aceeași bază de date cu tastatură și înregistrează activitatea pe același server syslog. Nodurile în sine sunt apatride și se ocupă de solicitările cheie în modul rotund-robin, așa cum este direcționat de cloud.

                                                                                                                                                  Nodurile devin active atunci când le înregistrați în Control Hub. Pentru a scoate un nod individual din serviciu, îl puteți desînregistra și apoi îl puteți reînregistra, dacă este necesar.

                                                                                                                                                  Sprijinim doar un singur cluster per organizație.

                                                                                                                                                  Mod de încercare pentru securitatea datelor hibride

                                                                                                                                                  După configurarea unei implementări de securitate a datelor hibride, încercați mai întâi cu un set de utilizatori pilot. În timpul perioadei de încercare, acești utilizatori utilizează domeniul local de securitate a datelor hibride pentru cheile de criptare și alte servicii din domeniul de securitate. Ceilalți utilizatori continuă să utilizeze domeniul de securitate cloud.

                                                                                                                                                  Dacă decideți să nu continuați implementarea în timpul perioadei de încercare și să dezactivați serviciul, utilizatorii-pilot și orice utilizatori cu care au interacționat prin crearea de spații noi în timpul perioadei de încercare vor pierde accesul la mesaje și conținut. Aceștia vor vedea „Acest mesaj nu poate fi decriptat” în aplicația Webex.

                                                                                                                                                  Dacă sunteți mulțumit că implementarea dvs. funcționează bine pentru utilizatorii de încercare și sunteți gata să extindeți Securitatea datelor hibride la toți utilizatorii dvs., mutați implementarea în producție. Utilizatorii pilot continuă să aibă acces la cheile care au fost utilizate în timpul încercării. Cu toate acestea, nu se poate muta înapoi și înainte între modul de producție și procesul inițial. Dacă trebuie să dezactivați serviciul, cum ar fi pentru a efectua recuperarea dezastrelor, atunci când reactivați, trebuie să începeți o nouă încercare și să configurați setul de utilizatori pilot pentru noua încercare înainte de a reveni la modul de producție. Dacă utilizatorii păstrează accesul la date în acest moment depinde de faptul dacă ați menținut cu succes copii de rezervă ale stocului de date cheie și ale fișierului de configurare ISO pentru nodurile de securitate a datelor hibride din cluster.

                                                                                                                                                  Centrul de date standby pentru recuperarea dezastrelor

                                                                                                                                                  În timpul implementării, ați configurat un centru de date standby securizat. În cazul unui dezastru al unui centru de date, puteți eșua manual implementarea în centrul de date standby.

                                                                                                                                                  Înainte de a eșua, Centrul de date A are noduri HDS active și baza de date PostgreSQL primară sau Microsoft SQL Server, în timp ce B are o copie a fișierului ISO cu configurații suplimentare, VMs care sunt înregistrate în organizație și o bază de date standby. După eșec, Centrul de date B are noduri HDS active și baza de date principală, în timp ce A are VMs neînregistrate și o copie a fișierului ISO, iar baza de date este în modul standby.
                                                                                                                                                  Eşec manual la centrul de date standby

                                                                                                                                                  Bazele de date ale centrelor de date active și standby sunt în sincronizare unele cu altele, ceea ce va reduce la minimum timpul necesar pentru a efectua eșecul. Fișierul ISO al centrului de date standby este actualizat cu configurații suplimentare care asigură că nodurile sunt înregistrate în organizație, dar nu vor gestiona traficul. Prin urmare, nodurile centrului de date standby rămân întotdeauna la zi cu cea mai recentă versiune de software HDS.


                                                                                                                                                   

                                                                                                                                                  Nodurile active de securitate a datelor hibride trebuie să fie întotdeauna în același centru de date ca serverul de bază de date activă.

                                                                                                                                                  Configurarea Centrului de date standby pentru recuperarea dezastrelor

                                                                                                                                                  Urmați pașii de mai jos pentru a configura fișierul ISO al centrului de date standby:

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Centrul de date standby trebuie să reflecte mediul de producție al VMs și o bază de date PostgreSQL sau Microsoft SQL Server de rezervă. De exemplu, dacă producția are 3 VMs care rulează noduri HDS, mediul de rezervă ar trebui să aibă 3 VMs. (Consultați Centrul de date standby pentru recuperarea dezastrelor pentru o prezentare generală a acestui model de eșec.)

                                                                                                                                                  • Asigurați-vă că sincronizarea bazei de date este activată între baza de date a nodurilor de cluster active și pasive.

                                                                                                                                                  1

                                                                                                                                                  Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.


                                                                                                                                                   

                                                                                                                                                  Fișierul ISO trebuie să fie o copie a fișierului ISO original al centrului de date principal pe care urmează să fie făcute următoarele actualizări de configurare.

                                                                                                                                                  2

                                                                                                                                                  După configurarea serverului Syslogd, faceți clic pe Setări avansate

                                                                                                                                                  3

                                                                                                                                                  Pe pagina Setări avansate , adăugați configurația de mai jos pentru a plasa nodul în modul pasiv. În acest mod, nodul va fi înregistrat în organizație și conectat la cloud, dar nu va gestiona niciun trafic.

                                                                                                                                                   mod pasiveMod: „adevărat” 

                                                                                                                                                  4

                                                                                                                                                  Completați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit.

                                                                                                                                                  5

                                                                                                                                                  Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare.

                                                                                                                                                  6

                                                                                                                                                  În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări..

                                                                                                                                                  7

                                                                                                                                                  Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Fișier ISO Datastore.


                                                                                                                                                   

                                                                                                                                                  Asigurați-vă că sunt verificate Conectate și Conectate la putere , astfel încât modificările de configurare actualizate să poată intra în vigoare după pornirea nodurilor.

                                                                                                                                                  8

                                                                                                                                                  Activați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute.

                                                                                                                                                  9

                                                                                                                                                  Repetați procesul pentru fiecare nod din centrul de date standby.


                                                                                                                                                   

                                                                                                                                                  Verificați jurnalele pentru a verifica dacă nodurile sunt în mod pasiv. Ar trebui să puteți vizualiza mesajul „KMS configurat în mod pasiv” în jurnalele de sistem.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  După configurarea pasiveMode în fișierul ISO și salvarea acestuia, puteți crea o altă copie a fișierului ISO fără configurația pasiveMode și salvați-l într-o locație sigură. Această copie a fișierului ISO fără pasiveMode configurat poate ajuta într-un proces rapid de eșec în timpul recuperării dezastrelor. Consultați Recuperarea dezastrelor utilizând Centrul de date standby pentru procedura detaliată de nereușită.

                                                                                                                                                  Suport proxy

                                                                                                                                                  Hybrid Data Security acceptă inspectarea explicită, transparentă și proxy-uri care nu inspectează. Puteți lega aceste proxy-uri de implementare, astfel încât să puteți securiza și monitoriza traficul de la întreprindere în cloud. Puteți utiliza o interfață de administrator de platformă pe nodurile pentru gestionarea certificatelor și pentru a verifica starea generală a conectivității după ce ați configurat proxy-ul pe noduri.

                                                                                                                                                  Nodurile hibride de securitate a datelor acceptă următoarele opțiuni proxy:

                                                                                                                                                  • Fără proxy—Implicit dacă nu utilizați configurația de configurare a nodului HDS Trust Store și proxy pentru a integra un proxy. Nu este necesară actualizarea certificatului.

                                                                                                                                                  • Proxy transparent fără inspecție—Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy și nu trebuie să necesite nicio modificare pentru a lucra cu un proxy fără inspecție. Nu este necesară actualizarea certificatului.

                                                                                                                                                  • Tunelare transparentă sau inspecție proxy—Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy. Nu sunt necesare modificări de configurare HTTP sau HTTPS pe noduri. Cu toate acestea, nodurile au nevoie de un certificat rădăcină, astfel încât să aibă încredere în proxy. Proxy-urile de inspectare sunt de obicei utilizate de IT pentru a aplica politici pe care site-urile web pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).

                                                                                                                                                  • Proxy explicit—Cu proxy explicit, spuneți nodurilor HDS ce server proxy și sistem de autentificare trebuie să utilizați. Pentru a configura un proxy explicit, trebuie să introduceți următoarele informații pe fiecare nod:

                                                                                                                                                    1. IP proxy/FQDN—Adresă care poate fi utilizată pentru a ajunge la utilajul proxy.

                                                                                                                                                    2. Portul proxy—Un număr de port pe care proxy-ul îl folosește pentru a asculta traficul proxy.

                                                                                                                                                    3. Proxy Protocol—În funcție de ce acceptă serverul dvs. proxy, alegeți între următoarele protocoale:

                                                                                                                                                      • HTTP - Vizualizează și controlează toate solicitările pe care le trimite clientul.

                                                                                                                                                      • HTTPS - Oferă un canal serverului. Clientul primește și validează certificatul serverului.

                                                                                                                                                    4. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:

                                                                                                                                                      • Niciuna- Nu este necesară autentificarea suplimentară.

                                                                                                                                                        Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.

                                                                                                                                                      • De bază—Utilizat pentru un agent de utilizator HTTP pentru a furniza un nume de utilizator și o parolă atunci când efectuați o solicitare. Utilizează codificarea Base64.

                                                                                                                                                        Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.

                                                                                                                                                        Vă solicită să introduceți numele de utilizator și parola pe fiecare nod.

                                                                                                                                                      • Digest—Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite prin rețea.

                                                                                                                                                        Disponibil numai dacă selectați HTTPS ca protocol proxy.

                                                                                                                                                        Vă solicită să introduceți numele de utilizator și parola pe fiecare nod.

                                                                                                                                                  Exemplu de noduri hibride de securitate a datelor și proxy

                                                                                                                                                  Această diagramă afișează un exemplu de conexiune între securitatea datelor hibride, rețea și un proxy. Pentru opțiunile proxy de inspectare transparente și https explicit inspectare, același certificat rădăcină trebuie să fie instalat pe proxy și pe nodurile hibride de securitate a datelor.

                                                                                                                                                  Modul de rezolvare DNS extern blocat (configurații proxy explicite)

                                                                                                                                                  Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează căutarea DNS și conectivitatea la cloud-ul Cisco Webex. În implementările cu configurații proxy explicite care nu permit rezoluția DNS externă pentru clienții interni, dacă nodul nu poate interoga serverele DNS, acesta intră automat în modul Rezoluție DNS externă blocată. În acest mod, înregistrarea nodului și alte teste de conectivitate proxy pot continua.

                                                                                                                                                  Pregătiți-vă mediul

                                                                                                                                                  Cerințe privind securitatea datelor hibride

                                                                                                                                                  Cerințe de licență Cisco Webex

                                                                                                                                                  Pentru implementarea securității datelor hibride:

                                                                                                                                                  Cerințe Docker Desktop

                                                                                                                                                  Înainte de a instala nodurile HDS, aveți nevoie de Docker Desktop pentru a rula un program de configurare. Docker și-a actualizat recent modelul de licențiere. Este posibil ca organizația să necesite un abonament plătit pentru Docker Desktop. Pentru detalii, consultați postarea de pe blogul Docker, " Docker actualizează și extinde abonamentele noastre de produse".

                                                                                                                                                  X.509 Cerințe privind certificatul

                                                                                                                                                  Lanțul certificatului trebuie să îndeplinească următoarele cerințe:

                                                                                                                                                  Tabelul 1. Cerințe de certificare X.509 pentru implementarea securității datelor hibride

                                                                                                                                                  Obligatoriu

                                                                                                                                                  Detalii

                                                                                                                                                  • Semnată de o autoritate de certificare de încredere (CA)

                                                                                                                                                  În mod implicit, avem încredere în CA-urile din lista Mozilla (cu excepția WoSign și StartCom) la https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Poartă un nume de domeniu comun (CN) care identifică implementarea securității datelor hibride

                                                                                                                                                  • Nu este un certificat de carte de vizită

                                                                                                                                                  CN-ul nu trebuie să fie accesibil sau o gazdă live. Vă recomandăm să utilizați un nume care să reflecte organizația dvs., de exemplu, hds.company.com.

                                                                                                                                                  CN nu trebuie să conțină un * (wildcard).

                                                                                                                                                  CN este utilizat pentru a verifica nodurile de securitate a datelor hibride pentru clienții Aplicației Webex. Toate nodurile de securitate a datelor hibride din clusterul dvs. utilizează același certificat. KMS-ul se identifică utilizând domeniul CN, nu orice domeniu care este definit în câmpurile SAN x.509v3.

                                                                                                                                                  După ce ați înregistrat un nod cu acest certificat, nu acceptăm schimbarea numelui domeniului CN. Alegeți un domeniu care se poate aplica atât implementărilor de încercare, cât și implementărilor de producție.

                                                                                                                                                  • Semnătură non-SHA1

                                                                                                                                                  Software-ul KMS nu acceptă semnăturile SHA1 pentru validarea conexiunilor la KMSs ale altor organizații.

                                                                                                                                                  • Format ca fișier PKCS #12 protejat prin parolă

                                                                                                                                                  • Utilizați numele prietenos al kms-cheie privată pentru a eticheta certificatul, cheia privată și orice certificate intermediare pentru a încărca.

                                                                                                                                                  Puteți utiliza un convertor, cum ar fi OpenSSL pentru a schimba formatul certificatului.

                                                                                                                                                  Va trebui să introduceți parola atunci când rulați Instrumentul de configurare HDS.

                                                                                                                                                  Software-ul KMS nu impune utilizarea cheii sau restricții extinse de utilizare a cheii. Unele autorități de certificare impun aplicarea unor restricții extinse de utilizare a cheilor pentru fiecare certificat, cum ar fi autentificarea serverului. Este în regulă să utilizați autentificarea serverului sau alte setări.

                                                                                                                                                  Cerințe Gazdă virtuală

                                                                                                                                                  Gazdele virtuale pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. au următoarele cerințe:

                                                                                                                                                  • Cel puțin două gazde separate (3 recomandate) plasate în același centru de date securizat

                                                                                                                                                  • VMware ESXi 6.5 (sau mai târziu) instalat și rulează.


                                                                                                                                                     

                                                                                                                                                    Trebuie să faceți upgrade dacă aveți o versiune anterioară a ESXi.

                                                                                                                                                  • Minim 4 vCPU-uri, 8-GB memorie principală, 30-GB spațiu pe hard disk local pe server

                                                                                                                                                  Cerințe server bază de date


                                                                                                                                                   

                                                                                                                                                  Creați o nouă bază de date pentru stocarea cheilor. Nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.

                                                                                                                                                  Există două opțiuni pentru serverul de baze de date. Cerințele pentru fiecare sunt după cum urmează:

                                                                                                                                                  Tabelul 2. Cerințe server bază de date în funcție de tipul de bază de date

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  • PostgreSQL 14, 15 sau 16, instalat și în funcțiune.

                                                                                                                                                  • Server SQL 2016, 2017 sau 2019 (Enterprise sau Standard) instalat.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 necesită pachetul de servicii 2 și actualizarea cumulativă 2 sau mai târziu.

                                                                                                                                                  Minim 8 vCPU-uri, 16-GB memorie principală, suficient spațiu pe hard disk și monitorizare pentru a se asigura că nu este depășit (2-TB recomandat dacă doriți să rulați baza de date pentru o lungă perioadă de timp, fără a fi nevoie de a crește spațiul de stocare)

                                                                                                                                                  Minim 8 vCPU-uri, 16-GB memorie principală, suficient spațiu pe hard disk și monitorizare pentru a se asigura că nu este depășit (2-TB recomandat dacă doriți să rulați baza de date pentru o lungă perioadă de timp, fără a fi nevoie de a crește spațiul de stocare)

                                                                                                                                                  Software-ul HDS instalează în prezent următoarele versiuni de drivere pentru comunicarea cu serverul bazei de date:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  Șofer JDBC Postgres 42.2.5

                                                                                                                                                  Driver JDBC SQL Server 4.6

                                                                                                                                                  Această versiune a driverului acceptă SQL Server întotdeauna activat (întotdeauna pe instanțe de cluster nereușite și întotdeauna pe grupuri de disponibilitate).

                                                                                                                                                  Cerințe suplimentare pentru autentificarea Windows împotriva Microsoft SQL Server

                                                                                                                                                  Dacă doriți ca nodurile HDS să utilizeze autentificarea Windows pentru a obține acces la baza dvs. de date Keystore pe Microsoft SQL Server, atunci aveți nevoie de următoarea configurație în mediul dvs.:

                                                                                                                                                  • Nodurile HDS, infrastructura Active Directory și serverul MS SQL trebuie sincronizate cu NTP.

                                                                                                                                                  • Contul Windows pe care îl furnizați nodurilor HDS trebuie să aibă acces la baza de date citită/scrisă.

                                                                                                                                                  • Serverele DNS pe care le furnizați nodurilor HDS trebuie să poată rezolva Centrul dvs. de distribuție a cheilor (KDC).

                                                                                                                                                  • Puteți înregistra instanța bazei de date HDS pe serverul dvs. Microsoft SQL ca nume principal al serviciului (SPN) în directorul dvs. activ. Consultați Înregistrarea unui nume principal de serviciu pentru conexiunile Kerberos.

                                                                                                                                                    Instrumentul de configurare HDS, lansatorul HDS și KMS local trebuie să utilizeze autentificarea Windows pentru a accesa baza de date Keystore. Ei folosesc detaliile din configurația ISO pentru a construi SPN atunci când solicită acces cu autentificarea Kerberos.

                                                                                                                                                  Cerințe de conectivitate externă

                                                                                                                                                  Configurați firewall-ul pentru a permite următoarea conectivitate pentru aplicațiile HDS:

                                                                                                                                                  Aplicație

                                                                                                                                                  Protocol

                                                                                                                                                  Port

                                                                                                                                                  Direcție din aplicație

                                                                                                                                                  Destinație

                                                                                                                                                  Noduri de securitate a datelor hibride

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS de ieșire și WSS

                                                                                                                                                  • Servere Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Toate gazdele de identitate comune

                                                                                                                                                  • Alte URL-uri care sunt listate pentru securitatea datelor hibride în tabelul URL-uri suplimentare pentru serviciile hibride Webex al cerințelor rețelei pentru serviciile Webex

                                                                                                                                                  Instrument de configurare HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS de ieșire

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Toate gazdele de identitate comune

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Nodurile de securitate a datelor hibride funcționează cu traducerea accesului la rețea (NAT) sau în spatele unui firewall, atâta timp cât NAT sau firewall permite conexiunile de ieșire necesare la destinațiile de domeniu din tabelul precedent. Pentru conexiunile care intră în nodurile de securitate a datelor hibride, niciun port nu trebuie să fie vizibil de pe internet. În cadrul centrului dvs. de date, clienții au nevoie de acces la nodurile de securitate a datelor hibride din porturile TCP 443 și 22, în scopuri administrative.

                                                                                                                                                  URL-urile gazdelor pentru identitatea comună (CI) sunt specifice regiunii. Acestea sunt gazdele actuale CI:

                                                                                                                                                  Regiune

                                                                                                                                                  URL-uri comune ale gazdei pentru identitate

                                                                                                                                                  Țările din America

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Uniunea Europeană

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Cerințe server proxy

                                                                                                                                                  • Acceptăm oficial următoarele soluții proxy care se pot integra cu nodurile hibride de securitate a datelor.

                                                                                                                                                  • Acceptăm următoarele combinații de tip de autentificare pentru proxy-uri explicite:

                                                                                                                                                    • Fără autentificare cu HTTP sau HTTPS

                                                                                                                                                    • Autentificare de bază cu HTTP sau HTTPS

                                                                                                                                                    • Autentificare digest numai cu HTTPS

                                                                                                                                                  • Pentru un proxy de inspectare transparent sau un proxy explicit HTTPS, trebuie să aveți o copie a certificatului rădăcină al proxy-ului. Instrucțiunile de implementare din acest ghid vă spun cum să încărcați copia în depozitele de încredere ale nodurilor hibride de securitate a datelor.

                                                                                                                                                  • Rețeaua care găzduiește nodurile HDS trebuie să fie configurată pentru a forța traficul TCP de ieșire pe portul 443 pentru a ruta prin proxy.

                                                                                                                                                  • Proxy-urile care inspectează traficul web pot interfera cu conexiunile de soclu web. Dacă apare această problemă, ocolirea (nu inspectarea) traficului către wbx2.com și ciscospark.com va rezolva problema.

                                                                                                                                                  Completați cerințele preliminare pentru securitatea datelor hibride

                                                                                                                                                  Utilizați această listă de verificare pentru a vă asigura că sunteți gata să instalați și să configurați clusterul de securitate a datelor hibride.
                                                                                                                                                  1

                                                                                                                                                  Asigurați-vă că organizația dvs. Webex este activată pentru pachetul Pro pentru Cisco Webex Control Hub și obțineți acreditările unui cont cu drepturi depline de administrator al organizației. Contactați-vă partenerul Cisco sau managerul de cont pentru ajutor în acest proces.

                                                                                                                                                  2

                                                                                                                                                  Alegeți un nume de domeniu pentru implementarea HDS (de exemplu, hds.company.com) și obțineți un lanț de certificate care conține un certificat X.509, o cheie privată și orice certificate intermediare. Lanțul certificatului trebuie să îndeplinească cerințele din Cerințele de certificare X.509.

                                                                                                                                                  3

                                                                                                                                                  Pregătiți gazdele virtuale identice pe care le veți configura ca noduri de securitate a datelor hibride în cluster. Aveți nevoie de cel puțin două gazde separate (3 recomandate) plasate în același centru de date securizat, care îndeplinesc cerințele din Cerințele Gazdei Virtuale.

                                                                                                                                                  4

                                                                                                                                                  Pregătiți serverul bazei de date care va acționa ca un magazin de date cheie pentru cluster, în conformitate cu cerințele serverului bazei de date. Serverul bazei de date trebuie să fie plasat în centrul de date securizat cu gazdele virtuale.

                                                                                                                                                  1. Creați o bază de date pentru stocarea cheilor. (Trebuie să creați această bază de date—nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.)

                                                                                                                                                  2. Colectați detaliile pe care nodurile le vor utiliza pentru a comunica cu serverul bazei de date:

                                                                                                                                                    • numele gazdei sau adresa IP (gazda) și portul

                                                                                                                                                    • numele bazei de date (dbname) pentru stocarea cheilor

                                                                                                                                                    • numele de utilizator și parola unui utilizator cu toate privilegiile din baza de date de stocare cu tastatură

                                                                                                                                                  5

                                                                                                                                                  Pentru recuperarea rapidă a dezastrelor, configurați un mediu de rezervă într-un alt centru de date. Mediul de rezervă reflectă mediul de producție al VMs și un server de baze de date de rezervă. De exemplu, dacă producția are 3 VMs care rulează noduri HDS, mediul de rezervă ar trebui să aibă 3 VMs.

                                                                                                                                                  6

                                                                                                                                                  Configurați o gazdă syslog pentru a colecta jurnale de la nodurile din cluster. Aduna adresa de rețea și portul syslog (implicit este UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Creați o politică de rezervă securizată pentru nodurile de securitate a datelor hibride, serverul bazei de date și gazda syslog. Cel puțin, pentru a preveni pierderea de date nerecuperabile, trebuie să salvați baza de date și fișierul ISO de configurare generat pentru nodurile de securitate a datelor hibride.


                                                                                                                                                   

                                                                                                                                                  Deoarece nodurile de securitate a datelor hibride stochează cheile utilizate în criptarea și decriptarea conținutului, nemenținerea unei implementări operaționale va duce la PIERDEREA NERECUPERABILĂ a conținutului respectiv.

                                                                                                                                                  Clienții Aplicației Webex își ascund cheile, astfel încât este posibil ca o întrerupere să nu fie vizibilă imediat, dar va deveni evidentă în timp. În timp ce ieșirile temporare sunt imposibil de prevenit, acestea sunt recuperabile. Cu toate acestea, pierderea completă (fără backup-uri disponibile) a bazei de date sau a fișierului ISO de configurare va duce la date client nerecuperabile. Operatorii nodurilor de securitate a datelor hibride se așteaptă să mențină backup-uri frecvente ale bazei de date și ale fișierului ISO de configurare și să fie pregătiți să reconstruiască centrul de date de securitate a datelor hibride în cazul în care apare un eșec catastrofal.

                                                                                                                                                  8

                                                                                                                                                  Asigurați-vă că configurația firewall-ului dvs. permite conectivitatea pentru nodurile dvs. de securitate a datelor hibride, astfel cum sunt prezentate în cerințele de conectivitate externă.

                                                                                                                                                  9

                                                                                                                                                  Instalați Docker ( https://www.docker.com) pe orice mașină locală care rulează un sistem de operare acceptat (Microsoft Windows 10 Professional sau Enterprise pe 64 de biți sau Mac OSX Yosemite 10.10.3 sau mai sus) cu un browser web care îl poate accesa la http://127.0.0.1:8080.

                                                                                                                                                  Utilizați instanța Docker pentru a descărca și rula Instrumentul de configurare HDS, care construiește informațiile de configurare locale pentru toate nodurile de securitate a datelor hibride. Este posibil ca organizația dvs. să aibă nevoie de o licență Docker Desktop. Consultați Cerințele Docker Desktop pentru mai multe informații.

                                                                                                                                                  Pentru a instala și rula Instrumentul de configurare HDS, utilajul local trebuie să aibă conectivitatea descrisă în Cerințele de conectivitate externă.

                                                                                                                                                  10

                                                                                                                                                  Dacă integrați un proxy cu securitatea datelor hibride, asigurați-vă că îndeplinește Cerințele serverului proxy.

                                                                                                                                                  11

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului, creați un grup în Active Directory numit HdsTrialGroup, și adăugați utilizatori pilot. Grupul de încercare poate avea până la 250 de utilizatori. Obiectul HdsTrialGroup trebuie sincronizat în cloud înainte de a putea iniția o încercare pentru organizația dvs. Pentru a sincroniza un obiect de grup, selectați-l în meniul Configurare > Selecție obiect al Directory Connector. (Pentru instrucțiuni detaliate, consultați Ghidul de implementare pentru Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Tastele pentru un anumit spațiu sunt stabilite de creatorul spațiului. Atunci când selectați utilizatori pilot, rețineți că, dacă decideți să dezactivați definitiv implementarea securității datelor hibride, toți utilizatorii pierd accesul la conținut în spațiile create de utilizatorii pilot. Pierderea devine evidentă imediat ce aplicațiile utilizatorilor își reîmprospătează copiile cache ale conținutului.

                                                                                                                                                  Configurarea unui cluster de securitate a datelor hibride

                                                                                                                                                  Hybrid Data Security Deployment Task Flow

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Pregătiți-vă mediul

                                                                                                                                                  1

                                                                                                                                                  Download Installation Files

                                                                                                                                                  Download the OVA file to your local machine for later use.

                                                                                                                                                  2

                                                                                                                                                  Create a Configuration ISO for the HDS Hosts

                                                                                                                                                  Use the HDS Setup Tool to create an ISO configuration file for the Hybrid Data Security nodes.

                                                                                                                                                  3

                                                                                                                                                  Install the HDS Host OVA

                                                                                                                                                  Create a virtual machine from the OVA file and perform initial configuration, such as network settings.


                                                                                                                                                   

                                                                                                                                                  The option to configure network settings during OVA deployment has been tested with ESXi 6.5. The option may not be available in earlier versions.

                                                                                                                                                  4

                                                                                                                                                  Set up the Hybrid Data Security VM

                                                                                                                                                  Sign in to the VM console and set the sign-in credentials. Configure the network settings for the node if you didn't configure them at the time of OVA deployment.

                                                                                                                                                  5

                                                                                                                                                  Upload and Mount the HDS Configuration ISO

                                                                                                                                                  Configure the VM from the ISO configuration file that you created with the HDS Setup Tool.

                                                                                                                                                  6

                                                                                                                                                  Configurarea nodului HDS pentru integrarea proxy

                                                                                                                                                  If the network environment requires proxy configuration, specify the type of proxy that you will use for the node, and add the proxy certificate to the trust store if needed.

                                                                                                                                                  7

                                                                                                                                                  Register the First Node in the Cluster

                                                                                                                                                  Register the VM with the Cisco Webex cloud as a Hybrid Data Security node.

                                                                                                                                                  8

                                                                                                                                                  Create and Register More Nodes

                                                                                                                                                  Complete the cluster setup.

                                                                                                                                                  9

                                                                                                                                                  Run a Trial and Move to Production (next chapter)

                                                                                                                                                  Until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.

                                                                                                                                                  Download Installation Files

                                                                                                                                                  In this task, you download an OVA file to your machine (not to the servers you set up as Hybrid Data Security nodes). You use this file later in the installation process.
                                                                                                                                                  1

                                                                                                                                                  Sign in to https://admin.webex.com, and then click Services.

                                                                                                                                                  2

                                                                                                                                                  In the Hybrid Services section, find the Hybrid Data Security card, and then click Set up.

                                                                                                                                                  If the card is disabled or you don’t see it, contact your account team or your partner organization. Give them your account number and ask to enable your organization for Hybrid Data Security. To find the account number, click the gear at the top right, next to your organization name.


                                                                                                                                                   

                                                                                                                                                  You can also download the OVA at any time from the Help section on the Settings page. On the Hybrid Data Security card, click Edit settings to open the page. Then, click Download Hybrid Data Security software in the Help section.


                                                                                                                                                   

                                                                                                                                                  Older versions of the software package (OVA) will not be compatible with the latest Hybrid Data Security upgrades. This can result in issues while upgrading the application. Make sure you download the latest version of the OVA file.

                                                                                                                                                  3

                                                                                                                                                  Select No to indicate that you haven’t set up the node yet, and then click Next.

                                                                                                                                                  The OVA file automatically begins to download. Save the file to a location on your machine.
                                                                                                                                                  4

                                                                                                                                                  Optionally, click Open Deployment Guide to check if there’s a later version of this guide available.

                                                                                                                                                  Create a Configuration ISO for the HDS Hosts

                                                                                                                                                  The Hybrid Data Security setup process creates an ISO file. You then use the ISO to configure your Hybrid Data Security host.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi complete de administrator pentru organizația dvs.

                                                                                                                                                    If the HDS Setup tool runs behind a proxy in your environment, provide the proxy settings (server, port, credentials) through Docker environment variables when bringing up the Docker container in step 5. Acest tabel oferă câteva posibile variabile de mediu:

                                                                                                                                                    Descriere

                                                                                                                                                    Variabilă

                                                                                                                                                    Proxy HTTP fără autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS fără autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTP cu autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS cu autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • The configuration ISO file that you generate contains the master key encrypting the PostgreSQL or Microsoft SQL Server database. You need the latest copy of this file anytime you make configuration changes, like these:

                                                                                                                                                    • Database credentials

                                                                                                                                                    • Certificate updates

                                                                                                                                                    • Changes to authorization policy

                                                                                                                                                  • If you plan to encrypt database connections, set up your PostgreSQL or SQL Server deployment for TLS.

                                                                                                                                                  1

                                                                                                                                                  La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                  În medii obișnuite:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  În mediile FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.

                                                                                                                                                  2

                                                                                                                                                  Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  La solicitarea parolei, introduceți acest hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Descărcați cea mai recentă imagine stabilă pentru mediul dvs.:

                                                                                                                                                  În medii obișnuite:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  În mediile FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                  • În medii obișnuite fără un proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • În medii obișnuite cu un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In regular environments with an HTTPS proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • În mediile FedRAMP fără un proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • În mediile FedRAMP cu un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • În mediile FedRAMP cu un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  The Setup tool does not support connecting to localhost through http://localhost:8080. Use http://127.0.0.1:8080 to connect to localhost.

                                                                                                                                                  Use a web browser to go to the localhost, http://127.0.0.1:8080, and enter customer admin username for Control Hub at the prompt.

                                                                                                                                                  The tool uses this first entry of the username to set the proper environment for that account. The tool then displays the standard sign-in prompt.

                                                                                                                                                  7

                                                                                                                                                  When prompted, enter your Control Hub customer admin sign-in credentials, and then click Log in to allow access to the required services for Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  On the Setup Tool overview page, click Get Started.

                                                                                                                                                  9

                                                                                                                                                  On the ISO Import page, you have these options:

                                                                                                                                                  • No—If you’re creating your first HDS node, you don't have an ISO file to upload.
                                                                                                                                                  • Yes—If you already created HDS nodes, then you select your ISO file in the browse and upload it.
                                                                                                                                                  10

                                                                                                                                                  Check that your X.509 certificate meets the requirements in X.509 Certificate Requirements.

                                                                                                                                                  • If you never uploaded a certificate before, upload the X.509 certificate, enter the password, and click Continue.
                                                                                                                                                  • If your certificate is OK, click Continue.
                                                                                                                                                  • If your certificate has expired or you want to replace it, select No for Continue using HDS certificate chain and private key from previous ISO?. Upload a new X.509 certificate, enter the password, and click Continue.
                                                                                                                                                  11

                                                                                                                                                  Enter the database address and account for HDS to access your key datastore:

                                                                                                                                                  1. Select your Database Type (PostgreSQL or Microsoft SQL Server).

                                                                                                                                                    If you choose Microsoft SQL Server, you get an Authentication Type field.

                                                                                                                                                  2. (Microsoft SQL Server only) Select your Authentication Type:

                                                                                                                                                    • Basic Authentication: You need a local SQL Server account name in the Username field.

                                                                                                                                                    • Windows Authentication: You need a Windows account in the format username@DOMAIN in the Username field.

                                                                                                                                                  3. Enter the database server address in the form <hostname>:<port> or <IP-address>:<port>.

                                                                                                                                                    Exemplu:
                                                                                                                                                    dbhost.example.org:1433 or 198.51.100.17:1433

                                                                                                                                                    You can use an IP address for basic authentication, if the nodes can't use DNS to resolve the hostname.

                                                                                                                                                    If you are using Windows authentication, you must enter a Fully Qualified Domain Name in the format dbhost.example.org:1433

                                                                                                                                                  4. Enter the Database Name.

                                                                                                                                                  5. Enter the Username and Password of a user with all privileges on the key storage database.

                                                                                                                                                  12

                                                                                                                                                  Select a TLS Database Connection Mode:

                                                                                                                                                  Mod

                                                                                                                                                  Descriere

                                                                                                                                                  Prefer TLS (default option)

                                                                                                                                                  Nodurile HDS nu necesită TLS pentru a se conecta la serverul de baze de date. If you enable TLS on the database server, the nodes attempt an encrypted connection.

                                                                                                                                                  Necesită TLS

                                                                                                                                                  Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS.

                                                                                                                                                  Solicitați TLS și verificați semnatarul certificatului


                                                                                                                                                   

                                                                                                                                                  This mode isn’t applicable for SQL Server databases.

                                                                                                                                                  • Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS.

                                                                                                                                                  • After establishing a TLS connection, the node compares the signer of the certificate from the database server to the certificate authority in the Database root certificate. Dacă nu se potrivesc, nodul scade conexiunea.

                                                                                                                                                  Utilizați controlul certificat rădăcină bază de date sub lista verticală pentru a încărca certificatul rădăcină pentru această opțiune.

                                                                                                                                                  Solicitați TLS și verificați semnatarul certificatului și numele de gazdă

                                                                                                                                                  • Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS.

                                                                                                                                                  • After establishing a TLS connection, the node compares the signer of the certificate from the database server to the certificate authority in the Database root certificate. Dacă nu se potrivesc, nodul scade conexiunea.

                                                                                                                                                  • The nodes also verify that the hostname in the server certificate matches the hostname in the Database host and port field. Numele trebuie să se potrivească exact sau nodul scade conexiunea.

                                                                                                                                                  Utilizați controlul certificat rădăcină bază de date sub lista verticală pentru a încărca certificatul rădăcină pentru această opțiune.

                                                                                                                                                  When you upload the root certificate (if necessary) and click Continue, the HDS Setup Tool tests the TLS connection to the database server. Instrumentul verifică, de asemenea, semnatarul certificatului și numele de gazdă, dacă este cazul. Dacă un test nu reușește, instrumentul afișează un mesaj de eroare care descrie problema. Puteți alege dacă să ignorați eroarea și să continuați cu configurarea. (Because of connectivity differences, the HDS nodes might be able to establish the TLS connection even if the HDS Setup Tool machine can't successfully test it.)

                                                                                                                                                  13

                                                                                                                                                  On the System Logs page, configure your Syslogd server:

                                                                                                                                                  1. Enter the syslog server URL.

                                                                                                                                                    If the server isn’t DNS-resolvable from the nodes for your HDS cluster, use an IP address in the URL.

                                                                                                                                                    Exemplu:
                                                                                                                                                    udp://10.92.43.23:514 indicates logging to Syslogd host 10.92.43.23 on UDP port 514.
                                                                                                                                                  2. If you set up your server to use TLS encryption, check Is your syslog server configured for SSL encryption?.

                                                                                                                                                    If you check this check box, make sure you enter a TCP URL such as tcp://10.92.43.23:514.

                                                                                                                                                  3. From the Choose syslog record termination drop-down, choose the appropriate setting for your ISO file: Choose or Newline is used for Graylog and Rsyslog TCP

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Newline -- \n—Select this choice for Graylog and Rsyslog TCP.

                                                                                                                                                  4. Faceți clic pe Continuați.

                                                                                                                                                  14

                                                                                                                                                  (Optional) You can change the default value for some database connection parameters in Advanced Settings. Generally, this parameter is the only one that you might want to change:

                                                                                                                                                  app_datasource_connection_pool_maxMărime: 10
                                                                                                                                                  15

                                                                                                                                                  Click Continue on the Reset Service Accounts Password screen.

                                                                                                                                                  Service account passwords have a nine-month lifespan. Use this screen when your passwords are nearing expiry or you want to reset them to invalidate previous ISO files.

                                                                                                                                                  16

                                                                                                                                                  Click Download ISO File. Save the file in a location that's easy to find.

                                                                                                                                                  17

                                                                                                                                                  Make a backup copy of the ISO file on your local system.

                                                                                                                                                  Keep the backup copy secure. This file contains a master encryption key for the database contents. Restrict access to only those Hybrid Data Security administrators who should make configuration changes.

                                                                                                                                                  18

                                                                                                                                                  To shut down the Setup tool, type CTRL+C.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Back up the configuration ISO file. You need it to create more nodes for recovery, or to make configuration changes. If you lose all copies of the ISO file, you've also lost the master key. Recovering the keys from your PostgreSQL or Microsoft SQL Server database isn't possible.


                                                                                                                                                   

                                                                                                                                                  We never have a copy of this key and can't help if you lose it.

                                                                                                                                                  Install the HDS Host OVA

                                                                                                                                                  Use this procedure to create a virtual machine from the OVA file.
                                                                                                                                                  1

                                                                                                                                                  Use the VMware vSphere client on your computer to log into the ESXi virtual host.

                                                                                                                                                  2

                                                                                                                                                  Select File > Deploy OVF Template.

                                                                                                                                                  3

                                                                                                                                                  In the wizard, specify the location of the OVA file that you downloaded earlier, and then click Next.

                                                                                                                                                  4

                                                                                                                                                  On the Select a name and folder page, enter a Virtual machine name for the node (for example, "HDS_Node_1"), choose a location where the virtual machine node deployment can reside, and then click Next.

                                                                                                                                                  5

                                                                                                                                                  On the Select a compute resource page, choose the destination compute resource, and then click Next.

                                                                                                                                                  A validation check runs. After it finishes, the template details appear.

                                                                                                                                                  6

                                                                                                                                                  Verify the template details and then click Next.

                                                                                                                                                  7

                                                                                                                                                  If you are asked to choose the resource configuration on the Configuration page, click 4 CPU and then click Next.

                                                                                                                                                  8

                                                                                                                                                  On the Select storage page, click Next to accept the default disk format and VM storage policy.

                                                                                                                                                  9

                                                                                                                                                  On the Select networks page, choose the network option from the list of entries to provide the desired connectivity to the VM.

                                                                                                                                                  10

                                                                                                                                                  On the Customize template page, configure the following network settings:

                                                                                                                                                  • Hostname—Enter the FQDN (hostname and domain) or a single word hostname for the node.

                                                                                                                                                     
                                                                                                                                                    • You do not need to set the domain to match the domain that you used to obtain the X.509 certificate.

                                                                                                                                                    • To ensure a successful registration to the cloud, use only lowercase characters in the FQDN or hostname that you set for the node. Capitalizarea nu este acceptată în acest moment.

                                                                                                                                                    • The total length of the FQDN must not exceed 64 characters.

                                                                                                                                                  • IP Address— Enter the IP address for the internal interface of the node.

                                                                                                                                                     

                                                                                                                                                    Your node should have an internal IP address and DNS name. DHCP is not supported.

                                                                                                                                                  • Mask—Enter the subnet mask address in dot-decimal notation. For example, 255.255.255.0.
                                                                                                                                                  • Gateway—Enter the gateway IP address. A gateway is a network node that serves as an access point to another network.
                                                                                                                                                  • DNS Servers—Enter a comma-separated list of DNS servers, which handle translating domain names to numeric IP addresses. (Up to 4 DNS entries are allowed.)
                                                                                                                                                  • NTP Servers—Enter your organization's NTP server or another external NTP server that can be used in your organization. The default NTP servers may not work for all enterprises. You can also use a comma-separated list to enter multiple NTP servers.
                                                                                                                                                  • Deploy all the nodes on the same subnet or VLAN, so that all nodes in a cluster are reachable from clients in your network for administrative purposes.

                                                                                                                                                  If preferred, you can skip the network setting configuration and follow the steps in Set up the Hybrid Data Security VM to configure the settings from the node console.


                                                                                                                                                   

                                                                                                                                                  The option to configure network settings during OVA deployment has been tested with ESXi 6.5. The option may not be available in earlier versions.

                                                                                                                                                  11

                                                                                                                                                  Right-click the node VM, and then choose Power > Power On.

                                                                                                                                                  The Hybrid Data Security software is installed as a guest on the VM Host. You are now ready to sign in to the console and configure the node.

                                                                                                                                                  Sfaturi de depanare

                                                                                                                                                  You may experience a delay of a few minutes before the node containers come up. A bridge firewall message appears on the console during first boot, during which you can't sign in.

                                                                                                                                                  Set up the Hybrid Data Security VM

                                                                                                                                                  Use this procedure to sign in to the Hybrid Data Security node VM console for the first time and set the sign-in credentials. You can also use the console to configure the network settings for the node if you didn't configure them at the time of OVA deployment.

                                                                                                                                                  1

                                                                                                                                                  In the VMware vSphere client, select your Hybrid Data Security node VM and select the Console tab.

                                                                                                                                                  The VM boots up and a login prompt appears. If the login prompt does not display, press Enter.
                                                                                                                                                  2

                                                                                                                                                  Use the following default login and password to sign in and change the credentials:

                                                                                                                                                  1. Login: administrator

                                                                                                                                                  2. Parolă: cisco

                                                                                                                                                  Since you are signing in to your VM for the first time, you are required to change the administrator password.

                                                                                                                                                  3

                                                                                                                                                  If you already configured the network settings in Install the HDS Host OVA, skip the rest of this procedure. Otherwise, in the main menu, select the Edit Configuration option.

                                                                                                                                                  4

                                                                                                                                                  Set up a static configuration with IP address, Mask, Gateway and DNS information. Your node should have an internal IP address and DNS name. DHCP is not supported.

                                                                                                                                                  5

                                                                                                                                                  (Optional) Change the hostname, domain or NTP server(s), if needed to match your network policy.

                                                                                                                                                  You do not need to set the domain to match the domain that you used to obtain the X.509 certificate.

                                                                                                                                                  6

                                                                                                                                                  Save the network configuration and reboot the VM so that the changes take effect.

                                                                                                                                                  Upload and Mount the HDS Configuration ISO

                                                                                                                                                  Use this procedure to configure the virtual machine from the ISO file that you created with the HDS Setup Tool.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Because the ISO file holds the master key, it should only be exposed on a "need to know" basis, for access by the Hybrid Data Security VMs and any administrators who might need to make changes. Make sure that only those administrators can access the datastore.

                                                                                                                                                  1

                                                                                                                                                  Upload the ISO file from your computer:

                                                                                                                                                  1. In the VMware vSphere client's left navigation pane, click on the ESXi server.

                                                                                                                                                  2. On the Configuration tab's Hardware list, click Storage.

                                                                                                                                                  3. In the Datastores list, right-click on the datastore for your VMs and click Browse Datastore.

                                                                                                                                                  4. Click on the Upload Files icon, and then click Upload File.

                                                                                                                                                  5. Browse to the location where you downloaded the ISO file on your computer and click Open.

                                                                                                                                                  6. Click Yes to accept the upload/download operation warning, and close the datastore dialog.

                                                                                                                                                  2

                                                                                                                                                  Mount the ISO file:

                                                                                                                                                  1. În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările.

                                                                                                                                                  2. Click OK to accept the restricted edit options warning.

                                                                                                                                                  3. Click CD/DVD Drive 1, select the option to mount from a datastore ISO file, and browse to the location where you uploaded the configuration ISO file.

                                                                                                                                                  4. Check Connected and Connect at power on.

                                                                                                                                                  5. Save your changes and reboot the virtual machine.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  If your IT policy requires, you can optionally unmount the ISO file after all your nodes pick up the configuration changes. See (Optional) Unmount ISO After HDS Configuration for details.

                                                                                                                                                  Configurarea nodului HDS pentru integrarea proxy

                                                                                                                                                  Dacă mediul de rețea necesită un proxy, utilizați această procedură pentru a specifica tipul de proxy pe care doriți să îl integrați cu Securitatea datelor hibride. Dacă alegeți un proxy de inspectare transparent sau un proxy explicit HTTPS, puteți utiliza interfața nodului pentru a încărca și instala certificatul rădăcină. De asemenea, puteți verifica conexiunea proxy din interfață și puteți depana orice probleme potențiale.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  1

                                                                                                                                                  Introduceți URL-ul de configurare a nodului HDS https://[HDS Node IP sau FQDN]/setup într-un browser web, introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.

                                                                                                                                                  2

                                                                                                                                                  Accesați Trust Store & Proxy, apoi alegeți o opțiune:

                                                                                                                                                  • No Proxy—The default option before you integrate a proxy. Nu este necesară actualizarea certificatului.
                                                                                                                                                  • Transparent Non-Inspecting Proxy—Nodes are not configured to use a specific proxy server address and should not require any changes to work with a non-inspecting proxy. Nu este necesară actualizarea certificatului.
                                                                                                                                                  • Transparent Inspecting Proxy—Nodes are not configured to use a specific proxy server address. Nu sunt necesare modificări de configurare HTTPS pe implementarea hibride de securitate a datelor, cu toate acestea, nodurile HDS au nevoie de un certificat rădăcină, astfel încât acestea să aibă încredere în proxy. Proxy-urile de inspectare sunt de obicei utilizate de IT pentru a aplica politici pe care site-urile web pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).
                                                                                                                                                  • Explicit Proxy—With explicit proxy, you tell the client (HDS nodes) which proxy server to use, and this option supports several authentication types. După ce alegeți această opțiune, trebuie să introduceți următoarele informații:
                                                                                                                                                    1. Proxy IP/FQDN—Address that can be used to reach the proxy machine.

                                                                                                                                                    2. Proxy Port—A port number that the proxy uses to listen for proxied traffic.

                                                                                                                                                    3. Proxy Protocol—Choose http (views and controls all requests that are received from the client) or https (provides a channel to the server and the client receives and validates the server's certificate). Alegeți o opțiune în funcție de ceea ce acceptă serverul proxy.

                                                                                                                                                    4. Authentication Type—Choose from among the following authentication types:

                                                                                                                                                      • None—No further authentication is required.

                                                                                                                                                        Disponibil pentru proxy-uri HTTP sau HTTPS.

                                                                                                                                                      • Basic—Used for an HTTP User Agent to provide a user name and password when making a request. Utilizează codificarea Base64.

                                                                                                                                                        Disponibil pentru proxy-uri HTTP sau HTTPS.

                                                                                                                                                        Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola.

                                                                                                                                                      • Digest—Used to confirm the account before sending sensitive information. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite prin rețea.

                                                                                                                                                        Disponibil numai pentru proxy-uri HTTPS.

                                                                                                                                                        Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola.

                                                                                                                                                  Urmați pașii următori pentru un proxy de inspectare transparent, un proxy explicit HTTP cu autentificare de bază sau un proxy explicit HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Faceți clic pe Încărcare certificat rădăcină sau certificat de entitate de sfârșit , apoi navigați la o alegeți certificatul rădăcină pentruproxy.

                                                                                                                                                  Certificatul este încărcat, dar nu este încă instalat, deoarece trebuie să reporniți nodul pentru a instala certificatul. Faceți clic pe săgeata ghilimelei unghiulare de numele emitentului certificatului pentru a obține mai multe detalii sau faceți clic pe Ștergere dacă ați făcut o greșeală și doriți să reîncărcați fișierul.

                                                                                                                                                  4

                                                                                                                                                  Faceți clic pe Verificare conexiune proxy pentru a testa conectivitatea la rețea între nod și proxy.

                                                                                                                                                  Dacă testul de conexiune nu reușește, veți vedea un mesaj de eroare care arată motivul și modul în care puteți corecta problema.

                                                                                                                                                  Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a reușit, nodul nu a reușit să ajungă la serverul DNS. Această condiție este de așteptat în multe configurații proxy explicite. You can continue with the setup, and the node will function in Blocked External DNS Resolution mode. If you think this is an error, complete these steps, and then see Turn off Blocked External DNS Resolution Mode.

                                                                                                                                                  5

                                                                                                                                                  După ce trece testul de conexiune, pentru proxy explicit setat la https numai, activați comutatorul pentru a ruta toate port 443/444 https solicitările de la acest nod prin proxy explicit. Această setare necesită 15 secunde pentru a intra în vigoare.

                                                                                                                                                  6

                                                                                                                                                  Faceți clic pe Instalare toate certificatele în Depozitul de încredere (apare pentru un proxy explicit HTTPS sau un proxy de inspectare transparent) sau pe Repornire (apare pentru un proxy explicit HTTP), citiți solicitarea, apoi faceți clic pe Instalare dacă sunteți gata.

                                                                                                                                                  Nodul repornește în câteva minute.

                                                                                                                                                  7

                                                                                                                                                  După repornirea nodului, conectați-vă din nou, dacă este necesar, apoi deschideți pagina Prezentare generală pentru a verifica verificările de conectivitate pentru a vă asigura că toate sunt în stare verde.

                                                                                                                                                  Verificarea conexiunii proxy testează numai un subdomeniu de webex.com. Dacă există probleme de conectivitate, o problemă comună este că unele dintre domeniile cloud listate în instrucțiunile de instalare sunt blocate la proxy.

                                                                                                                                                  Register the First Node in the Cluster

                                                                                                                                                  This task takes the generic node that you created in the Set up the Hybrid Data Security VM, registers the node with the Webex cloud, and turns it into a Hybrid Data Security node.

                                                                                                                                                  When you register your first node, you create a cluster to which the node is assigned. A cluster contains one or more nodes deployed to provide redundancy.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Once you begin registration of a node, you must complete it within 60 minutes or you have to start over.

                                                                                                                                                  • Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  From the menu on the left side of the screen, select Services.

                                                                                                                                                  3

                                                                                                                                                  In the Hybrid Services section, find Hybrid Data Security and click Set up.

                                                                                                                                                  The Register Hybrid Data Security Node page appears.
                                                                                                                                                  4

                                                                                                                                                  Select Yes to indicate that you have set up the node and are ready to register it, and then click Next.

                                                                                                                                                  5

                                                                                                                                                  In the first field, enter a name for the cluster to which you want to assign your Hybrid Data Security node.

                                                                                                                                                  We recommend that you name a cluster based on where the nodes of the cluster are located geographically. Examples: "San Francisco" or "New York" or "Dallas"

                                                                                                                                                  6

                                                                                                                                                  In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next.

                                                                                                                                                  This IP address or FQDN should match the IP address or hostname and domain that you used in Set up the Hybrid Data Security VM.

                                                                                                                                                  A message appears indicating you can register your node to the Webex.
                                                                                                                                                  7

                                                                                                                                                  Click Go to Node.

                                                                                                                                                  8

                                                                                                                                                  Click Continue in the warning message.

                                                                                                                                                  After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your Webex organization to access your node.
                                                                                                                                                  9

                                                                                                                                                  Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue.

                                                                                                                                                  Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud.
                                                                                                                                                  10

                                                                                                                                                  Click the link or close the tab to go back to the Control Hub Hybrid Data Security page.

                                                                                                                                                  On the Hybrid Data Security page, the new cluster containing the node that you registered is displayed. The node will automatically download the latest software from the cloud.

                                                                                                                                                  Create and Register More Nodes

                                                                                                                                                  To add additional nodes to your cluster, you simply create additional VMs and mount the same configuration ISO file, then register the node. We recommend that you have at least 3 nodes.

                                                                                                                                                   

                                                                                                                                                  At this time, the backup VMs that you created in Complete the Prerequisites for Hybrid Data Security are standby hosts which are only used in the event of disaster recovery; they are not registered with the system until then. For details, see Disaster Recovery using Standby Data Center.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Once you begin registration of a node, you must complete it within 60 minutes or you have to start over.

                                                                                                                                                  • Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Create a new virtual machine from the OVA, repeating the steps in Install the HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Set up the initial configuration on the new VM, repeating the steps in Set up the Hybrid Data Security VM.

                                                                                                                                                  3

                                                                                                                                                  On the new VM, repeat the steps in Upload and Mount the HDS Configuration ISO.

                                                                                                                                                  4

                                                                                                                                                  If you are setting up a proxy for your deployment, repeat the steps in Configure the HDS Node for Proxy Integration as needed for the new node.

                                                                                                                                                  5

                                                                                                                                                  Register the node.

                                                                                                                                                  1. In https://admin.webex.com, select Services from the menu on the left side of the screen.

                                                                                                                                                  2. In the Hybrid Services section, find the Hybrid Data Security card and click Resources.

                                                                                                                                                    The Hybrid Data Security Resources page appears.
                                                                                                                                                  3. Click Add Resource.

                                                                                                                                                  4. In the first field, select the name of your existing cluster.

                                                                                                                                                  5. In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next.

                                                                                                                                                    A message appears indicating you can register your node to the Webex cloud.
                                                                                                                                                  6. Click Go to Node.

                                                                                                                                                    After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your organization to access your node.
                                                                                                                                                  7. Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue.

                                                                                                                                                    Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud.
                                                                                                                                                  8. Click the link or close the tab to go back to the Control Hub Hybrid Data Security page.

                                                                                                                                                  Your node is registered. Note that until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Run a Trial and Move to Production (next chapter)
                                                                                                                                                  Efectuați un proces și mutați-vă la producție

                                                                                                                                                  Încercare la fluxul sarcinilor de producție

                                                                                                                                                  După ce ați configurat un cluster de securitate a datelor hibride, puteți iniția un pilot, puteți adăuga utilizatori la acesta și puteți începe să îl utilizați pentru testarea și verificarea implementării dvs. în vederea trecerii la producție.

                                                                                                                                                  1

                                                                                                                                                  Dacă este cazul, sincronizați obiectul grupului HdsTrialGroup .

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați obiectul grupului HdsTrialGroup pentru sincronizare în cloud înainte de a putea începe o încercare. Pentru instrucțiuni, consultați Ghidul de implementare pentru Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Activați procesul

                                                                                                                                                  Începeți o încercare. Până când nu efectuați această sarcină, nodurile dvs. generează o alarmă care indică faptul că serviciul nu este încă activat.

                                                                                                                                                  3

                                                                                                                                                  Testați implementarea securității datelor hibride

                                                                                                                                                  Verificați dacă solicitările cheie trec la implementarea securității datelor hibride.

                                                                                                                                                  4

                                                                                                                                                  Monitorizarea sănătății securității datelor hibride

                                                                                                                                                  Verificați starea și configurați notificările prin e-mail pentru alarme.

                                                                                                                                                  5

                                                                                                                                                  Adăugați sau eliminați utilizatori din procesul dvs.

                                                                                                                                                  6

                                                                                                                                                  Finalizați faza de probă cu una dintre următoarele acțiuni:

                                                                                                                                                  Activați procesul

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați obiectul grupului HdsTrialGroup pentru sincronizare în cloud înainte de a putea iniția o încercare pentru organizația dvs. Pentru instrucțiuni, consultați Ghidul de implementare pentru Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la https://admin.webex.comși apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  Sub Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Stare serviciu, faceți clic pe Inițiere încercare.

                                                                                                                                                  Starea serviciului se modifică în modul de încercare.
                                                                                                                                                  4

                                                                                                                                                  Faceți clic pe Adăugare utilizatori și introduceți adresa de e-mail a unuia sau mai multor utilizatori pentru a pilot utilizând nodurile dvs. de securitate a datelor hibride pentru serviciile de criptare și indexare.

                                                                                                                                                  (Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory pentru a gestiona grupul de încercare, HdsTrialGroup.)

                                                                                                                                                  Testați implementarea securității datelor hibride

                                                                                                                                                  Utilizați această procedură pentru a testa scenariile de criptare a securității datelor hibride.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Configurați implementarea securității datelor hibride.

                                                                                                                                                  • Activați procesul și adăugați mai mulți utilizatori de proces.

                                                                                                                                                  • Asigurați-vă că aveți acces la syslog pentru a verifica dacă solicitările cheie trec la implementarea securității datelor hibride.

                                                                                                                                                  1

                                                                                                                                                  Tastele pentru un anumit spațiu sunt stabilite de creatorul spațiului. Conectați-vă la Aplicația Webex ca unul dintre utilizatorii pilot, apoi creați un spațiu și invitați cel puțin un utilizator pilot și un utilizator non-pilot.


                                                                                                                                                   

                                                                                                                                                  Dacă dezactivați implementarea securității datelor hibride, conținutul din spațiile pe care utilizatorii pilot le creează nu mai este accesibil după ce copiile în cache ale cheilor de criptare sunt înlocuite.

                                                                                                                                                  2

                                                                                                                                                  Trimiteți mesaje către noul spațiu.

                                                                                                                                                  3

                                                                                                                                                  Verificați ieșirea syslog pentru a verifica dacă solicitările cheie trec la implementarea securității datelor hibride.

                                                                                                                                                  1. Pentru a verifica dacă un utilizator stabilește mai întâi un canal securizat la KMS, filtrați pe kms.data.method=crea și kms.data.type=_COLECȚIA CHEIE EPHEMERAL_:

                                                                                                                                                    Ar trebui să găsiți o intrare, cum ar fi următoarele (identificatori scurtați pentru lizibilitate):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] primit, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=creați, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_tastă_colecție, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Pentru a verifica dacă un utilizator solicită o cheie existentă din KMS, filtrați pe kms.data.method=recuperare și kms.data.type=CHEY:

                                                                                                                                                    Trebuie să găsiți o intrare, cum ar fi:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] primit, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Pentru a verifica dacă un utilizator solicită crearea unei noi chei KMS, filtrați pe kms.data.method=crea și kms.data.type=_COLECȚIE CHEIE:

                                                                                                                                                    Trebuie să găsiți o intrare, cum ar fi:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] primit, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=crea, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Pentru a verifica dacă un utilizator solicită crearea unui nou obiect de resurse KMS (KRO) atunci când este creat un spațiu sau o altă resursă protejată, filtrați pe kms.data.method=crea și kms.data.type=_COLECȚIE DE RESURSE:

                                                                                                                                                    Trebuie să găsiți o intrare, cum ar fi:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] primit, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=crea, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=_COLECTIE RESOURCE, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitorizarea sănătății securității datelor hibride

                                                                                                                                                  Un indicator de stare din Control Hub vă arată dacă totul este bine cu implementarea securității datelor hibride. Pentru o alertare mai proactivă, înscrieți-vă pentru notificări prin e-mail. Veți fi notificat atunci când există alarme sau upgrade-uri de software care afectează serviciul.
                                                                                                                                                  1

                                                                                                                                                  În Control Hub, selectați Servicii din meniul din partea stângă a ecranului.

                                                                                                                                                  2

                                                                                                                                                  În secțiunea Servicii hibride, găsiți Securitatea datelor hibride și faceți clic pe Setări.

                                                                                                                                                  Apare pagina Setări securitate date hibride.
                                                                                                                                                  3

                                                                                                                                                  În secțiunea Notificări prin e-mail, tastați una sau mai multe adrese de e-mail separate prin virgule și apăsați Enter.

                                                                                                                                                  Adăugați sau eliminați utilizatori din procesul dvs.

                                                                                                                                                  După ce ați activat un trial și ați adăugat setul inițial de utilizatori de trial, puteți adăuga sau elimina membri de trial în orice moment în timp ce procesul este activ.

                                                                                                                                                  Dacă eliminați un utilizator din trial, clientul utilizatorului va solicita chei și crearea de taste din KMS cloud în loc de KMS dvs. Dacă clientul are nevoie de o cheie care este stocată pe KMS-ul dvs., KMS-ul cloud o va prelua în numele utilizatorului.

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory (în loc de această procedură) pentru a gestiona grupul de încercare, HdsTrialGroup; puteți vizualiza membrii grupului din Control Hub, dar nu îi puteți adăuga sau elimina.

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  Sub Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Modul de încercare din zona de stare a serviciului, faceți clic pe Adăugare utilizatori sau faceți clic pe vizualizare și editare pentru a elimina utilizatorii din trial.

                                                                                                                                                  4

                                                                                                                                                  Introduceți adresa de e-mail a unuia sau mai multor utilizatori pentru a adăuga sau faceți clic pe X de către un ID de utilizator pentru a elimina utilizatorul din încercare. Apoi faceți clic pe Salvare.

                                                                                                                                                  Mutați de la încercare la producție

                                                                                                                                                  Când sunteți mulțumit că implementarea dvs. funcționează bine pentru utilizatorii de încercare, puteți trece la producție. Când treceți la producție, toți utilizatorii din organizație vor utiliza domeniul local de securitate a datelor hibride pentru cheile de criptare și alte servicii din domeniul de securitate. Nu puteți reveni la modul de încercare din producție decât dacă dezactivați serviciul ca parte a recuperării dezastrelor. Reactivarea serviciului vă cere să configurați o nouă încercare.
                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  Sub Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Stare serviciu, faceți clic pe Mutare în producție.

                                                                                                                                                  4

                                                                                                                                                  Confirmați că doriți să mutați toți utilizatorii la producție.

                                                                                                                                                  Încheiați procesul fără a trece la producție

                                                                                                                                                  Dacă, în timpul perioadei de probă, decideți să nu continuați cu implementarea securității datelor hibride, puteți dezactiva securitatea datelor hibride, ceea ce încheie perioada de probă și mută utilizatorii de încercare înapoi la serviciile de securitate a datelor în cloud. Utilizatorii procesului vor pierde accesul la datele care au fost criptate în timpul procesului.
                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  Sub Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Dezactivare, faceți clic pe Dezactivare.

                                                                                                                                                  4

                                                                                                                                                  Confirmați că doriți să dezactivați serviciul și să finalizați procesul.

                                                                                                                                                  Gestionați implementarea HDS

                                                                                                                                                  Gestionați implementarea HDS

                                                                                                                                                  Utilizați sarcinile descrise aici pentru a gestiona implementarea securității datelor hibride.

                                                                                                                                                  Setați programul de upgrade al clusterului

                                                                                                                                                  Upgrade-urile de software pentru securitatea datelor hibride se fac automat la nivelul clusterului, ceea ce asigură că toate nodurile rulează întotdeauna aceeași versiune de software. Upgrade-urile se efectuează în conformitate cu programul de upgrade pentru cluster. Când un upgrade de software devine disponibil, aveți opțiunea de a actualiza manual clusterul înainte de ora programată de upgrade. Puteți seta un program specific de upgrade sau puteți utiliza programul implicit de 3:00 AM Daily Statele Unite ale Americii: America/Los Angeles. De asemenea, puteți alege să amânați un upgrade viitor, dacă este necesar.

                                                                                                                                                  Pentru a seta programul de upgrade:

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Pe pagina Prezentare generală, în secțiunea Servicii hibride, selectați Securitatea datelor hibride.

                                                                                                                                                  3

                                                                                                                                                  Pe pagina Resurse de securitate a datelor hibride, selectați clusterul.

                                                                                                                                                  4

                                                                                                                                                  În panoul Prezentare generală din dreapta, în secțiunea Setări cluster, selectați numele clusterului.

                                                                                                                                                  5

                                                                                                                                                  Pe pagina Setări, în secțiunea Upgrade, selectați ora și fusul orar pentru programul de upgrade.

                                                                                                                                                  Notă: În cadrul fusului orar, se afișează următoarea dată și oră de upgrade disponibile. Puteți amâna upgrade-ul până în ziua următoare, dacă este necesar, făcând clic pe Amânare.

                                                                                                                                                  Modificarea configurației nodului

                                                                                                                                                  Ocazional, poate fi necesar să modificați configurația nodului hibrid de securitate a datelor dintr-un motiv ar fi:
                                                                                                                                                  • Modificarea certificatelor x.509 din cauza expirării sau din alte motive.


                                                                                                                                                     

                                                                                                                                                    Nu acceptăm schimbarea numelui de domeniu CN al unui certificat. Domeniul trebuie să se potrivească cu domeniul inițial utilizat pentru înregistrarea clusterului.

                                                                                                                                                  • Actualizarea setărilor bazei de date pentru a trece la o replică a bazei de date PostgreSQL sau Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nu acceptăm migrarea datelor de la PostgreSQL la Microsoft SQL Server sau invers. Pentru a schimba mediul bazei de date, începeți o nouă implementare a Hybrid Data Security.

                                                                                                                                                  • Crearea unei noi configurații pentru a pregăti un nou centru de date.

                                                                                                                                                  De asemenea, în scopuri de securitate, Hybrid Data Security utilizează parole de cont de serviciu care au o durată de viață de nouă luni. După ce instrumentul de instalare HDS generează aceste parole, le implementați la fiecare dintre nodurile HDS în fișierul de configurare ISO. Când parolele organizației se apropie de expirare, primiți o notificare de la echipa Webex pentru a reseta parola pentru contul dvs. (E-mailul include textul „Utilizați API-ul contului de mașină pentru a actualiza parola.”) Dacă parolele nu au expirat încă, instrumentul vă oferă două opțiuni:

                                                                                                                                                  • Resetare soft—Parolele vechi și noi funcționează timp de până la 10 zile. Folosiți această perioadă pentru a înlocui treptat fișierul ISO pe noduri.

                                                                                                                                                  • Resetare dificilă—Parolele vechi nu mai funcționează imediat.

                                                                                                                                                  Dacă parolele dvs. expiră fără resetare, acest lucru va afecta serviciul HDS, necesitând o resetare hardware imediată și înlocuirea fișierului ISO pe toate nodurile.

                                                                                                                                                  Utilizați această procedură pentru a genera un nou fișier ISO de configurare și pentru a-l aplica clusterului dvs.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi complete de administrator pentru organizația dvs.

                                                                                                                                                    Dacă instrumentul de configurare HDS rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin variabilele de mediu Docker atunci când ridicați containerul Docker în 1.e. Acest tabel oferă câteva posibile variabile de mediu:

                                                                                                                                                    Descriere

                                                                                                                                                    Variabilă

                                                                                                                                                    Proxy HTTP fără autentificare

                                                                                                                                                    AGENT GLOBAL__HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS fără autentificare

                                                                                                                                                    AGENT GLOBAL__HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTP cu autentificare

                                                                                                                                                    AGENT GLOBAL__HTTP_PROXY=http://NUMELE DE UTILIZATOR:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS cu autentificare

                                                                                                                                                    AGENT GLOBAL__HTTPS_PROXY=http://NUMELE DE UTILIZATOR:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Aveți nevoie de o copie a fișierului ISO de configurare curent pentru a genera o nouă configurație. ISO conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de ISO când faceți modificări de configurare, inclusiv acreditările bazei de date, actualizări de certificate sau modificări ale politicii de autorizare.

                                                                                                                                                  1

                                                                                                                                                  Folosind Docker pe o mașină locală, rulați Instrumentul de configurare HDS.

                                                                                                                                                  1. La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                    În medii obișnuite:

                                                                                                                                                    configurare docker rmi ciscocitg/hds: stabilă

                                                                                                                                                    În mediile FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp: stabil

                                                                                                                                                     

                                                                                                                                                    Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.

                                                                                                                                                  2. Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele:

                                                                                                                                                    conectare docker -u hdscustomersro
                                                                                                                                                  3. La solicitarea parolei, introduceți acest hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Descărcați cea mai recentă imagine stabilă pentru mediul dvs.:

                                                                                                                                                    În medii obișnuite:

                                                                                                                                                    doker trage configurare ciscocitg/hds: stabil

                                                                                                                                                    În mediile FedRAMP:

                                                                                                                                                    docker trage ciscocitg/hds-setup-fedramp: stabil

                                                                                                                                                     

                                                                                                                                                    Asigurați-vă că utilizați cel mai recent instrument de configurare pentru această procedură. Versiunile instrumentului create înainte de 22 februarie 2018 nu au ecrane de resetare a parolei.

                                                                                                                                                  5. Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                    • În medii obișnuite fără un proxy:

                                                                                                                                                      rulare docker -p 8080:8080 --rm -it configurare ciscocitg/hds:stabil
                                                                                                                                                    • În medii obișnuite cu un proxy HTTP:

                                                                                                                                                      docker rula -p 8080:8080 --rm -it -e GLOBAL_agent_Conţinutul (concentraţia)_PROXY=http://SERVER_IP: configurare PORT ciscocitg/hds: stabilă
                                                                                                                                                    • În medii obișnuite cu un HTTPSproxy:

                                                                                                                                                      Rulare
                                                                                                                                                      docker -p 8080:8080 --rm -it -e AGENT GLOBAL__HTTPS_PROXY=http://SERVER_IP:configurare PORT ciscocitg/hds:stabil
                                                                                                                                                    • În mediile FedRAMP fără un proxy:

                                                                                                                                                      docker rula -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil
                                                                                                                                                    • În mediile FedRAMP cu un proxy HTTP:

                                                                                                                                                      docker rula -p 8080:8080 --rm -it -e GLOBAL_agent_Conţinutul (concentraţia)_PROXY=http://SERVER_IP: PORT ciscocitg/hds-setup-fedramp: stabil
                                                                                                                                                    • În mediile FedRAMP cu un proxy HTTPS:

                                                                                                                                                      Rulare
                                                                                                                                                      docker -p 8080:8080 --rm -it -e AGENT GLOBAL__HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stabil

                                                                                                                                                    Când containerul se execută, vedeți "Express server de ascultare pe portul 8080."

                                                                                                                                                  6. Utilizați un browser pentru a vă conecta la localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală.

                                                                                                                                                  7. Când vi se solicită, introduceți acreditările de conectare ale clientului Control Hub și apoi faceți clic pe Acceptare pentru a continua.

                                                                                                                                                  8. Importați fișierul ISO de configurare curentă.

                                                                                                                                                  9. Urmați instrucțiunile pentru a finaliza instrumentul și descărcați fișierul actualizat.

                                                                                                                                                    Pentru a închide instrumentul de configurare, tastați CTRL+C.

                                                                                                                                                  10. Creați o copie de rezervă a fișierului actualizat într-un alt centru de date.

                                                                                                                                                  2

                                                                                                                                                  Dacă aveți un singur nod HDS care rulează, creați un nou nod de securitate a datelor hibride VM și înregistrați-l utilizând noul fișier ISO de configurare. Pentru instrucțiuni mai detaliate, consultați Creați și înregistrați mai multe noduri.

                                                                                                                                                  1. Instalați OVA gazdă HDS.

                                                                                                                                                  2. Configurați VM HDS.

                                                                                                                                                  3. Montați fișierul de configurare actualizat.

                                                                                                                                                  4. Înregistrați nodul nou în Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Pentru nodurile HDS existente care rulează fișierul de configurare mai vechi, montați fișierul ISO. Efectuați următoarea procedură pe fiecare nod pe rând, actualizând fiecare nod înainte de a opri următorul nod:

                                                                                                                                                  1. Opriți mașina virtuală.

                                                                                                                                                  2. În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările.

                                                                                                                                                  3. Faceți clic pe UNITATE CD/DVD 1, selectați opțiunea de montare dintr-un fișier ISO și navigați la locația în care ați descărcat noul fișier ISO de configurare.

                                                                                                                                                  4. Bifaţi Conectare la pornire.

                                                                                                                                                  5. Salvați modificările și porniți mașina virtuală.

                                                                                                                                                  4

                                                                                                                                                  Repetați pasul 3 pentru a înlocui configurația pe fiecare nod rămas care rulează configurația veche.

                                                                                                                                                  Dezactivarea modului de rezoluție DNS extern blocat

                                                                                                                                                  Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează căutarea DNS și conectivitatea la cloud-ul Cisco Webex. Dacă serverul DNS al nodului nu poate rezolva numele DNS publice, nodul intră automat în modul Rezoluție DNS externă blocată.

                                                                                                                                                  Dacă nodurile sunt capabile să rezolve numele DNS publice prin serverele DNS interne, puteți dezactiva acest mod prin reluarea testului de conexiune proxy pe fiecare nod.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Asigurați-vă că serverele DNS interne pot rezolva numele DNS publice și că nodurile pot comunica cu acestea.
                                                                                                                                                  1

                                                                                                                                                  Într-un browser web, deschideți interfața nodului Hibrid Data Security (adresa IP/configurare, de exemplu, https://192.0.2.0/setup), introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.

                                                                                                                                                  2

                                                                                                                                                  Accesați Prezentare generală (pagina implicită).

                                                                                                                                                  Când este activată, Rezoluția DNS externă blocată este setată la Da.

                                                                                                                                                  3

                                                                                                                                                  Accesați pagina Trust Store & Proxy.

                                                                                                                                                  4

                                                                                                                                                  Faceți clic pe Verificare conexiune proxy.

                                                                                                                                                  Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a avut succes, nodul nu a reușit să ajungă la serverul DNS și va rămâne în acest mod. În caz contrar, după ce reporniți nodul și reveniți la pagina Prezentare generală, Rezoluția DNS externă blocată ar trebui să fie setată la nu.

                                                                                                                                                  Ce trebuie să faceți în continuare

                                                                                                                                                  Repetați testul de conexiune proxy pe fiecare nod din clusterul hibrid de securitate a datelor.

                                                                                                                                                  Eliminați un nod

                                                                                                                                                  Utilizați această procedură pentru a elimina un nod de securitate a datelor hibride din cloudul Webex. După ce eliminați nodul din cluster, ștergeți mașina virtuală pentru a preveni accesul suplimentar la datele dvs. de securitate.
                                                                                                                                                  1

                                                                                                                                                  Utilizați clientul VMware vSphere de pe computer pentru a vă conecta la gazda virtuală ESXi și pentru a dezactiva mașina virtuală.

                                                                                                                                                  2

                                                                                                                                                  Eliminați nodul:

                                                                                                                                                  1. Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2. Pe cardul de securitate a datelor hibride, faceți clic pe Vizualizare toate pentru a afișa pagina Resurse de securitate a datelor hibride.

                                                                                                                                                  3. Selectați clusterul pentru a afișa panoul de Prezentare generală.

                                                                                                                                                  4. Faceți clic pe lista de noduri deschise.

                                                                                                                                                  5. În fila Noduri, selectați nodul pe care doriți să îl eliminați.

                                                                                                                                                  6. Faceți clic pe Acțiuni > Deregister node (Deregister node).

                                                                                                                                                  3

                                                                                                                                                  În clientul vSphere, ștergeți VM. (În panoul de navigare din stânga, faceți clic dreapta pe VM și faceți clic pe Ștergere.)

                                                                                                                                                  Dacă nu ștergeți VM, nu uitați să dezasamblați fișierul de configurare ISO. Fără fișierul ISO, nu puteți utiliza VM pentru a accesa datele de securitate.

                                                                                                                                                  Recuperare dezastre utilizând Centrul de date standby

                                                                                                                                                  Cel mai important serviciu pe care îl oferă clusterul de securitate a datelor hibride este crearea și stocarea de taste utilizate pentru criptarea mesajelor și a altor conținuturi stocate în cloudul Webex. Pentru fiecare utilizator din cadrul organizației care este atribuit securității datelor hibride, noile solicitări de creare a cheii sunt direcționate către cluster. Clusterul este, de asemenea, responsabil pentru returnarea cheilor pe care le-a creat oricărui utilizator autorizat să le recupereze, de exemplu, membrii unui spațiu de conversație.

                                                                                                                                                  Deoarece clusterul îndeplinește funcția critică de furnizare a acestor chei, este imperativ ca clusterul să rămână în funcțiune și să fie menținute backup-uri adecvate. Pierderea bazei de date Hybrid Data Security sau a configurației ISO utilizate pentru schemă va duce la PIERDEREA INRECUPERABILĂ a conținutului clientului. Următoarele practici sunt obligatorii pentru a preveni o astfel de pierdere:

                                                                                                                                                  Dacă un dezastru face ca implementarea HDS în centrul de date principal să devină indisponibilă, urmați această procedură pentru a eșua manual la centrul de date standby.

                                                                                                                                                  1

                                                                                                                                                  Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.

                                                                                                                                                  2

                                                                                                                                                  După configurarea serverului Syslogd, faceți clic pe Setări avansate

                                                                                                                                                  3

                                                                                                                                                  Pe pagina Setări avansate , adăugați configurația de mai jos sau eliminați configurația pasiveMode pentru a activa nodul. Nodul poate gestiona traficul odată ce acesta este configurat.

                                                                                                                                                   mod pasiveMod: „false” 

                                                                                                                                                  4

                                                                                                                                                  Completați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit.

                                                                                                                                                  5

                                                                                                                                                  Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare.

                                                                                                                                                  6

                                                                                                                                                  În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări..

                                                                                                                                                  7

                                                                                                                                                  Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Fișier ISO Datastore.


                                                                                                                                                   

                                                                                                                                                  Asigurați-vă că sunt verificate Conectate și Conectate la putere , astfel încât modificările de configurare actualizate să poată intra în vigoare după pornirea nodurilor.

                                                                                                                                                  8

                                                                                                                                                  Activați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute.

                                                                                                                                                  9

                                                                                                                                                  Repetați procesul pentru fiecare nod din centrul de date standby.


                                                                                                                                                   

                                                                                                                                                  Verificați ieșirea syslog pentru a verifica dacă nodurile centrului de date standby nu sunt în mod pasiv. „KMS configurat în mod pasiv” nu trebuie să apară în jurnalele de sistem.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  După eșec, dacă centrul principal de date devine din nou activ, plasați centrul de date în așteptare în modul pasiv, urmând pașii descriși în Configurarea centrului de date în așteptare pentru recuperarea dezastrelor.

                                                                                                                                                  (Opțional) Dezasamblare ISO După configurarea HDS

                                                                                                                                                  Configurația standard HDS rulează cu ISO montat. Dar, unii clienți preferă să nu lase fișierele ISO montate continuu. Puteți demonta fișierul ISO după ce toate nodurile HDS preiau noua configurație.

                                                                                                                                                  Utilizați în continuare fișierele ISO pentru a face modificări de configurare. Când creați un nou ISO sau actualizați un ISO prin Instrumentul de configurare, trebuie să montați ISO actualizat pe toate nodurile HDS. După ce toate nodurile dvs. au preluat modificările de configurare, puteți demonta din nou ISO cu această procedură.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Actualizați toate nodurile HDS la versiunea 2021.01.22.4720 sau o versiune ulterioară.

                                                                                                                                                  1

                                                                                                                                                  Închideți unul dintre nodurile HDS.

                                                                                                                                                  2

                                                                                                                                                  În dispozitivul server vCenter, selectați nodul HDS.

                                                                                                                                                  3

                                                                                                                                                  Alegeți Editare setări > unitate CD/DVD și debifați fișierul ISO Datastore.

                                                                                                                                                  4

                                                                                                                                                  Alimentați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 20 de minute.

                                                                                                                                                  5

                                                                                                                                                  Repetați pentru fiecare nod HDS la rândul său.

                                                                                                                                                  Depanarea securității datelor hibride

                                                                                                                                                  Vizualizare alerte și depanare

                                                                                                                                                  O implementare a securității datelor hibride este considerată indisponibilă dacă toate nodurile din cluster sunt inaccesibile sau clusterul funcționează atât de lent încât solicită timp de excludere. Dacă utilizatorii nu pot ajunge la clusterul dvs. de securitate a datelor hibride, aceștia experimentează următoarele simptome:

                                                                                                                                                  • Nu se pot crea spații noi (nu se pot crea chei noi)

                                                                                                                                                  • Mesajele și titlurile spațiului nu pot fi decriptate pentru:

                                                                                                                                                    • Utilizatori noi adăugați într-un spațiu (nu se pot prelua tastele)

                                                                                                                                                    • Utilizatorii existenți dintr-un spațiu care utilizează un client nou (nu pot prelua tastele)

                                                                                                                                                  • Utilizatorii existenți într-un spațiu vor continua să ruleze cu succes atâta timp cât clienții lor au un cache al cheilor de criptare

                                                                                                                                                  Este important să monitorizați în mod corespunzător clusterul de securitate a datelor hibride și să adresați imediat orice alerte pentru a evita perturbarea serviciului.

                                                                                                                                                  Alerte

                                                                                                                                                  Dacă există o problemă cu configurarea securității datelor hibride, Control Hub afișează alerte administratorului organizației și trimite e-mailuri la adresa de e-mail configurată. Alertele acoperă multe scenarii comune.

                                                                                                                                                  Tabelul 1. Probleme comune și pașii pentru a le rezolva

                                                                                                                                                  Alertă

                                                                                                                                                  Acțiune

                                                                                                                                                  Eroare de acces la baza de date locală.

                                                                                                                                                  Verificați erorile bazei de date sau problemele de rețea locale.

                                                                                                                                                  Eșecul conexiunii la baza de date locală.

                                                                                                                                                  Verificați dacă serverul bazei de date este disponibil, iar acreditările contului de serviciu corespunzător au fost utilizate în configurația nodului.

                                                                                                                                                  Eșecul accesului la servicii în cloud.

                                                                                                                                                  Verificați dacă nodurile pot accesa serverele Webex astfel cum sunt specificate în cerințele de conectivitate externă.

                                                                                                                                                  Reînnoirea înregistrării serviciului în cloud.

                                                                                                                                                  S-a renunțat la înscrierea în serviciile cloud. Reînnoirea înregistrării este în curs.

                                                                                                                                                  Înscrierea în serviciul Cloud a scăzut.

                                                                                                                                                  Înscrierea la serviciile cloud s-a încheiat. Serviciul se închide.

                                                                                                                                                  Serviciul nu este încă activat.

                                                                                                                                                  Activați un proces sau finalizați mutarea procesului la producție.

                                                                                                                                                  Domeniul configurat nu corespunde certificatului serverului.

                                                                                                                                                  Asigurați-vă că certificatul serverului dvs. corespunde domeniului de activare a serviciului configurat.

                                                                                                                                                  Cauza cea mai probabilă este că certificatul CN a fost modificat recent și este acum diferit de CN care a fost utilizat în timpul configurării inițiale.

                                                                                                                                                  Nu s-a reușit autentificarea la serviciile cloud.

                                                                                                                                                  Verificați acuratețea și posibila expirare a acreditărilor contului de serviciu.

                                                                                                                                                  Nu s-a reușit deschiderea fișierului de tip keystore local.

                                                                                                                                                  Verificați integritatea și precizia parolei în fișierul de keystore local.

                                                                                                                                                  Certificatul serverului local este nevalid.

                                                                                                                                                  Verificați data de expirare a certificatului serverului și confirmați că acesta a fost eliberat de o autoritate de certificare de încredere.

                                                                                                                                                  Nu se pot posta măsurători.

                                                                                                                                                  Verificați accesul la rețeaua locală la serviciile cloud externe.

                                                                                                                                                  directorul /media/configdrive/hds nu există.

                                                                                                                                                  Verificați configurația de montare ISO pe gazda virtuală. Verificați dacă fișierul ISO există, dacă este configurat să fie montat pe repornire și dacă se montează cu succes.

                                                                                                                                                  Depanarea securității datelor hibride

                                                                                                                                                  Utilizați următoarele orientări generale atunci când depanați problemele legate de securitatea datelor hibride.
                                                                                                                                                  1

                                                                                                                                                  Revizuiți Control Hub pentru orice alerte și remediați orice elemente pe care le găsiți acolo.

                                                                                                                                                  2

                                                                                                                                                  Revizuiți ieșirea serverului syslog pentru activitatea din implementarea securității datelor hibride.

                                                                                                                                                  3

                                                                                                                                                  Contactați asistența Cisco.

                                                                                                                                                  Alte note

                                                                                                                                                  Probleme cunoscute pentru securitatea datelor hibride

                                                                                                                                                  • Dacă închideți clusterul de securitate a datelor hibride (prin ștergerea acestuia în Control Hub sau prin închiderea tuturor nodurilor), pierdeți fișierul ISO de configurare sau pierdeți accesul la baza de date Keystore, utilizatorii aplicației Webex nu mai pot utiliza spații din lista lor de persoane care au fost create cu tastele din KMS. Acest lucru este valabil atât pentru operațiunile de încercare, cât și pentru operațiunile de producție. În prezent, nu avem un program de lucru sau o soluție pentru această problemă și vă solicităm să nu închideți serviciile HDS odată ce acestea gestionează conturile de utilizator active.

                                                                                                                                                  • Un client care are o conexiune ECDH existentă la un KMS menține acea conexiune pentru o perioadă de timp (probabil o oră). Atunci când un utilizator devine membru al unui proces de securitate a datelor hibride, clientul utilizatorului continuă să utilizeze conexiunea ECDH existentă până la expirarea acesteia. Alternativ, utilizatorul se poate deconecta și reconecta la aplicația Aplicației Webex pentru a actualiza locația pe care aplicația o contactează pentru cheile de criptare.

                                                                                                                                                    Același comportament apare atunci când mutați un proces la producție pentru organizație. Toți utilizatorii non-trial cu conexiuni ECDH existente la serviciile anterioare de securitate a datelor vor continua să utilizeze aceste servicii până când conexiunea ECDH este renegociată (prin expirare sau prin deconectare și reconectare).

                                                                                                                                                  Utilizați OpenSSL pentru a genera un fișier PKCS12

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • OpenSSL este un instrument care poate fi folosit pentru a face fișierul PKCS12 în formatul adecvat pentru încărcare în instrumentul de configurare HDS. Există alte modalități de a face acest lucru, și nu sprijinim sau promovăm un mod peste altul.

                                                                                                                                                  • Dacă alegeți să utilizați OpenSSL, oferim această procedură ca ghid pentru a vă ajuta să creați un fișier care îndeplinește cerințele certificatului X.509 din X.509 Cerințe de certificat. Înțelegeți aceste cerințe înainte de a continua.

                                                                                                                                                  • Instalați OpenSSL într-un mediu acceptat. Consultați https://www.openssl.org pentru software și documentație.

                                                                                                                                                  • Creați o tastă privată.

                                                                                                                                                  • Începeți această procedură atunci când primiți certificatul de server de la Autoritatea dvs. de certificare (CA).

                                                                                                                                                  1

                                                                                                                                                  Când primiți certificatul de server de la CA, salvați-l ca hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Afișați certificatul ca text și verificați detaliile.

                                                                                                                                                  openssl x509 -text -noout -în hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilizați un editor de text pentru a crea un fișier pachet certificat numit hdsnode-bundle.pem. Fișierul pachet trebuie să includă certificatul serverului, orice certificate CA intermediare și certificatele CA rădăcină, în formatul de mai jos:

                                                                                                                                                  ------începe certificatul------ Certificat ### Server. ### ----------------------------------------------------------------------------------------------------- ### Certificat CA intermediar. ### ----------------------------------------------------------------------------------------------------- ### Certificat CA rădăcină. ### ------ Certificat final------

                                                                                                                                                  4

                                                                                                                                                  Creați fișierul .p12 cu numele prietenos kms-private-cheie.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Verificați detaliile certificatului serverului.

                                                                                                                                                  1. openssl pkcs12 -în hdsnode.p12

                                                                                                                                                  2. Introduceți o parolă la solicitarea de criptare a cheii private, astfel încât aceasta să fie listată în ieșire. Apoi, verificați dacă cheia privată și primul certificat includ liniile friendlyName: kms-private-key.

                                                                                                                                                    Exemplu:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12 Introduceți parola de import: MAC verificat OK Bag atribute friendlyName: kms-private-cheie localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Atribute cheie:  Introduceți fraza de trecere PEM: Verificare - Introduceți fraza de trecere PEM: ------ÎNCEPE ÎNCRIPTAT CHEIE PRIVATĂ------  ------END ÎNCRIPTAT CHEIE PRIVATĂ------ Bag Atribute friendlyName: kms-private-cheie localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE-----  -----END CERTIFICATE------ Bag Attribute friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ------  -----END CERTIFICATE-----

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Reveniți la Completarea Condițiilor prealabile pentru securitatea datelor hibride. Veți utiliza fișierul hdsnode.p12 și parola pe care ați setat-o, în Creați un ISO de configurare pentru gazdele HDS.


                                                                                                                                                   

                                                                                                                                                  Puteți reutiliza aceste fișiere pentru a solicita un nou certificat atunci când certificatul original expiră.

                                                                                                                                                  Trafic între nodurile HDS și cloud

                                                                                                                                                  Trafic colecție metrică de ieșire

                                                                                                                                                  Nodurile de securitate a datelor hibride trimit anumite măsurători în cloudul Webex. Acestea includ măsurători de sistem pentru înălțimea maximă, înălțimea utilizată, sarcina CPU și numărul de fire; măsurători pe fire sincrone și asincronice; măsurători pe alerte care implică un prag de conexiuni de criptare, latență sau o lungime a cozii de solicitare; măsurători pe placa de date; și măsurători de conexiune de criptare. Nodurile trimit material cheie criptat printr-un canal în afara benzii (separat de solicitare).

                                                                                                                                                  Trafic de intrare

                                                                                                                                                  Nodurile de securitate a datelor hibride primesc următoarele tipuri de trafic de intrare din cloudul Webex:

                                                                                                                                                  • Cereri de criptare de la clienți, care sunt direcționate de serviciul de criptare

                                                                                                                                                  • Actualizări la software-ul nodului

                                                                                                                                                  Configurați proxy-urile Squid pentru securitatea datelor hibride

                                                                                                                                                  Websocket nu se poate conecta prin Squid Proxy

                                                                                                                                                  Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea conexiunilor websocket (wss:) care necesită securitate hibridă a datelor. Aceste secțiuni oferă îndrumări cu privire la modul de a configura diferite versiuni de Squid pentru a ignora wss: trafic pentru buna funcționare a serviciilor.

                                                                                                                                                  Calmar 4 și 5

                                                                                                                                                  Adăugați on_unsupported_protocol directiva la squid.conf:

                                                                                                                                                  on_unsupported_protocol tunel toate

                                                                                                                                                  Calmar 3.5.27

                                                                                                                                                  Am testat cu succes Securitatea datelor hibride cu următoarele reguli adăugate la squid.conf. Aceste reguli pot fi modificate pe măsură ce dezvoltăm caracteristici și actualizăm cloud-ul Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::Mercur server_name_regex conexiune ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump state step2 all ssl_bump bump step3 all
                                                                                                                                                  Prefață

                                                                                                                                                  Informații noi și modificate

                                                                                                                                                  Dată

                                                                                                                                                  Modificări efectuate

                                                                                                                                                  20 octombrie 2023

                                                                                                                                                  07 august 2023

                                                                                                                                                  23 mai 2023

                                                                                                                                                  06 decembrie 2022

                                                                                                                                                  23 noiembrie 2022

                                                                                                                                                  13 octombrie 2021

                                                                                                                                                  Docker Desktop trebuie să ruleze un program de configurare înainte de a putea instala noduri HDS. Consultați Cerințele de desktop ale Docker.

                                                                                                                                                  24 iunie 2021

                                                                                                                                                  Rețineți că puteți reutiliza fișierul cu tastatură privată și CSR pentru a solicita un alt certificat. Consultați Utilizarea OpenSSL pentru a genera un fișier PKCS12 pentru detalii.

                                                                                                                                                  30 aprilie 2021

                                                                                                                                                  A schimbat cerința VM pentru spațiul local pe hard disk la 30 GB. Consultați Cerințele Gazdei Virtuale pentru detalii.

                                                                                                                                                  24 februarie 2021

                                                                                                                                                  Instrumentul de configurare HDS poate rula acum în spatele unui proxy. Consultați Creați un ISO de configurare pentru gazdele HDS pentru detalii.

                                                                                                                                                  2 februarie 2021

                                                                                                                                                  HDS poate rula acum fără un fișier ISO montat. Consultați (Opțional) Dezasamblarea ISO după configurarea HDS pentru detalii.

                                                                                                                                                  11 ianuarie 2021

                                                                                                                                                  Au fost adăugate informații despre instrumentul de configurare HDS și proxy-uri pentru a crea un ISO de configurare pentru gazdele HDS.

                                                                                                                                                  13 octombrie 2020

                                                                                                                                                  Fișiere de instalare Descărcare actualizate.

                                                                                                                                                  8 octombrie 2020

                                                                                                                                                  Actualizat Creați un ISO de configurare pentru gazdele HDS și modificați configurația nodului cu comenzi pentru mediile FedRAMP.

                                                                                                                                                  14 august 2020

                                                                                                                                                  Actualizat Creați un ISO de configurare pentru gazdele HDS și modificați configurația nodului cu modificări ale procesului de conectare.

                                                                                                                                                  5 august 2020

                                                                                                                                                  Actualizat Testați implementarea securității datelor hibride pentru modificări ale mesajelor jurnal.

                                                                                                                                                  S-au actualizat Cerințele Gazdei Virtuale pentru a elimina numărul maxim de gazde.

                                                                                                                                                  16 iunie 2020

                                                                                                                                                  Actualizat Eliminați un nod pentru modificările din interfața cu utilizatorul Control Hub.

                                                                                                                                                  4 iunie 2020

                                                                                                                                                  Actualizat Creați un ISO de configurare pentru gazdele HDS pentru modificările din Setările avansate pe care le-ați putea seta.

                                                                                                                                                  29 mai 2020

                                                                                                                                                  Actualizat Creați un ISO de configurare pentru gazdele HDS pentru a afișa puteți utiliza, de asemenea, TLS cu baze de date SQL Server, modificări de interfață de utilizator și alte clarificări.

                                                                                                                                                  5 mai 2020

                                                                                                                                                  Actualizat Cerințele Gazdei Virtuale pentru a afișa noua cerință a ESXi 6.5.

                                                                                                                                                  21 aprilie 2020

                                                                                                                                                  Actualizat Cerințe de conectivitate externă cu noi gazde CI din America.

                                                                                                                                                  Aprilie 1, 2020

                                                                                                                                                  Actualizat Cerințele de conectivitate externă cu informații despre gazdele regionale CI.

                                                                                                                                                  20 februarie 2020Actualizat Creați un ISO de configurare pentru gazdele HDS cu informații despre noul ecran opțional de setări avansate din instrumentul de configurare HDS.
                                                                                                                                                  4 februarie 2020Cerințe server proxy actualizate.
                                                                                                                                                  16 decembrie 2019A clarificat cerința ca modul de rezoluție DNS extern blocat să funcționeze în cerințele serverului proxy.
                                                                                                                                                  19 noiembrie 2019

                                                                                                                                                  Au fost adăugate informații despre modul de rezoluție DNS extern blocat în următoarele secțiuni:

                                                                                                                                                  noiembrie 8, 2019

                                                                                                                                                  Acum puteți configura setările de rețea pentru un nod în timp ce implementați OVA, mai degrabă decât ulterior.

                                                                                                                                                  Actualizat în consecință următoarele secțiuni:


                                                                                                                                                   

                                                                                                                                                  Opțiunea de configurare a setărilor de rețea în timpul implementării OVA a fost testată cu ESXi 6.5. Este posibil ca opțiunea să nu fie disponibilă în versiunile anterioare.

                                                                                                                                                  6 septembrie 2019

                                                                                                                                                  S-a adăugat standardul SQL Server la cerințele serverului bazei de date.

                                                                                                                                                  august 29, 2019A fost adăugată Configurarea proxy-urilor Squid pentru securitatea datelor hibride , cu îndrumări privind configurarea proxy-urilor Squid pentru a ignora traficul websocket pentru funcționarea corespunzătoare.
                                                                                                                                                  20 august 2019

                                                                                                                                                  Secțiuni adăugate și actualizate pentru a acoperi asistența proxy pentru comunicațiile nodului de securitate a datelor hibride în cloudul Webex.

                                                                                                                                                  Pentru a accesa doar conținutul de asistență proxy pentru o implementare existentă, consultați Asistența proxy pentru securitatea datelor hibride și articolul de ajutor Webex Video Mesh .

                                                                                                                                                  13 iunie 2019A fost actualizat Fluxul de activități de producție cu un memento pentru a sincroniza HdsTrialGroup obiectul de grup înainte de a începe un trial dacă organizația dvs. utilizează sincronizarea directorului.
                                                                                                                                                  6 martie 2019
                                                                                                                                                  februarie 28, 2019
                                                                                                                                                  • A corectat cantitatea de spațiu pe hard disk local pe server pe care ar trebui să o setați deoparte atunci când pregătiți gazdele virtuale care devin nodurile de securitate a datelor hibride, de la 50-GB la 20-GB, pentru a reflecta dimensiunea discului pe care OVA îl creează.

                                                                                                                                                  26 februarie 2019
                                                                                                                                                  • Nodurile de securitate a datelor hibride acceptă acum conexiuni criptate cu serverele bazei de date PostgreSQL și conexiuni criptate de conectare la un server syslog TLS capabil. Actualizat Creați un ISO de configurare pentru gazdele HDS cu instrucțiuni.

                                                                                                                                                  • URL-urile de destinație au fost eliminate din tabelul „Cerințe de conectivitate la internet pentru nodul de securitate a datelor hibride VMs”. Tabelul se referă acum la lista menținută în tabelul „URL-uri suplimentare pentru serviciile hibride Webex Teams” din Cerințele rețelei pentru serviciile Webex Teams.

                                                                                                                                                  24 ianuarie 2019

                                                                                                                                                  • Securitatea datelor hibride acceptă acum Microsoft SQL Server ca bază de date. SQL Server întotdeauna activat (întotdeauna pe clusterele de eșec și întotdeauna pe grupurile de disponibilitate) este acceptat de driverele JDBC care sunt utilizate în securitatea datelor hibride. Conținut adăugat legat de implementarea cu SQL Server.


                                                                                                                                                     

                                                                                                                                                    Asistența pentru serverul Microsoft SQL este destinată numai noilor implementări ale securității datelor hibride. În prezent, nu acceptăm migrarea datelor de la PostgreSQL la serverul Microsoft SQL în cadrul unei implementări existente.

                                                                                                                                                  noiembrie 5, 2018
                                                                                                                                                  19 octombrie 2018

                                                                                                                                                  31 iulie 2018

                                                                                                                                                  21 mai 2018

                                                                                                                                                  Terminologia modificată pentru a reflecta rebranding-ul Cisco Spark:

                                                                                                                                                  • Securitatea datelor hibride Cisco Spark este acum Securitatea datelor hibride.

                                                                                                                                                  • Aplicația Cisco Spark este acum aplicația Webex App.

                                                                                                                                                  • Cisco Collaboraton Cloud este acum cloudul Webex.

                                                                                                                                                  11 aprilie 2018
                                                                                                                                                  22 februarie 2018
                                                                                                                                                  februarie 15, 2018
                                                                                                                                                  • În tabelul X.509 Cerințe privind certificatul , s-a specificat că certificatul nu poate fi un certificat de carte de vizită și că KMS utilizează domeniul CN, nu orice domeniu definit în câmpurile SAN x.509v3.

                                                                                                                                                  ianuarie 18, 2018

                                                                                                                                                  noiembrie 2, 2017

                                                                                                                                                  • Sincronizarea directorului clarificată a HdsTrialGroup.

                                                                                                                                                  • Fix instrucțiuni pentru încărcarea fișierului de configurare ISO pentru montare la nodurile VM.

                                                                                                                                                  18 august 2017

                                                                                                                                                  Prima publicare

                                                                                                                                                  Începeți cu securitatea datelor hibride

                                                                                                                                                  Prezentare generală a securității datelor hibride

                                                                                                                                                  Începând cu prima zi, securitatea datelor a fost accentul principal în proiectarea Aplicației Webex. Piatra de temelie a acestei securități este criptarea integrală a conținutului, activată de clienții Aplicației Webex care interacționează cu Serviciul de gestionare a cheilor (KMS). KMS este responsabil pentru crearea și gestionarea cheilor criptografice pe care clienții le utilizează pentru a cripta și decripta în mod dinamic mesajele și fișierele.

                                                                                                                                                  În mod implicit, toți clienții Aplicației Webex primesc criptare end-to-end cu chei dinamice stocate în KMS cloud, în domeniul de securitate al Cisco. Securitatea datelor hibride mută KMS și alte funcții legate de securitate în centrul dvs. de date al întreprinderii, deci nimeni nu deține cheile pentru conținutul dvs. criptat.

                                                                                                                                                  Arhitectură Realm de securitate

                                                                                                                                                  Arhitectura cloud Webex separă diferite tipuri de servicii în domenii separate sau domenii de încredere, după cum este descris mai jos.

                                                                                                                                                  Domenii de separare (fără securitate hibridă a datelor)

                                                                                                                                                  Pentru a înțelege în continuare securitatea datelor hibride, să ne uităm mai întâi la acest caz cloud pur, în care Cisco oferă toate funcțiile din domeniile sale cloud. Serviciul de identitate, singurul loc în care utilizatorii pot fi direct corelați cu informațiile lor personale, cum ar fi adresa de e-mail, este separat în mod logic și fizic de domeniul de securitate din centrul de date B. Ambele sunt, la rândul lor, separate de domeniul în care conținutul criptat este stocat în cele din urmă, în centrul de date C.

                                                                                                                                                  În această diagramă, clientul este aplicația Webex care rulează pe laptopul unui utilizator și s-a autentificat cu serviciul de identitate. Când utilizatorul compune un mesaj pentru a trimite într-un spațiu, au loc următorii pași:

                                                                                                                                                  1. Clientul stabilește o conexiune securizată cu serviciul de gestionare a cheilor (KMS), apoi solicită o cheie pentru a cripta mesajul. Conexiunea securizată utilizează ECDH, iar KMS criptează cheia utilizând o cheie principală AES-256.

                                                                                                                                                  2. Mesajul este criptat înainte de a părăsi clientul. Clientul îl trimite la serviciul de indexare, care creează indexuri de căutare criptate pentru a ajuta în căutările viitoare pentru conținut.

                                                                                                                                                  3. Mesajul criptat este trimis serviciului de conformitate pentru verificări de conformitate.

                                                                                                                                                  4. Mesajul criptat este stocat în domeniul de stocare.

                                                                                                                                                  Când implementați Securitatea datelor hibride, mutați funcțiile domeniului de securitate (KMS, indexare și conformitate) în centrul dvs. de date local. Celelalte servicii cloud care alcătuiesc Webex (inclusiv stocarea identității și a conținutului) rămân în domeniile Cisco.

                                                                                                                                                  Colaborarea cu Alte Organizații

                                                                                                                                                  Utilizatorii din organizația dvs. pot utiliza în mod regulat Aplicația Webex pentru a colabora cu participanți externi din alte organizații. Când unul dintre utilizatorii dvs. solicită o cheie pentru un spațiu care este deținut de organizația dvs. (deoarece a fost creat de unul dintre utilizatorii dvs.), KMS trimite cheia către client printr-un canal ECDH securizat. Cu toate acestea, atunci când o altă organizație deține cheia pentru spațiu, KMS-ul direcționează cererea către cloudul Webex printr-un canal ECDH separat pentru a obține cheia de la KMS-ul corespunzător și apoi returnează cheia către utilizatorul dvs. pe canalul original.

                                                                                                                                                  Serviciul KMS care rulează pe Org A validează conexiunile la KMS în alte organizații utilizând x.509 certificate PKI. Consultați Pregătiți-vă mediul pentru detalii despre generarea unui certificat x.509 pe care să-l utilizați cu implementarea securității datelor hibride.

                                                                                                                                                  Așteptări pentru implementarea securității datelor hibride

                                                                                                                                                  O implementare a securității datelor hibride necesită un angajament semnificativ din partea clienților și o conștientizare a riscurilor pe care le implică deținerea cheilor de criptare.

                                                                                                                                                  Pentru a implementa securitatea datelor hibride, trebuie să furnizați:

                                                                                                                                                  Pierderea completă a configurației ISO pe care o construiți pentru securitatea datelor hibride sau a bazei de date pe care o furnizați va duce la pierderea tastelor. Pierderea tastelor împiedică utilizatorii să decripteze conținutul spațiului și alte date criptate în Aplicația Webex. Dacă se întâmplă acest lucru, puteți construi o nouă implementare, dar numai conținut nou va fi vizibil. Pentru a evita pierderea accesului la date, trebuie:

                                                                                                                                                  • Gestionați backup-ul și recuperarea bazei de date și configurația ISO.

                                                                                                                                                  • Fiți pregătiți să efectuați recuperarea rapidă a dezastrelor dacă apare o catastrofă, cum ar fi defectarea discului de bază de date sau dezastrul centrului de date.


                                                                                                                                                   

                                                                                                                                                  Nu există niciun mecanism pentru a muta cheile înapoi în Cloud după o implementare HDS.

                                                                                                                                                  Proces de configurare la nivel înalt

                                                                                                                                                  Acest document acoperă configurarea și gestionarea implementării securității datelor hibride:

                                                                                                                                                  • Configurați securitatea datelor hibride—Aceasta include pregătirea infrastructurii necesare și instalarea software-ului de securitate a datelor hibride, testarea implementării dvs. cu un subset de utilizatori în modul de încercare și, odată ce testarea dvs. este finalizată, trecerea la producție. Aceasta convertește întreaga organizație pentru a utiliza clusterul dvs. de securitate a datelor hibride pentru funcțiile de securitate.

                                                                                                                                                    Fazele de configurare, încercare și producție sunt acoperite în detaliu în următoarele trei capitole.

                                                                                                                                                  • Mențineți implementarea securității datelor hibride—cloud-ul Webex oferă automat upgrade-uri în curs. Departamentul dvs. IT poate oferi un singur nivel de asistență pentru această implementare și poate angaja asistență Cisco după cum este necesar. Puteți utiliza notificări pe ecran și puteți configura alerte pe bază de e-mail în Control Hub.

                                                                                                                                                  • Înțelegerea alertelor comune, a pașilor de depanare și a problemelor cunoscute—Dacă întâmpinați probleme la implementarea sau utilizarea securității datelor hibride, ultimul capitol din acest ghid și apendicele Probleme cunoscute vă pot ajuta să determinați și să remediați problema.

                                                                                                                                                  Model de implementare a securității datelor hibride

                                                                                                                                                  În cadrul centrului dvs. de date al întreprinderii, implementați Securitatea datelor hibride ca un singur grup de noduri pe gazde virtuale separate. Nodurile comunică cu cloudul Webex prin prize web securizate și HTTP securizat.

                                                                                                                                                  În timpul procesului de instalare, vă oferim fișierul OVA pentru a configura dispozitivul virtual pe VMs pe care le furnizați. Utilizați instrumentul de configurare HDS pentru a crea un fișier ISO de configurare a clusterului personalizat pe care îl montați pe fiecare nod. Clusterul de securitate a datelor hibride utilizează serverul Syslogd furnizat și baza de date PostgreSQL sau Microsoft SQL Server. (Configurați detaliile conexiunii Syslogd și a bazei de date în Instrumentul de configurare HDS.)

                                                                                                                                                  Model de implementare a securității datelor hibride

                                                                                                                                                  Numărul minim de noduri pe care le puteți avea într-un cluster este de două. Vă recomandăm cel puțin trei, și puteți avea până la cinci. Existența mai multor noduri asigură faptul că serviciul nu este întrerupt în timpul unui upgrade de software sau al unei alte activități de întreținere pe un nod. (Cloudul Webex actualizează doar un nod la un moment dat.)

                                                                                                                                                  Toate nodurile dintr-un cluster accesează aceeași bază de date cu tastatură și înregistrează activitatea pe același server syslog. Nodurile în sine sunt apatride și se ocupă de solicitările cheie în modul rotund-robin, așa cum este direcționat de cloud.

                                                                                                                                                  Nodurile devin active atunci când le înregistrați în Control Hub. Pentru a scoate un nod individual din serviciu, îl puteți desînregistra și apoi îl puteți reînregistra, dacă este necesar.

                                                                                                                                                  Sprijinim doar un singur cluster per organizație.

                                                                                                                                                  Mod de încercare pentru securitatea datelor hibride

                                                                                                                                                  După configurarea unei implementări de securitate a datelor hibride, încercați mai întâi cu un set de utilizatori pilot. În timpul perioadei de încercare, acești utilizatori utilizează domeniul local de securitate a datelor hibride pentru cheile de criptare și alte servicii din domeniul de securitate. Ceilalți utilizatori continuă să utilizeze domeniul de securitate cloud.

                                                                                                                                                  Dacă decideți să nu continuați implementarea în timpul perioadei de încercare și să dezactivați serviciul, utilizatorii pilot și orice utilizatori cu care au interacționat prin crearea de spații noi în timpul perioadei de încercare vor pierde accesul la mesaje și conținut. Aceștia vor vedea „Acest mesaj nu poate fi decriptat” în aplicația Webex.

                                                                                                                                                  Dacă sunteți mulțumit că implementarea dvs. funcționează bine pentru utilizatorii de încercare și sunteți pregătit să extindeți Securitatea datelor hibride la toți utilizatorii dvs., mutați implementarea în producție. Utilizatorii pilot continuă să aibă acces la cheile care au fost utilizate în timpul încercării. Cu toate acestea, nu se poate muta înapoi și înainte între modul de producție și procesul inițial. Dacă trebuie să dezactivați serviciul, cum ar fi pentru a efectua recuperarea dezastrelor, atunci când reactivați, trebuie să începeți o nouă încercare și să configurați setul de utilizatori pilot pentru noua încercare înainte de a reveni la modul de producție. Dacă utilizatorii păstrează accesul la date în acest moment depinde de faptul dacă ați menținut cu succes copii de rezervă ale stocului de date cheie și ale fișierului de configurare ISO pentru nodurile de securitate a datelor hibride din cluster.

                                                                                                                                                  Centrul de date standby pentru recuperarea dezastrelor

                                                                                                                                                  În timpul implementării, ați configurat un centru de date standby securizat. În cazul unui dezastru al unui centru de date, puteți eșua manual implementarea în centrul de date standby.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Eşec manual la centrul de date standby

                                                                                                                                                  Bazele de date ale centrelor de date active și standby sunt în sincronizare unele cu altele, ceea ce va reduce la minimum timpul necesar pentru a efectua eșecul. Fișierul ISO al centrului de date standby este actualizat cu configurații suplimentare care asigură că nodurile sunt înregistrate în organizație, dar nu vor gestiona traficul. Prin urmare, nodurile centrului de date standby rămân întotdeauna la zi cu cea mai recentă versiune de software HDS.


                                                                                                                                                   

                                                                                                                                                  Nodurile active de securitate a datelor hibride trebuie să fie întotdeauna în același centru de date ca serverul de bază de date activă.

                                                                                                                                                  Configurarea Centrului de date standby pentru recuperarea dezastrelor

                                                                                                                                                  Urmați pașii de mai jos pentru a configura fișierul ISO al centrului de date standby:

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Centrul de date standby trebuie să reflecte mediul de producție al VMs și o bază de date PostgreSQL sau Microsoft SQL Server de rezervă. De exemplu, dacă producția are 3 VMs care rulează noduri HDS, mediul de rezervă ar trebui să aibă 3 VMs. (Consultați Standby Data Center for Disaster Recovery pentru o prezentare generală a acestui model de eșec.)

                                                                                                                                                  • Asigurați-vă că sincronizarea bazei de date este activată între baza de date a nodurilor de cluster active și pasive.

                                                                                                                                                  1

                                                                                                                                                  Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.


                                                                                                                                                   

                                                                                                                                                  Fișierul ISO trebuie să fie o copie a fișierului ISO original al centrului de date principal pe care urmează să fie făcute următoarele actualizări de configurare.

                                                                                                                                                  2

                                                                                                                                                  După configurarea serverului Syslogd, faceți clic pe Setări avansate

                                                                                                                                                  3

                                                                                                                                                  Pe pagina Setări avansate, adăugați configurația de mai jos pentru a plasa nodul în modul pasiv. În acest mod, nodul va fi înregistrat în organizație și conectat la cloud, dar nu va gestiona niciun trafic.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Completați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit.

                                                                                                                                                  5

                                                                                                                                                  Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare.

                                                                                                                                                  6

                                                                                                                                                  În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări..

                                                                                                                                                  7

                                                                                                                                                  Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Fișier ISO Datastore.


                                                                                                                                                   

                                                                                                                                                  Asigurați-vă că sunt verificate Conectate și Conectate la putere , astfel încât modificările de configurare actualizate să poată intra în vigoare după pornirea nodurilor.

                                                                                                                                                  8

                                                                                                                                                  Activați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute.

                                                                                                                                                  9

                                                                                                                                                  Repetați procesul pentru fiecare nod din centrul de date standby.


                                                                                                                                                   

                                                                                                                                                  Verificați jurnalele pentru a verifica dacă nodurile sunt în mod pasiv. Ar trebui să puteți vizualiza mesajul „KMS configurat în mod pasiv” în jurnalele de sistem.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  După configurare passiveMode în fișierul ISO și salvându-l, puteți crea o altă copie a fișierului ISO fără passiveMode configurare și salvați-l într-o locație sigură. Această copie a fișierului ISO fără passiveMode configurat poate ajuta într-un proces rapid de eșec în timpul recuperării dezastrelor. Consultați Recuperarea dezastrelor utilizând Centrul de date standby pentru procedura detaliată de nereușită.

                                                                                                                                                  Asistență proxy

                                                                                                                                                  Securitatea datelor hibride acceptă inspecții explicite, transparente și proxy-uri neinspectate. Puteți lega aceste proxy-uri de implementarea dvs., astfel încât să puteți securiza și monitoriza traficul de la întreprindere la cloud. Puteți utiliza o interfață de administrator de platformă pe noduri pentru gestionarea certificatelor și pentru a verifica starea generală de conectivitate după ce ați configurat proxy-ul pe noduri.

                                                                                                                                                  Nodurile de securitate a datelor hibride acceptă următoarele opțiuni proxy:

                                                                                                                                                  • Fără proxy—Implicit dacă nu utilizați configurația de configurare a nodului HDS Trust Store și proxy pentru a integra un proxy. Nu este necesară nicio actualizare a certificatului.

                                                                                                                                                  • Proxy fără inspecție transparent—Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy și nu ar trebui să necesite nicio modificare pentru a lucra cu un proxy fără inspecție. Nu este necesară nicio actualizare a certificatului.

                                                                                                                                                  • Tunelare transparentă sau inspecție proxy—Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy. Nu sunt necesare modificări ale configurației HTTP sau HTTPS pe noduri. Cu toate acestea, nodurile au nevoie de un certificat rădăcină, astfel încât să aibă încredere în proxy. De obicei, proxy-urile de inspecție sunt utilizate de IT pentru a pune în aplicare politicile pe care site-urile pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).

                                                                                                                                                  • Proxy explicit—Cu proxy explicit, spuneți nodurilor HDS ce server proxy și sistem de autentificare să utilizați. Pentru a configura un proxy explicit, trebuie să introduceți următoarele informații pe fiecare nod:

                                                                                                                                                    1. IP proxy/FQDN—Adresă care poate fi utilizată pentru a ajunge la utilajul proxy.

                                                                                                                                                    2. Portul proxy—Un număr de port pe care proxy-ul îl folosește pentru a asculta traficul proxy.

                                                                                                                                                    3. Proxy Protocol—În funcție de ce acceptă serverul dvs. proxy, alegeți între următoarele protocoale:

                                                                                                                                                      • HTTP—Vizualizează și controlează toate solicitările pe care clientul le trimite.

                                                                                                                                                      • HTTPS—Oferă un canal serverului. Clientul primește și validează certificatul serverului.

                                                                                                                                                    4. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:

                                                                                                                                                      • Niciuna—Nu este necesară autentificarea suplimentară.

                                                                                                                                                        Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.

                                                                                                                                                      • De bază—Utilizat pentru un agent de utilizator HTTP pentru a furniza un nume de utilizator și o parolă atunci când efectuați o solicitare. Utilizează codificarea Base64.

                                                                                                                                                        Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.

                                                                                                                                                        Vă cere să introduceți numele de utilizator și parola pe fiecare nod.

                                                                                                                                                      • Digest—Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite în rețea.

                                                                                                                                                        Disponibil numai dacă selectați HTTPS ca protocol proxy.

                                                                                                                                                        Vă cere să introduceți numele de utilizator și parola pe fiecare nod.

                                                                                                                                                  Exemplu de noduri hibride de securitate a datelor și proxy

                                                                                                                                                  Această diagramă arată o conexiune de exemplu între securitatea datelor hibride, rețea și un proxy. Pentru inspectarea transparentă și opțiunile HTTPS de inspecție explicită a proxy-urilor, trebuie instalat același certificat rădăcină pe proxy și pe nodurile de securitate a datelor hibride.

                                                                                                                                                  Modul de rezoluție DNS extern blocat (configurații proxy explicite)

                                                                                                                                                  Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează aspectul DNS și conectivitatea la cloudul Cisco Webex. În implementările cu configurații proxy explicite care nu permit rezoluția DNS externă pentru clienții interni, dacă nodul nu poate interoga serverele DNS, acesta intră automat în modul de Rezoluție DNS Externă Blocată. În acest mod, pot continua testele de înregistrare a nodurilor și alte teste de conectivitate proxy.

                                                                                                                                                  Pregătiți-vă mediul

                                                                                                                                                  Cerințe privind securitatea datelor hibride

                                                                                                                                                  Cerințe de licență Cisco Webex

                                                                                                                                                  Pentru implementarea securității datelor hibride:

                                                                                                                                                  Cerințe Docker Desktop

                                                                                                                                                  Înainte de a instala nodurile HDS, aveți nevoie de Docker Desktop pentru a rula un program de configurare. Docker și-a actualizat recent modelul de licențiere. Este posibil ca organizația dvs. să necesite un abonament plătit pentru Docker Desktop. Pentru detalii, consultați postarea pe blog-ul Docker, "Docker actualizează și extinde abonamentele noastre de produse".

                                                                                                                                                  X.509 Cerințe privind certificatul

                                                                                                                                                  Lanțul certificatului trebuie să îndeplinească următoarele cerințe:

                                                                                                                                                  Tabelul 1. Cerințe de certificare X.509 pentru implementarea securității datelor hibride

                                                                                                                                                  Obligatoriu

                                                                                                                                                  Detalii

                                                                                                                                                  • Semnată de o autoritate de certificare de încredere (CA)

                                                                                                                                                  În mod implicit, avem încredere în CA-urile din lista Mozilla (cu excepția WoSign și StartCom) la https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Poartă un nume de domeniu comun (CN) care identifică implementarea securității datelor hibride

                                                                                                                                                  • Nu este un certificat de carte de vizită

                                                                                                                                                  CN-ul nu trebuie să fie accesibil sau o gazdă live. Vă recomandăm să utilizați un nume care reflectă organizația dvs., de exemplu, hds.company.com.

                                                                                                                                                  CN nu trebuie să conțină un * (wildcard).

                                                                                                                                                  CN este utilizat pentru a verifica nodurile de securitate a datelor hibride pentru clienții Aplicației Webex. Toate nodurile de securitate a datelor hibride din clusterul dvs. utilizează același certificat. KMS-ul se identifică utilizând domeniul CN, nu orice domeniu care este definit în câmpurile SAN x.509v3.

                                                                                                                                                  După ce ați înregistrat un nod cu acest certificat, nu acceptăm schimbarea numelui domeniului CN. Alegeți un domeniu care se poate aplica atât implementărilor de încercare, cât și implementărilor de producție.

                                                                                                                                                  • Semnătură non-SHA1

                                                                                                                                                  Software-ul KMS nu acceptă semnăturile SHA1 pentru validarea conexiunilor la KMSs ale altor organizații.

                                                                                                                                                  • Format ca fișier PKCS #12 protejat prin parolă

                                                                                                                                                  • Utilizați numele prietenos al kms-private-key pentru a eticheta certificatul, cheia privată și orice certificate intermediare pentru a încărca.

                                                                                                                                                  Puteți utiliza un convertor, cum ar fi OpenSSL pentru a schimba formatul certificatului.

                                                                                                                                                  Va trebui să introduceți parola atunci când rulați Instrumentul de configurare HDS.

                                                                                                                                                  Software-ul KMS nu impune utilizarea cheii sau restricții extinse de utilizare a cheii. Unele autorități de certificare impun aplicarea unor restricții extinse de utilizare a cheilor pentru fiecare certificat, cum ar fi autentificarea serverului. Este în regulă să utilizați autentificarea serverului sau alte setări.

                                                                                                                                                  Cerințe Gazdă virtuală

                                                                                                                                                  Gazdele virtuale pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. au următoarele cerințe:

                                                                                                                                                  • Cel puțin două gazde separate (3 recomandate) plasate în același centru de date securizat

                                                                                                                                                  • VMware ESXi 6.5 (sau mai târziu) instalat și rulează.


                                                                                                                                                     

                                                                                                                                                    Trebuie să faceți upgrade dacă aveți o versiune anterioară a ESXi.

                                                                                                                                                  • Minim 4 vCPU-uri, 8-GB memorie principală, 30-GB spațiu pe hard disk local pe server

                                                                                                                                                  Cerințe server bază de date


                                                                                                                                                   

                                                                                                                                                  Creați o nouă bază de date pentru stocarea cheilor. Nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.

                                                                                                                                                  Există două opțiuni pentru serverul de baze de date. Cerințele pentru fiecare sunt după cum urmează:

                                                                                                                                                  Tabelul 2. Cerințe server bază de date în funcție de tipul de bază de date

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  • PostgreSQL 14, 15 sau 16, instalat și în funcțiune.

                                                                                                                                                  • Server SQL 2016, 2017 sau 2019 (Enterprise sau Standard) instalat.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 necesită pachetul de servicii 2 și actualizarea cumulativă 2 sau mai târziu.

                                                                                                                                                  Minim 8 vCPU-uri, 16-GB de memorie principală, suficient spațiu pe hard disk și monitorizare pentru a se asigura că nu este depășit (2-TB recomandat dacă doriți să rulați baza de date pentru o lungă perioadă de timp, fără a fi nevoie de a crește spațiul de stocare)

                                                                                                                                                  Minim 8 vCPU-uri, 16-GB de memorie principală, suficient spațiu pe hard disk și monitorizare pentru a se asigura că nu este depășit (2-TB recomandat dacă doriți să rulați baza de date pentru o lungă perioadă de timp, fără a fi nevoie de a crește spațiul de stocare)

                                                                                                                                                  Software-ul HDS instalează în prezent următoarele versiuni de drivere pentru comunicarea cu serverul bazei de date:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  Șofer JDBC Postgres 42.2.5

                                                                                                                                                  Driver JDBC SQL Server 4.6

                                                                                                                                                  Această versiune a driverului acceptă SQL Server întotdeauna activat (întotdeauna pe instanțe de cluster nereușite și întotdeauna pe grupuri de disponibilitate).

                                                                                                                                                  Cerințe suplimentare pentru autentificarea Windows împotriva Microsoft SQL Server

                                                                                                                                                  Dacă doriți ca nodurile HDS să utilizeze autentificarea Windows pentru a obține acces la baza dvs. de date Keystore pe Microsoft SQL Server, atunci aveți nevoie de următoarea configurație în mediul dvs.:

                                                                                                                                                  • Nodurile HDS, infrastructura Active Directory și serverul MS SQL trebuie sincronizate cu NTP.

                                                                                                                                                  • Contul Windows pe care îl furnizați nodurilor HDS trebuie să aibă acces citit/scris la baza de date.

                                                                                                                                                  • Serverele DNS pe care le furnizați nodurilor HDS trebuie să poată rezolva Centrul dvs. de distribuție a cheilor (KDC).

                                                                                                                                                  • Puteți înregistra instanța bazei de date HDS pe serverul dvs. Microsoft SQL ca nume principal de serviciu (SPN) în directorul dvs. activ. Consultați Înregistrarea unui nume principal de serviciu pentru conexiunile Kerberos.

                                                                                                                                                    Instrumentul de configurare HDS, lansatorul HDS și KMS local trebuie să utilizeze autentificarea Windows pentru a accesa baza de date Keystore. Ei folosesc detaliile din configurația ISO pentru a construi SPN atunci când solicită acces cu autentificarea Kerberos.

                                                                                                                                                  Cerințe de conectivitate externă

                                                                                                                                                  Configurați firewall-ul pentru a permite următoarea conectivitate pentru aplicațiile HDS:

                                                                                                                                                  Aplicație

                                                                                                                                                  Protocol

                                                                                                                                                  Port

                                                                                                                                                  Direcție din aplicație

                                                                                                                                                  Destinație

                                                                                                                                                  Noduri de securitate a datelor hibride

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS de ieșire și WSS

                                                                                                                                                  • Servere Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Toate gazdele de identitate comune

                                                                                                                                                  • Alte URL-uri care sunt listate pentru securitatea datelor hibride în tabelul URL-uri suplimentare pentru serviciile hibride Webex al cerințelor rețelei pentru serviciile Webex

                                                                                                                                                  Instrument de configurare HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS de ieșire

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Toate gazdele de identitate comune

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Nodurile de securitate a datelor hibride funcționează cu traducerea accesului la rețea (NAT) sau în spatele unui firewall, atâta timp cât NAT sau firewall permite conexiunile de ieșire necesare la destinațiile de domeniu din tabelul precedent. Pentru conexiunile care intră în nodurile de securitate a datelor hibride, niciun port nu trebuie să fie vizibil de pe internet. În cadrul centrului dvs. de date, clienții au nevoie de acces la nodurile de securitate a datelor hibride din porturile TCP 443 și 22, în scopuri administrative.

                                                                                                                                                  URL-urile gazdelor pentru identitatea comună (CI) sunt specifice regiunii. Acestea sunt gazdele actuale CI:

                                                                                                                                                  Regiune

                                                                                                                                                  URL-uri comune ale gazdei pentru identitate

                                                                                                                                                  Țările din America

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Uniunea Europeană

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Cerințe server proxy

                                                                                                                                                  • Sprijinim oficial următoarele soluții proxy care se pot integra cu nodurile dvs. de securitate a datelor hibride.

                                                                                                                                                  • Acceptăm următoarele combinații de tip autentificare pentru proxy-uri explicite:

                                                                                                                                                    • Nicio autentificare cu HTTP sau HTTPS

                                                                                                                                                    • Autentificare de bază cu HTTP sau HTTPS

                                                                                                                                                    • Autentificare Digest numai cu HTTPS

                                                                                                                                                  • Pentru un proxy de inspecție transparent sau un proxy explicit HTTPS, trebuie să aveți o copie a certificatului rădăcină al proxy-ului. Instrucțiunile de implementare din acest ghid vă spun cum să încărcați copia în magazinele de încredere ale nodurilor de securitate a datelor hibride.

                                                                                                                                                  • Rețeaua care găzduiește nodurile HDS trebuie să fie configurată pentru a forța traficul TCP de ieșire în portul 443 să se deplaseze prin proxy.

                                                                                                                                                  • Proxies care inspectează traficul web pot interfera cu conexiunile de priză web. Dacă apare această problemă, ocolirea (nu inspectarea) traficului la wbx2.com și ciscospark.com va rezolva problema.

                                                                                                                                                  Completați cerințele preliminare pentru securitatea datelor hibride

                                                                                                                                                  Utilizați această listă de verificare pentru a vă asigura că sunteți gata să instalați și să configurați clusterul de securitate a datelor hibride.
                                                                                                                                                  1

                                                                                                                                                  Asigurați-vă că organizația dvs. Webex este activată pentru pachetul Pro pentru Cisco Webex Control Hub și obțineți acreditările unui cont cu drepturi depline de administrator al organizației. Contactați-vă partenerul Cisco sau managerul de cont pentru ajutor în acest proces.

                                                                                                                                                  2

                                                                                                                                                  Alegeți un nume de domeniu pentru implementarea HDS (de exemplu, hds.company.com) și să obțină un lanț de certificate care conține un certificat X.509, cheie privată și orice certificate intermediare. Lanțul certificatului trebuie să îndeplinească cerințele din Cerințele de certificare X.509.

                                                                                                                                                  3

                                                                                                                                                  Pregătiți gazdele virtuale identice pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. Aveți nevoie de cel puțin două gazde separate (3 recomandate) plasate în același centru de date securizat, care îndeplinesc cerințele din Cerințele Gazdei Virtuale.

                                                                                                                                                  4

                                                                                                                                                  Pregătiți serverul bazei de date care va acționa ca un magazin de date cheie pentru cluster, în conformitate cu cerințele serverului bazei de date. Serverul bazei de date trebuie să fie plasat în centrul de date securizat cu gazdele virtuale.

                                                                                                                                                  1. Creați o bază de date pentru stocarea tastelor. (Trebuie să creați această bază de date—nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.)

                                                                                                                                                  2. Colectați detaliile pe care nodurile le vor utiliza pentru a comunica cu serverul bazei de date:

                                                                                                                                                    • numele gazdei sau adresa IP (gazda) și portul

                                                                                                                                                    • numele bazei de date (dbname) pentru stocarea cheilor

                                                                                                                                                    • numele de utilizator și parola unui utilizator cu toate privilegiile din baza de date de stocare cu tastatură

                                                                                                                                                  5

                                                                                                                                                  Pentru recuperarea rapidă a dezastrelor, configurați un mediu de rezervă într-un alt centru de date. Mediul de rezervă reflectă mediul de producție al VMs și un server de baze de date de rezervă. De exemplu, dacă producția are 3 VMs care rulează noduri HDS, mediul de rezervă ar trebui să aibă 3 VMs.

                                                                                                                                                  6

                                                                                                                                                  Configurați o gazdă syslog pentru a colecta jurnale de la nodurile din cluster. Aduna adresa de rețea și portul syslog (implicit este UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Creați o politică de rezervă securizată pentru nodurile de securitate a datelor hibride, serverul bazei de date și gazda syslog. Cel puțin, pentru a preveni pierderea de date nerecuperabile, trebuie să salvați baza de date și fișierul ISO de configurare generat pentru nodurile de securitate a datelor hibride.


                                                                                                                                                   

                                                                                                                                                  Deoarece nodurile de securitate a datelor hibride stochează cheile utilizate în criptarea și decriptarea conținutului, nemenținerea unei implementări operaționale va duce la PIERDEREA NERECUPERABILĂ a conținutului respectiv.

                                                                                                                                                  Clienții Aplicației Webex își ascund cheile, astfel încât este posibil ca o întrerupere să nu fie vizibilă imediat, dar va deveni evidentă în timp. În timp ce ieșirile temporare sunt imposibil de prevenit, acestea sunt recuperabile. Cu toate acestea, pierderea completă (fără backup-uri disponibile) a bazei de date sau a fișierului ISO de configurare va duce la date client nerecuperabile. Operatorii nodurilor de securitate a datelor hibride se așteaptă să mențină backup-uri frecvente ale bazei de date și ale fișierului ISO de configurare și să fie pregătiți să reconstruiască centrul de date de securitate a datelor hibride în cazul în care apare un eșec catastrofal.

                                                                                                                                                  8

                                                                                                                                                  Asigurați-vă că configurația firewall-ului dvs. permite conectivitatea pentru nodurile dvs. de securitate a datelor hibride, astfel cum sunt prezentate în cerințele de conectivitate externă.

                                                                                                                                                  9

                                                                                                                                                  Instalați Docker ( https://www.docker.com) pe orice mașină locală care rulează un sistem de operare acceptat (Microsoft Windows 10 Professional sau Enterprise pe 64 de biți sau Mac OSX Yosemite 10.10.3 sau mai sus) cu un browser web care îl poate accesa la http://127.0.0.1:8080.

                                                                                                                                                  Utilizați instanța Docker pentru a descărca și rula Instrumentul de configurare HDS, care construiește informațiile de configurare locale pentru toate nodurile de securitate a datelor hibride. Este posibil ca organizația dvs. să aibă nevoie de o licență Docker Desktop. Consultați Cerințele Docker Desktop pentru mai multe informații.

                                                                                                                                                  Pentru a instala și rula Instrumentul de configurare HDS, utilajul local trebuie să aibă conectivitatea descrisă în Cerințele de conectivitate externă.

                                                                                                                                                  10

                                                                                                                                                  Dacă integrați un proxy cu securitatea datelor hibride, asigurați-vă că îndeplinește Cerințele serverului proxy.

                                                                                                                                                  11

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului, creați un grup în Active Directory numit HdsTrialGroup, și adăugați utilizatori pilot. Grupul de încercare poate avea până la 250 de utilizatori. Fișierul HdsTrialGroup obiectul trebuie să fie sincronizat în cloud înainte de a putea iniția o încercare pentru organizația dvs. Pentru a sincroniza un obiect de grup, selectați-l în Directory Connector Configurare > Meniu Selecție obiect. (Pentru instrucțiuni detaliate, consultați Ghidul de implementare pentru Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Tastele pentru un anumit spațiu sunt stabilite de creatorul spațiului. Atunci când selectați utilizatori pilot, rețineți că, dacă decideți să dezactivați definitiv implementarea securității datelor hibride, toți utilizatorii pierd accesul la conținut în spațiile create de utilizatorii pilot. Pierderea devine evidentă imediat ce aplicațiile utilizatorilor își reîmprospătează copiile cache ale conținutului.

                                                                                                                                                  Configurarea unui cluster de securitate a datelor hibride

                                                                                                                                                  Flux sarcină de implementare a securității datelor hibride

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Pregătiți-vă mediul

                                                                                                                                                  1

                                                                                                                                                  Descărcați fișierele de instalare

                                                                                                                                                  Descărcați fișierul OVA la utilajul local pentru utilizare ulterioară.

                                                                                                                                                  2

                                                                                                                                                  Creați un ISO de configurare pentru gazdele HDS

                                                                                                                                                  Utilizați instrumentul de configurare HDS pentru a crea un fișier de configurare ISO pentru nodurile de securitate a datelor hibride.

                                                                                                                                                  3

                                                                                                                                                  Instalați gazda HDS OVA

                                                                                                                                                  Creați o mașină virtuală din fișierul OVA și efectuați configurația inițială, cum ar fi setările de rețea.


                                                                                                                                                   

                                                                                                                                                  Opțiunea de configurare a setărilor de rețea în timpul implementării OVA a fost testată cu ESXi 6.5. Este posibil ca opțiunea să nu fie disponibilă în versiunile anterioare.

                                                                                                                                                  4

                                                                                                                                                  Configurați VM-ul de securitate a datelor hibride

                                                                                                                                                  Conectați-vă la consola VM și setați acreditările de conectare. Configurați setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.

                                                                                                                                                  5

                                                                                                                                                  Încărcați și montați ISO de configurare HDS

                                                                                                                                                  Configurați VM din fișierul de configurare ISO pe care l-ați creat cu instrumentul de configurare HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurați nodul HDS pentru integrarea proxy

                                                                                                                                                  Dacă mediul de rețea necesită configurare proxy, specificați tipul de proxy pe care îl veți utiliza pentru nod și adăugați certificatul proxy la magazinul de încredere, dacă este necesar.

                                                                                                                                                  7

                                                                                                                                                  Înregistrați primul nod în cluster

                                                                                                                                                  Înregistrați VM cu cloudul Cisco Webex ca nod de securitate a datelor hibrid.

                                                                                                                                                  8

                                                                                                                                                  Creați și înregistrați mai multe noduri

                                                                                                                                                  Finalizați configurarea clusterului.

                                                                                                                                                  9

                                                                                                                                                  Efectuați un proces și mutați-vă la producție (capitolul următor)

                                                                                                                                                  Până când începeți o încercare, nodurile dvs. generează o alarmă care indică faptul că serviciul dvs. nu este încă activat.

                                                                                                                                                  Descărcați fișierele de instalare

                                                                                                                                                  În această sarcină, descărcați un fișier OVA pe mașina dvs. (nu pe serverele pe care le-ați configurat ca noduri de securitate a datelor hibride). Utilizați acest fișier mai târziu în procesul de instalare.
                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la https://admin.webex.comși apoi faceți clic pe Servicii.

                                                                                                                                                  2

                                                                                                                                                  În secțiunea Servicii hibride, găsiți cardul de securitate a datelor hibride, apoi faceți clic pe Configurare.

                                                                                                                                                  Dacă cardul este dezactivat sau nu îl vedeți, contactați echipa de cont sau organizația parteneră. Dați-le numărul contului dvs. și solicitați să activați organizația dvs. pentru securitatea datelor hibride. Pentru a găsi numărul contului, faceți clic pe dispozitivul din dreapta sus, lângă numele organizației dvs.


                                                                                                                                                   

                                                                                                                                                  De asemenea, puteți descărca OVA în orice moment din secțiunea Ajutor de pe pagina Setări . Pe cardul de securitate a datelor hibride, faceți clic pe Editare setări pentru a deschide pagina. Atunci, faceți clic pe Descărcați software-ul de securitate a datelor hibride în secțiunea Ajutor .


                                                                                                                                                   

                                                                                                                                                  Versiunile mai vechi ale pachetului software (OVA) nu vor fi compatibile cu cele mai recente upgrade-uri de securitate a datelor hibride. Acest lucru poate duce la probleme în timp ce actualizarea aplicației. Asigurați-vă că descărcați cea mai recentă versiune a fișierului OVA.

                                                                                                                                                  3

                                                                                                                                                  Selectați Nu pentru a indica faptul că nu ați configurat încă nodul, apoi faceți clic pe Înainte.

                                                                                                                                                  Fișierul OVA începe automat să se descarce. Salvați fișierul într-o locație de pe utilajul dvs.
                                                                                                                                                  4

                                                                                                                                                  Opțional, faceți clic pe Deschidere Ghid de implementare pentru a verifica dacă există o versiune ulterioară a acestui ghid disponibil.

                                                                                                                                                  Creați un ISO de configurare pentru gazdele HDS

                                                                                                                                                  Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi utilizați ISO pentru a configura gazda dvs. de securitate a datelor hibride.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi depline de administrator pentru organizația dvs.

                                                                                                                                                    Dacă instrumentul de configurare HDS rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin variabilele de mediu Docker atunci când ridicați containerul Docker în pasul 5. Acest tabel oferă unele variabile de mediu posibile:

                                                                                                                                                    Descriere

                                                                                                                                                    Variabilă

                                                                                                                                                    HTTP proxy fără autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy fără autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP proxy cu autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS cu autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Fișierul de configurare ISO pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier oricând efectuați modificări de configurare, cum ar fi acestea:

                                                                                                                                                    • Informații bază de date

                                                                                                                                                    • Actualizări certificat

                                                                                                                                                    • Modificări ale politicii de autorizare

                                                                                                                                                  • Dacă intenționați să criptați conexiunile la baza de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

                                                                                                                                                  1

                                                                                                                                                  La linia de comandă a utilajului dvs., introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                  În medii obișnuite:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  În medii FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, se întoarce o eroare pe care o puteți ignora.

                                                                                                                                                  2

                                                                                                                                                  Pentru a vă conecta la registrul imaginii Docker, introduceți următoarele:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  La promptitudinea parolei, introduceți acest hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Descărcați cea mai recentă imagine stabilă pentru mediul dvs.:

                                                                                                                                                  În medii obișnuite:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  În medii FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Când tragerea este finalizată, introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                  • În medii obișnuite fără proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • În medii obișnuite cu un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • În medii obișnuite cu un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • În medii FedRAMP fără proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • În medii FedRAMP cu un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • În medii FedRAMP cu un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Când containerul rulează, veți vedea "Expres server de ascultare pe portul 8080."

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală.

                                                                                                                                                  Utilizați un browser web pentru a merge la gazda locală, http://127.0.0.1:8080, și introduceți numele de utilizator al administratorului clientului pentru Control Hub la prompt.

                                                                                                                                                  Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul adecvat pentru acel cont. Instrumentul afișează apoi apelul standard de conectare.

                                                                                                                                                  7

                                                                                                                                                  Când vi se solicită, introduceți acreditările de conectare ale administratorului clientului Control Hub, apoi faceți clic pe Conectare pentru a permite accesul la serviciile necesare pentru securitatea datelor hibride.

                                                                                                                                                  8

                                                                                                                                                  Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Get Started.

                                                                                                                                                  9

                                                                                                                                                  Pe pagina ISO Import aveți aceste opțiuni:

                                                                                                                                                  • Nu—Dacă creați primul nod HDS, nu aveți un fișier ISO pentru încărcare.
                                                                                                                                                  • Da—Dacă ați creat deja noduri HDS, apoi selectați fișierul ISO în navigare și încărcați-l.
                                                                                                                                                  10

                                                                                                                                                  Verificați dacă certificatul dvs. X.509 îndeplinește cerințele din Cerințele de certificare X.509.

                                                                                                                                                  • Dacă nu ați mai încărcat un certificat înainte, încărcați certificatul X.509, introduceți parola și faceți clic pe Continuare.
                                                                                                                                                  • Dacă certificatul dvs. este OK, faceți clic pe Continuare.
                                                                                                                                                  • Dacă certificatul dvs. a expirat sau doriți să îl înlocuiți, selectați Nu pentru Continuare utilizând lanțul certificatului HDS și cheia privată din ISO anterior?. Încărcați un nou certificat X.509, introduceți parola și faceți clic pe Continuare.
                                                                                                                                                  11

                                                                                                                                                  Introduceți adresa bazei de date și contul HDS pentru a accesa baza de date cu tastatură:

                                                                                                                                                  1. Selectați tipul bazei de date (PostgreSQL sau Microsoft SQL Server).

                                                                                                                                                    Dacă alegeți Microsoft SQL Server, primiți un câmp tip autentificare.

                                                                                                                                                  2. (Numai serverul Microsoft SQL) Selectați tipul dvs. de autentificare:

                                                                                                                                                    • Autentificare de bază: Aveți nevoie de un nume de cont SQL Server local în câmpul Nume de utilizator .

                                                                                                                                                    • Autentificare Windows: Aveți nevoie de un cont Windows în format username@DOMAIN în câmpul Nume utilizator .

                                                                                                                                                  3. Introduceți adresa serverului bazei de date în formular <hostname>:<port> sau <IP-address>:<port>.

                                                                                                                                                    Exemplu:
                                                                                                                                                    dbhost.example.org:1433 sau 198.51.100.17:1433

                                                                                                                                                    Puteți utiliza o adresă IP pentru autentificarea de bază, dacă nodurile nu pot utiliza DNS pentru a rezolva numele gazdei.

                                                                                                                                                    Dacă utilizați autentificarea Windows, trebuie să introduceți un nume de domeniu complet calificat în format dbhost.example.org:1433

                                                                                                                                                  4. Introduceți numele bazei de date.

                                                                                                                                                  5. Introduceți numele de utilizator și parola unui utilizator cu toate privilegiile din baza de date de stocare cu tastatură.

                                                                                                                                                  12

                                                                                                                                                  Selectați un mod de conectare la baza de date TLS:

                                                                                                                                                  Mod

                                                                                                                                                  Descriere

                                                                                                                                                  Preferați TLS(opțiune implicită)

                                                                                                                                                  Nodurile HDS nu necesită TLS pentru a se conecta la serverul bazei de date. Dacă activați TLS pe serverul bazei de date, nodurile încearcă o conexiune criptată.

                                                                                                                                                  Solicită TLS

                                                                                                                                                  Nodurile HDS se conectează numai dacă serverul bazei de date poate negocia TLS.

                                                                                                                                                  Solicitați TLS și verificați semnatarul certificatului


                                                                                                                                                   

                                                                                                                                                  Acest mod nu se aplică bazelor de date SQL Server.

                                                                                                                                                  • Nodurile HDS se conectează numai dacă serverul bazei de date poate negocia TLS.

                                                                                                                                                  • După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de pe serverul bazei de date cu autoritatea certificatului din certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul scade conexiunea.

                                                                                                                                                  Utilizați controlul certificatului rădăcină din baza de date de mai jos pentru a încărca certificatul rădăcină pentru această opțiune.

                                                                                                                                                  Cereți TLS și verificați semnatarul certificatului și numele gazdei

                                                                                                                                                  • Nodurile HDS se conectează numai dacă serverul bazei de date poate negocia TLS.

                                                                                                                                                  • După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de pe serverul bazei de date cu autoritatea certificatului din certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul scade conexiunea.

                                                                                                                                                  • Nodurile verifică, de asemenea, dacă numele gazdei din certificatul de server corespunde numelui gazdei din câmpul Gazdă bază de date și port . Numele trebuie să corespundă exact, sau nodul scade conexiunea.

                                                                                                                                                  Utilizați controlul certificatului rădăcină din baza de date de mai jos pentru a încărca certificatul rădăcină pentru această opțiune.

                                                                                                                                                  Când încărcați certificatul rădăcină (dacă este necesar) și faceți clic pe Continuare, instrumentul de configurare HDS testează conexiunea TLS la serverul bazei de date. Instrumentul verifică, de asemenea, semnatarul certificatului și numele gazdei, dacă este cazul. Dacă un test eșuează, instrumentul afișează un mesaj de eroare care descrie problema. Puteți alege dacă să ignorați eroarea și să continuați cu configurarea. (Din cauza diferențelor de conectivitate, nodurile HDS ar putea fi capabile să stabilească conexiunea TLS, chiar dacă utilajul Instrumentului de configurare HDS nu o poate testa cu succes.)

                                                                                                                                                  13

                                                                                                                                                  Pe pagina Jurnale de sistem, configurați serverul Syslogd:

                                                                                                                                                  1. Introduceți URL-ul serverului syslog.

                                                                                                                                                    Dacă serverul nu poate fi rezolvat prin DNS din nodurile clusterului dvs. HDS, utilizați o adresă IP în URL.

                                                                                                                                                    Exemplu:
                                                                                                                                                    udp://10.92.43.23:514 indică conectarea la gazda Syslogd 10.92.43.23 pe portul UDP 514.
                                                                                                                                                  2. Dacă configurați serverul pentru a utiliza criptarea TLS, verificați dacă este configurat serverul syslog pentru criptarea SSL?.

                                                                                                                                                    Dacă bifați această casetă de selectare, asigurați-vă că introduceți un URL TCP, cum ar fi tcp://10.92.43.23:514.

                                                                                                                                                  3. Din lista derulantă Choose syslog record termination , alegeți setarea potrivită pentru fișierul dvs. ISO: Alegerea sau linia nouă este utilizată pentru Graylog și Rsyslog TCP

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Newline -- \n—Selectați această opțiune pentru Graylog și Rsyslog TCP.

                                                                                                                                                  4. Faceți clic pe Continuați.

                                                                                                                                                  14

                                                                                                                                                  (Opțional) Puteți modifica valoarea implicită a unor parametri de conexiune la baza de date în Setări avansate. În general, acest parametru este singurul pe care s-ar putea dori să-l modificați:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Faceți clic pe Continuare pe ecranul Resetare Conturi serviciu Parolă .

                                                                                                                                                  Parolele contului de serviciu au o durată de viață de nouă luni. Utilizați acest ecran atunci când parolele dvs. se apropie de expirare sau doriți să le resetați pentru a dezactiva fișierele ISO anterioare.

                                                                                                                                                  16

                                                                                                                                                  Faceți clic pe Descărcați fișierul ISO. Salvați fișierul într-o locație ușor de găsit.

                                                                                                                                                  17.

                                                                                                                                                  Efectuați o copie de rezervă a fișierului ISO pe sistemul local.

                                                                                                                                                  Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare.

                                                                                                                                                  18

                                                                                                                                                  Pentru a închide instrumentul de configurare, tastați CTRL+C.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Backup fișierul ISO de configurare. Aveți nevoie de ea pentru a crea mai multe noduri pentru recuperare, sau pentru a face modificări de configurare. Dacă pierdeți toate copiile fișierului ISO, ați pierdut, de asemenea, cheia principală. Recuperarea tastelor din baza de date PostgreSQL sau Microsoft SQL Server nu este posibilă.


                                                                                                                                                   

                                                                                                                                                  Nu avem niciodată o copie a acestei chei și nu poate ajuta dacă îl pierzi.

                                                                                                                                                  Instalați gazda HDS OVA

                                                                                                                                                  Utilizați această procedură pentru a crea o mașină virtuală din fișierul OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilizați clientul VMware vSphere de pe computer pentru a vă conecta la gazda virtuală ESXi.

                                                                                                                                                  2

                                                                                                                                                  Selectați Fișier > Implementați șablonul OVF.

                                                                                                                                                  3

                                                                                                                                                  În expert, specificați locația fișierului OVA pe care l-ați descărcat mai devreme, apoi faceți clic pe În continuare.

                                                                                                                                                  4

                                                                                                                                                  Pe Selectați un nume și un folder pagină , introduceți o Nume mașină virtuală pentru nod (de exemplu, „HDS_Node_1”), alegeți o locație în care se poate afla implementarea nodului mașinii virtuale, apoi faceți clic pe În continuare.

                                                                                                                                                  5

                                                                                                                                                  Pe Selectați o resursă de calcul pagină , alegeți resursa de calcul destinație, apoi faceți clic pe În continuare.

                                                                                                                                                  O verificare de validare se execută. După ce se termină, apar detaliile șablonului.

                                                                                                                                                  6

                                                                                                                                                  Verificați detaliile șablonului și apoi faceți clic pe Înainte.

                                                                                                                                                  7

                                                                                                                                                  Dacă vi se solicită să alegeți configurația de resurse de pe Configurare pagină , faceți clic pe 4 CPU apoi faceți clic pe În continuare.

                                                                                                                                                  8

                                                                                                                                                  Pe Selectați spațiul de stocare pagină , faceți clic pe În continuare pentru a accepta formatul implicit al discului și politica de stocare VM.

                                                                                                                                                  9

                                                                                                                                                  Pe Selectați rețelele pagină, alege opțiunea de rețea din lista de intrări pentru a oferi conexiunea dorită la VM.

                                                                                                                                                  10

                                                                                                                                                  Pe pagina Personalizați șablonul , configurați următoarele setări ale rețelei:

                                                                                                                                                  • Nume gazdă—Introduceți FQDN (nume de gazdă și domeniu) sau un singur cuvânt nume de gazdă pentru nod.

                                                                                                                                                     
                                                                                                                                                    • Nu este necesar să setați domeniul pentru a se potrivi domeniului pe care l-ați utilizat pentru a obține certificatul X.509.

                                                                                                                                                    • Pentru a vă asigura că vă înregistrați cu succes în cloud, utilizați numai caractere din FQDN sau numele gazdei pe care le-ați setat pentru nod. Capitalizarea nu este acceptată în acest moment.

                                                                                                                                                    • Lungimea totală a FQDN nu trebuie să depășească 64 de caractere.

                                                                                                                                                  • Adresă IP— Introduceți adresa IP pentru interfața internă a nodului.

                                                                                                                                                     

                                                                                                                                                    Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat.

                                                                                                                                                  • Mască—Introduceți adresa măștii subnet în notația punct-zecimală. De exemplu, 255.255.255.0.
                                                                                                                                                  • Gateway—Introduceți adresa IP a gateway-ului. Un gateway este un nod de rețea care servește ca punct de acces la o altă rețea.
                                                                                                                                                  • Servere DNS—Introduceți o listă de servere DNS separate prin virgulă, care se ocupă cu traducerea numelor de domenii către adrese IP numerice. (Sunt permise până la 4 intrări DNS.)
                                                                                                                                                  • Servere NTP—Introduceți serverul NTP al organizației dvs. sau un alt server NTP extern care poate fi utilizat în organizația dvs. Serverele NTP implicite nu pot funcționa pentru toate întreprinderile. De asemenea, puteți utiliza o listă separată prin virgulă pentru a introduce mai multe servere NTP.
                                                                                                                                                  • Implementați toate nodurile din aceeași subrețea sau VLAN, astfel încât toate nodurile dintr-un cluster să poată fi accesate de clienții din rețeaua dvs. în scopuri administrative.

                                                                                                                                                  Dacă preferați, puteți sări peste configurația de setare a rețelei și puteți urma pașii din Configurați VM-ul de securitate a datelor hibride pentru a configura setările din consola nodului.


                                                                                                                                                   

                                                                                                                                                  Opțiunea de configurare a setărilor de rețea în timpul implementării OVA a fost testată cu ESXi 6.5. Este posibil ca opțiunea să nu fie disponibilă în versiunile anterioare.

                                                                                                                                                  11

                                                                                                                                                  Faceți clic dreapta pe nodul VM, apoi alegeți Alimentare > Pornire.

                                                                                                                                                  Software-ul de securitate a datelor hibride este instalat ca invitat pe Gazda VM. Acum sunteți gata să vă conectați la consolă și să configurați nodul.

                                                                                                                                                  Sfaturi pentru depanare

                                                                                                                                                  Este posibil să aveți o întârziere de câteva minute înainte de apariția containerelor de nod. Un mesaj de firewall de legătură apare pe consolă în timpul primei boot-ări, în timpul căreia nu vă puteți conecta.

                                                                                                                                                  Configurați VM-ul de securitate a datelor hibride

                                                                                                                                                  Utilizați această procedură pentru a vă conecta pentru prima dată la consola VM a nodului de securitate a datelor hibride și pentru a seta acreditările de conectare. De asemenea, puteți utiliza consola pentru a configura setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.

                                                                                                                                                  1

                                                                                                                                                  În clientul VMware vSphere, selectați nodul de securitate a datelor hibride VM și selectați fila Console .

                                                                                                                                                  VM pornește în sus și apare un prompt de conectare. Dacă mesajul de conectare nu se afișează, apăsați Enter.
                                                                                                                                                  2

                                                                                                                                                  Utilizați următoarea conectare implicită și parola pentru a vă conecta și a modifica datele de autentificare:

                                                                                                                                                  1. Conectare: admin

                                                                                                                                                  2. Parolă: cisco

                                                                                                                                                  Deoarece vă conectați pentru prima dată la VM, trebuie să schimbați parola de administrator.

                                                                                                                                                  3

                                                                                                                                                  Dacă ați configurat deja setările de rețea în Instalați gazda HDS OVA, omiteți restul acestei proceduri. În caz contrar, în meniul principal, selectați opțiunea Editare configurație .

                                                                                                                                                  4

                                                                                                                                                  Configurați o configurație statică cu adresă IP, Mască, Gateway și informații DNS. Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat.

                                                                                                                                                  5

                                                                                                                                                  (Opțional) Modificați numele gazdei, domeniul sau serverul (serverele) NTP, dacă este necesar pentru a se potrivi cu politica de rețea.

                                                                                                                                                  Nu este necesar să setați domeniul pentru a se potrivi domeniului pe care l-ați utilizat pentru a obține certificatul X.509.

                                                                                                                                                  6

                                                                                                                                                  Salvați configurația de rețea și reporniți VM, astfel încât modificările să aibă efect.

                                                                                                                                                  Încărcați și montați ISO de configurare HDS

                                                                                                                                                  Utilizați această procedură pentru a configura mașina virtuală din fișierul ISO pe care l-ați creat cu instrumentul de configurare HDS.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Deoarece fișierul ISO deține cheia principală, acesta ar trebui să fie expus numai pe o bază „trebuie să știe”, pentru a fi accesat de către VM-urile de securitate a datelor hibride și de orice administratori care ar putea avea nevoie să facă modificări. Asigurați-vă că numai acei administratori pot accesa stația de date.

                                                                                                                                                  1

                                                                                                                                                  Încărcați fișierul ISO de pe computer:

                                                                                                                                                  1. În panoul de navigare din stânga al clientului VMware vSphere, faceţi clic pe serverul ESXi.

                                                                                                                                                  2. În lista Hardware a filei de configurare, faceți clic pe Storage (Depozitare).

                                                                                                                                                  3. În lista Datastores, faceți clic dreapta pe bara de date pentru VMs și faceți clic pe Browse Datastore.

                                                                                                                                                  4. Faceți clic pe pictograma Încărcare fișiere, apoi faceți clic pe Încărcare fișier.

                                                                                                                                                  5. Navigați la locația în care ați descărcat fișierul ISO pe computer și faceți clic pe Deschidere.

                                                                                                                                                  6. Faceți clic pe Da pentru a accepta avertismentul operațiunii de încărcare/descărcare și închideți dialogul cu stația de date.

                                                                                                                                                  2

                                                                                                                                                  Montați fișierul ISO:

                                                                                                                                                  1. În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări.

                                                                                                                                                  2. Faceți clic pe OK pentru a accepta avertismentul privind opțiunile de editare restricționate.

                                                                                                                                                  3. Clic CD/DVD Drive 1, selectați opțiunea de montare dintr-un fișier ISO datastore și navigați la locația în care ați încărcat fișierul ISO de configurare.

                                                                                                                                                  4. Verificați Conectat și Conectat la putere.

                                                                                                                                                  5. Salvați modificările și reporniți mașina virtuală.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Dacă politica dvs. IT necesită, puteți dezinstala opțional fișierul ISO după ce toate nodurile dvs. preiau modificările de configurare. Consultați (Opțional) Dezasamblarea ISO după configurarea HDS pentru detalii.

                                                                                                                                                  Configurați nodul HDS pentru integrarea proxy

                                                                                                                                                  Dacă mediul de rețea necesită un proxy, utilizați această procedură pentru a specifica tipul de proxy pe care doriți să îl integrați cu securitatea datelor hibride. Dacă alegeți un proxy de inspecție transparent sau un proxy explicit HTTPS, puteți utiliza interfața nodului pentru a încărca și instala certificatul rădăcină. De asemenea, puteți verifica conexiunea proxy din interfață și puteți rezolva orice probleme potențiale.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  1

                                                                                                                                                  Introduceți URL-ul de configurare a nodului HDS https://[HDS Node IP or FQDN]/setup într-un browser web, introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.

                                                                                                                                                  2

                                                                                                                                                  Accesați Trust Store & Proxy, apoi alegeți o opțiune:

                                                                                                                                                  • Nu există proxy—Opțiunea implicită înainte de a integra un proxy. Nu este necesară nicio actualizare a certificatului.
                                                                                                                                                  • Proxy transparent fără inspecție- Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy și nu ar trebui să necesite nicio modificare pentru a lucra cu un proxy fără inspecție. Nu este necesară nicio actualizare a certificatului.
                                                                                                                                                  • Inspecție transparentă proxy- Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy. Nu sunt necesare modificări ale configurației HTTPS la implementarea securității datelor hibride, cu toate acestea, nodurile HDS au nevoie de un certificat rădăcină pentru a avea încredere în proxy. De obicei, proxy-urile de inspecție sunt utilizate de IT pentru a pune în aplicare politicile pe care site-urile pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).
                                                                                                                                                  • Proxy explicit—Cu proxy explicit, spuneți clientului (noduri HDS) ce server proxy să utilizeze, iar această opțiune acceptă mai multe tipuri de autentificare. După ce alegeți această opțiune, trebuie să introduceți următoarele informații:
                                                                                                                                                    1. IP proxy/FQDN—Adresă care poate fi utilizată pentru a ajunge la utilajul proxy.

                                                                                                                                                    2. Portul proxy—Un număr de port pe care proxy-ul îl folosește pentru a asculta traficul proxy.

                                                                                                                                                    3. Proxy Protocol—Alegeți http (vizualizează și controlează toate solicitările primite de la client) sau https (oferă un canal serverului, iar clientul primește și validează certificatul serverului). Alegeți o opțiune pe baza a ceea ce acceptă serverul proxy.

                                                                                                                                                    4. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:

                                                                                                                                                      • Niciuna—Nu este necesară autentificarea suplimentară.

                                                                                                                                                        Disponibil pentru proxy-uri HTTP sau HTTPS.

                                                                                                                                                      • De bază—Utilizat pentru un agent de utilizator HTTP pentru a furniza un nume de utilizator și o parolă atunci când efectuați o solicitare. Utilizează codificarea Base64.

                                                                                                                                                        Disponibil pentru proxy-uri HTTP sau HTTPS.

                                                                                                                                                        Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola.

                                                                                                                                                      • Digest—Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite în rețea.

                                                                                                                                                        Disponibil numai pentru proxy-uri HTTPS.

                                                                                                                                                        Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola.

                                                                                                                                                  Urmați pașii următori pentru un proxy de inspecție transparent, un proxy explicit HTTP cu autentificare de bază sau un proxy explicit HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Faceți clic pe Încărcați un certificat rădăcină sau un certificat de entitate finalizată, apoi navigați la o alegere a certificatului rădăcină pentru proxy.

                                                                                                                                                  Certificatul este încărcat, dar nu este încă instalat, deoarece trebuie să reporniți nodul pentru a instala certificatul. Faceți clic pe săgeata chevron după numele emitentului certificatului pentru a obține mai multe detalii sau faceți clic pe Ștergere dacă ați făcut o greșeală și doriți să reîncărcați fișierul.

                                                                                                                                                  4

                                                                                                                                                  Faceți clic pe Verificare conexiune proxy pentru a testa conectivitatea la rețea între nod și proxy.

                                                                                                                                                  Dacă testul conexiunii eșuează, veți vedea un mesaj de eroare care arată motivul și modul în care puteți corecta problema.

                                                                                                                                                  Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a reușit, nodul nu a putut ajunge la serverul DNS. Această condiție este de așteptat în multe configurații proxy explicite. Puteți continua cu configurarea, iar nodul va funcționa în modul de Rezoluție DNS Externă Blocată. Dacă credeți că aceasta este o eroare, completați acești pași și apoi consultați Dezactivarea modului de rezoluție DNS extern blocat.

                                                                                                                                                  5

                                                                                                                                                  După ce testul conexiunii trece, pentru proxy explicit setat numai la https, activați comutatorul pentru a Ruta toate solicitările de port 443/444 https din acest nod prin proxy explicit. Această setare necesită 15 secunde pentru a intra în vigoare.

                                                                                                                                                  6

                                                                                                                                                  Faceți clic pe Instalare toate certificatele în magazinul de încredere (apare pentru un proxy explicit HTTPS sau un proxy de inspecție transparent) sau Reporniți (apare pentru un proxy explicit HTTP), citiți mesajul și apoi faceți clic pe Instalare dacă sunteți pregătit.

                                                                                                                                                  Nodul repornește în câteva minute.

                                                                                                                                                  7

                                                                                                                                                  După repornirea nodului, conectați-vă din nou dacă este necesar, apoi deschideți pagina Prezentare generală pentru a verifica verificările de conectivitate pentru a vă asigura că toate sunt în stare verde.

                                                                                                                                                  Verificarea conexiunii proxy testează numai un subdomeniu al webex.com. Dacă există probleme de conectivitate, o problemă comună este că unele dintre domeniile cloud enumerate în instrucțiunile de instalare sunt blocate la proxy.

                                                                                                                                                  Înregistrați primul nod în cluster

                                                                                                                                                  Această sarcină preia nodul generic pe care l-ați creat în Configurarea VM-ului de securitate a datelor hibride, înregistrează nodul cu cloudul Webex și îl transformă într-un nod de securitate a datelor hibride.

                                                                                                                                                  Când vă înregistrați primul nod, creați un cluster căruia i se atribuie nodul. Un cluster conține unul sau mai multe noduri implementate pentru a oferi redundanță.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Odată ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți.

                                                                                                                                                  • Asigurați-vă că orice blocare pop-up din browser-ul dvs. este dezactivată sau că permiteți o excepție pentru admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Din meniul din partea stângă a ecranului, selectați Servicii.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Servicii hibride, găsiți Securitatea datelor hibride și faceți clic pe Configurare.

                                                                                                                                                  Apare pagina Nod de securitate a datelor hibride de înregistrare.
                                                                                                                                                  4

                                                                                                                                                  Selectați Da pentru a indica faptul că ați configurat nodul și sunteți gata să îl înregistrați, apoi faceți clic pe Înainte.

                                                                                                                                                  5

                                                                                                                                                  În primul câmp, introduceți un nume pentru clusterul la care doriți să alocați nodul dvs. de securitate a datelor hibride.

                                                                                                                                                  Vă recomandăm să denumiți un cluster bazat pe locul în care nodurile clusterului sunt localizate geografic. Exemple: "San Francisco" sau "New York" sau "Dallas"

                                                                                                                                                  6

                                                                                                                                                  În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Înainte.

                                                                                                                                                  Această adresă IP sau FQDN trebuie să corespundă adresei IP sau numelui gazdei și domeniului pe care l-ați utilizat în Configurarea VM-ului de securitate a datelor hibride.

                                                                                                                                                  Apare un mesaj care indică faptul că vă puteți înregistra nodul la Webex.
                                                                                                                                                  7

                                                                                                                                                  Faceți clic pe Du-te la Nod.

                                                                                                                                                  8

                                                                                                                                                  Faceți clic pe Continuare în mesajul de avertizare.

                                                                                                                                                  După câteva momente, sunteți redirecționat către testele de conectivitate la noduri pentru serviciile Webex. Dacă toate testele au succes, apare pagina Permiteți accesul la nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați permisiuni organizației dvs. Webex pentru a accesa nodul dvs.
                                                                                                                                                  9

                                                                                                                                                  Bifați caseta de selectare Permite accesul la nodul dvs. de securitate a datelor hibride , apoi faceți clic pe Continuare.

                                                                                                                                                  Contul dvs. este validat, iar mesajul „Înscriere completă” indică faptul că nodul dvs. este acum înregistrat în cloudul Webex.
                                                                                                                                                  10

                                                                                                                                                  Faceți clic pe link-ul sau închideți fila pentru a reveni la pagina de securitate a datelor hibride Control Hub.

                                                                                                                                                  Pe pagina Securitate datelor hibride, este afișat noul cluster care conține nodul pe care l-ați înregistrat. Nodul va descărca automat cel mai recent software din cloud.

                                                                                                                                                  Creați și înregistrați mai multe noduri

                                                                                                                                                  Pentru a adăuga noduri suplimentare în cluster, creați pur și simplu VMs suplimentare și montați același fișier ISO de configurare, apoi înregistrați nodul. Vă recomandăm să aveți cel puțin 3 noduri.

                                                                                                                                                   

                                                                                                                                                  În acest moment, VMs de rezervă pe care le-ați creat în Completați Condițiile prealabile pentru securitatea datelor hibride sunt gazde standby care sunt utilizate numai în caz de recuperare a dezastrelor; acestea nu sunt înregistrate la sistem până atunci. Pentru detalii, consultați Recuperarea dezastrelor utilizând Centrul de date standby.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Odată ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți.

                                                                                                                                                  • Asigurați-vă că orice blocare pop-up din browser-ul dvs. este dezactivată sau că permiteți o excepție pentru admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Creați o nouă mașină virtuală din OVA, repetând pașii din Instalați gazda HDS OVA.

                                                                                                                                                  2

                                                                                                                                                  Configurați configurația inițială pe noul VM, repetând pașii din Configurați VM-ul de securitate a datelor hibride.

                                                                                                                                                  3

                                                                                                                                                  Pe noul VM, repetați pașii din Încărcați și montați ISO de configurare HDS.

                                                                                                                                                  4

                                                                                                                                                  Dacă configurați un proxy pentru implementarea dvs., repetați pașii din Configurați nodul HDS pentru Integrare proxy , după cum este necesar pentru noul nod.

                                                                                                                                                  5

                                                                                                                                                  Înregistrați nodul.

                                                                                                                                                  1. În https://admin.webex.com, selectați Servicii din meniul din partea stângă a ecranului.

                                                                                                                                                  2. În secțiunea Servicii hibride, găsiți cardul de securitate a datelor hibride și faceți clic pe Resurse.

                                                                                                                                                    Apare pagina Resurse de securitate a datelor hibride.
                                                                                                                                                  3. Faceți clic pe Adăugare resursă.

                                                                                                                                                  4. În primul câmp, selectați numele clusterului existent.

                                                                                                                                                  5. În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Înainte.

                                                                                                                                                    Apare un mesaj care indică faptul că vă puteți înregistra nodul în cloudul Webex.
                                                                                                                                                  6. Faceți clic pe Du-te la Nod.

                                                                                                                                                    După câteva momente, sunteți redirecționat către testele de conectivitate la noduri pentru serviciile Webex. Dacă toate testele au succes, apare pagina Permiteți accesul la nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați permisiuni organizației dvs. pentru a accesa nodul dvs.
                                                                                                                                                  7. Bifați caseta de selectare Permite accesul la nodul dvs. de securitate a datelor hibride , apoi faceți clic pe Continuare.

                                                                                                                                                    Contul dvs. este validat, iar mesajul „Înscriere completă” indică faptul că nodul dvs. este acum înregistrat în cloudul Webex.
                                                                                                                                                  8. Faceți clic pe link-ul sau închideți fila pentru a reveni la pagina de securitate a datelor hibride Control Hub.

                                                                                                                                                  Nodul dvs. este înregistrat. Rețineți că până când începeți o încercare, nodurile dvs. generează o alarmă care indică faptul că serviciul dvs. nu este încă activat.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Efectuați un proces și mutați-vă la producție (capitolul următor)
                                                                                                                                                  Efectuați un proces și mutați-vă la producție

                                                                                                                                                  Încercare la fluxul sarcinilor de producție

                                                                                                                                                  După ce ați configurat un cluster de securitate a datelor hibride, puteți iniția un pilot, puteți adăuga utilizatori la acesta și puteți începe să îl utilizați pentru testarea și verificarea implementării dvs. în vederea trecerii la producție.

                                                                                                                                                  1

                                                                                                                                                  Dacă este cazul, sincronizați HdsTrialGroup obiect de grup.

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați HdsTrialGroup obiectul de grup pentru sincronizare în cloud înainte de a putea începe o încercare. Pentru instrucțiuni, consultați Ghidul de implementare pentru Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Activați procesul

                                                                                                                                                  Începeți o încercare. Până când nu efectuați această sarcină, nodurile dvs. generează o alarmă care indică faptul că serviciul nu este încă activat.

                                                                                                                                                  3

                                                                                                                                                  Testați implementarea securității datelor hibride

                                                                                                                                                  Verificați dacă solicitările cheie trec la implementarea securității datelor hibride.

                                                                                                                                                  4

                                                                                                                                                  Monitorizarea sănătății securității datelor hibride

                                                                                                                                                  Verificați starea și configurați notificările prin e-mail pentru alarme.

                                                                                                                                                  5

                                                                                                                                                  Adăugați sau eliminați utilizatori din procesul dvs.

                                                                                                                                                  6

                                                                                                                                                  Finalizați faza de probă cu una dintre următoarele acțiuni:

                                                                                                                                                  Activați procesul

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați HdsTrialGroup obiectul de grup pentru sincronizare în cloud înainte de a putea iniția o încercare pentru organizația dvs. Pentru instrucțiuni, consultați Ghidul de implementare pentru Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la https://admin.webex.comși apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  Sub Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Stare serviciu, faceți clic pe Inițiere încercare.

                                                                                                                                                  Starea serviciului se modifică în modul de încercare.
                                                                                                                                                  4

                                                                                                                                                  Faceți clic pe Adăugare utilizatori și introduceți adresa de e-mail a unuia sau mai multor utilizatori pentru a pilot utilizând nodurile dvs. de securitate a datelor hibride pentru serviciile de criptare și indexare.

                                                                                                                                                  (Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory pentru a gestiona grupul de încercare, HdsTrialGroup.)

                                                                                                                                                  Testați implementarea securității datelor hibride

                                                                                                                                                  Utilizați această procedură pentru a testa scenariile de criptare a securității datelor hibride.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Configurați implementarea securității datelor hibride.

                                                                                                                                                  • Activați procesul și adăugați mai mulți utilizatori de proces.

                                                                                                                                                  • Asigurați-vă că aveți acces la syslog pentru a verifica dacă solicitările cheie trec la implementarea securității datelor hibride.

                                                                                                                                                  1

                                                                                                                                                  Tastele pentru un anumit spațiu sunt stabilite de creatorul spațiului. Conectați-vă la Aplicația Webex ca unul dintre utilizatorii pilot, apoi creați un spațiu și invitați cel puțin un utilizator pilot și un utilizator non-pilot.


                                                                                                                                                   

                                                                                                                                                  Dacă dezactivați implementarea securității datelor hibride, conținutul din spațiile pe care utilizatorii pilot le creează nu mai este accesibil după ce copiile în cache ale cheilor de criptare sunt înlocuite.

                                                                                                                                                  2

                                                                                                                                                  Trimiteți mesaje către noul spațiu.

                                                                                                                                                  3

                                                                                                                                                  Verificați ieșirea syslog pentru a verifica dacă solicitările cheie trec la implementarea securității datelor hibride.

                                                                                                                                                  1. Pentru a verifica dacă un utilizator stabilește mai întâi un canal securizat la KMS, filtrați pe kms.data.method=create și kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Ar trebui să găsiți o intrare, cum ar fi următoarele (identificatori scurtați pentru lizibilitate):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Pentru a verifica dacă un utilizator solicită o cheie existentă din KMS, filtrați pe kms.data.method=retrieve și kms.data.type=KEY:

                                                                                                                                                    Trebuie să găsiți o intrare, cum ar fi:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Pentru a verifica dacă un utilizator solicită crearea unei noi chei KMS, filtrați pe kms.data.method=create și kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Trebuie să găsiți o intrare, cum ar fi:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Pentru a verifica dacă un utilizator solicită crearea unui nou obiect de resurse KMS (KRO) atunci când este creat un spațiu sau o altă resursă protejată, filtrați pe kms.data.method=create și kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Trebuie să găsiți o intrare, cum ar fi:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitorizarea sănătății securității datelor hibride

                                                                                                                                                  Un indicator de stare din Control Hub vă arată dacă totul este bine cu implementarea securității datelor hibride. Pentru o alertare mai proactivă, înscrieți-vă pentru notificări prin e-mail. Veți fi notificat atunci când există alarme sau upgrade-uri de software care afectează serviciul.
                                                                                                                                                  1

                                                                                                                                                  În Control Hub, selectați Servicii din meniul din partea stângă a ecranului.

                                                                                                                                                  2

                                                                                                                                                  În secțiunea Servicii hibride, găsiți Securitatea datelor hibride și faceți clic pe Setări.

                                                                                                                                                  Apare pagina Setări securitate date hibride.
                                                                                                                                                  3

                                                                                                                                                  În secțiunea Notificări prin e-mail, tastați una sau mai multe adrese de e-mail separate prin virgule și apăsați Enter.

                                                                                                                                                  Adăugați sau eliminați utilizatori din procesul dvs.

                                                                                                                                                  După ce ați activat un trial și ați adăugat setul inițial de utilizatori de trial, puteți adăuga sau elimina membri de trial în orice moment în timp ce procesul este activ.

                                                                                                                                                  Dacă eliminați un utilizator din trial, clientul utilizatorului va solicita chei și crearea de taste din KMS cloud în loc de KMS dvs. Dacă clientul are nevoie de o cheie stocată pe KMS-ul dvs., KMS-ul cloud o va prelua în numele utilizatorului.

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory (în loc de această procedură) pentru a gestiona grupul de încercare, HdsTrialGroup; puteți vizualiza membrii grupului din Control Hub, dar nu îi puteți adăuga sau elimina.

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  Sub Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Modul de încercare din zona de stare a serviciului, faceți clic pe Adăugare utilizatori sau faceți clic pe vizualizare și editare pentru a elimina utilizatorii din trial.

                                                                                                                                                  4

                                                                                                                                                  Introduceți adresa de e-mail a unuia sau mai multor utilizatori pentru a adăuga sau faceți clic pe X de către un ID de utilizator pentru a elimina utilizatorul din încercare. Apoi faceți clic pe Salvare.

                                                                                                                                                  Mutați de la încercare la producție

                                                                                                                                                  Când sunteți mulțumit că implementarea dvs. funcționează bine pentru utilizatorii de încercare, puteți trece la producție. Când treceți la producție, toți utilizatorii din organizație vor utiliza domeniul dvs. local de securitate a datelor hibride pentru cheile de criptare și alte servicii din domeniul de securitate. Nu puteți reveni la modul de încercare din producție decât dacă dezactivați serviciul ca parte a recuperării dezastrelor. Reactivarea serviciului vă cere să configurați o nouă încercare.
                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  Sub Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Stare serviciu, faceți clic pe Mutare în producție.

                                                                                                                                                  4

                                                                                                                                                  Confirmați că doriți să mutați toți utilizatorii la producție.

                                                                                                                                                  Încheiați procesul fără a trece la producție

                                                                                                                                                  Dacă, în timpul perioadei de probă, decideți să nu continuați cu implementarea securității datelor hibride, puteți dezactiva securitatea datelor hibride, care se încheie perioada de probă și mută utilizatorii de încercare înapoi la serviciile de securitate a datelor în cloud. Utilizatorii procesului vor pierde accesul la datele care au fost criptate în timpul procesului.
                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  Sub Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Dezactivare, faceți clic pe Dezactivare.

                                                                                                                                                  4

                                                                                                                                                  Confirmați că doriți să dezactivați serviciul și să finalizați procesul.

                                                                                                                                                  Gestionați implementarea HDS

                                                                                                                                                  Gestionați implementarea HDS

                                                                                                                                                  Utilizați sarcinile descrise aici pentru a gestiona implementarea securității datelor hibride.

                                                                                                                                                  Setați programul de upgrade al clusterului

                                                                                                                                                  Upgrade-urile de software pentru securitatea datelor hibride se fac automat la nivelul clusterului, ceea ce asigură că toate nodurile rulează întotdeauna aceeași versiune de software. Upgrade-urile se efectuează în conformitate cu programul de upgrade pentru cluster. Când un upgrade de software devine disponibil, aveți opțiunea de a actualiza manual clusterul înainte de ora programată de upgrade. Puteți seta un program specific de upgrade sau puteți utiliza programul implicit de 3:00 AM Daily Statele Unite ale Americii: America/Los Angeles. De asemenea, puteți alege să amânați un upgrade viitor, dacă este necesar.

                                                                                                                                                  Pentru a seta programul de upgrade:

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Pe pagina Prezentare generală, în secțiunea Servicii hibride, selectați Securitatea datelor hibride.

                                                                                                                                                  3

                                                                                                                                                  Pe pagina Resurse de securitate a datelor hibride, selectați clusterul.

                                                                                                                                                  4

                                                                                                                                                  În panoul Prezentare generală din dreapta, în secțiunea Setări cluster, selectați numele clusterului.

                                                                                                                                                  5

                                                                                                                                                  Pe pagina Setări, în secțiunea Upgrade, selectați ora și fusul orar pentru programul de upgrade.

                                                                                                                                                  Notă: În cadrul fusului orar, se afișează următoarea dată și oră de upgrade disponibile. Puteți amâna upgrade-ul până în ziua următoare, dacă este necesar, făcând clic pe Amânare.

                                                                                                                                                  Modificarea configurației nodului

                                                                                                                                                  Ocazional, poate fi necesar să modificați configurația nodului dvs. de securitate a datelor hibride dintr-un motiv precum:
                                                                                                                                                  • Modificarea certificatelor x.509 din cauza expirării sau din alte motive.


                                                                                                                                                     

                                                                                                                                                    Nu acceptăm schimbarea numelui domeniului CN al unui certificat. Domeniul trebuie să corespundă domeniului original utilizat pentru înregistrarea clusterului.

                                                                                                                                                  • Actualizarea setărilor bazei de date pentru a trece la o replică a bazei de date PostgreSQL sau Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nu acceptăm migrarea datelor de la PostgreSQL la Microsoft SQL Server sau invers. Pentru a comuta mediul bazei de date, începeți o nouă implementare a securității datelor hibride.

                                                                                                                                                  • Crearea unei noi configurații pentru a pregăti un nou centru de date.

                                                                                                                                                  De asemenea, în scopuri de securitate, Hybrid Data Security utilizează parole de cont de serviciu care au o durată de viață de nouă luni. După ce instrumentul de configurare HDS generează aceste parole, le implementați în fiecare dintre nodurile HDS din fișierul de configurare ISO. Când parolele organizației dvs. expiră, veți primi o notificare din partea echipei Webex pentru a reseta parola pentru contul dvs. de utilaj. (E-mailul include textul, "Utilizați API-ul contului mașinii pentru a actualiza parola.") Dacă parolele dvs. nu au expirat încă, instrumentul vă oferă două opțiuni:

                                                                                                                                                  • Resetare soft—Parolele vechi și noi funcționează timp de până la 10 zile. Utilizați această perioadă pentru a înlocui fișierul ISO pe noduri treptat.

                                                                                                                                                  • Resetare dificilă—Parolele vechi nu mai funcționează imediat.

                                                                                                                                                  În cazul în care parolele expiră fără o resetare, aceasta afectează serviciul HDS, care necesită o resetare imediată hard și înlocuirea fișierului ISO pe toate nodurile.

                                                                                                                                                  Utilizați această procedură pentru a genera un nou fișier ISO de configurare și aplicați-l în cluster.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi depline de administrator pentru organizația dvs.

                                                                                                                                                    Dacă instrumentul de configurare HDS rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin variabilele de mediu Docker atunci când ridicați containerul Docker în 1.e. Acest tabel oferă unele variabile de mediu posibile:

                                                                                                                                                    Descriere

                                                                                                                                                    Variabilă

                                                                                                                                                    HTTP proxy fără autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy fără autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP proxy cu autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS cu autentificare

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Aveți nevoie de o copie a fișierului ISO de configurare curent pentru a genera o nouă configurație. ISO conține cheia principală de criptare a bazei de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de ISO atunci când efectuați modificări de configurare, inclusiv acreditări de bază de date, actualizări ale certificatului sau modificări ale politicii de autorizare.

                                                                                                                                                  1

                                                                                                                                                  Folosind Docker pe o mașină locală, rulați Instrumentul de configurare HDS.

                                                                                                                                                  1. La linia de comandă a utilajului dvs., introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                    În medii obișnuite:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    În medii FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, se întoarce o eroare pe care o puteți ignora.

                                                                                                                                                  2. Pentru a vă conecta la registrul imaginii Docker, introduceți următoarele:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. La promptitudinea parolei, introduceți acest hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Descărcați cea mai recentă imagine stabilă pentru mediul dvs.:

                                                                                                                                                    În medii obișnuite:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    În medii FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Asigurați-vă că trageți cel mai recent instrument de configurare pentru această procedură. Versiunile instrumentului creat înainte de 22 februarie 2018 nu au ecranele de resetare a parolei.

                                                                                                                                                  5. Când tragerea este finalizată, introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                    • În medii obișnuite fără proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • În medii obișnuite cu un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • În medii obișnuite cu un HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • În medii FedRAMP fără proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • În medii FedRAMP cu un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • În medii FedRAMP cu un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Când containerul rulează, veți vedea "Expres server de ascultare pe portul 8080."

                                                                                                                                                  6. Utilizați un browser pentru a vă conecta la gazda locală, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală.

                                                                                                                                                  7. Când vi se solicită, introduceți acreditările de conectare ale clientului Control Hub și apoi faceți clic pe Acceptare pentru a continua.

                                                                                                                                                  8. Importați fișierul ISO de configurare curent.

                                                                                                                                                  9. Urmați instrucțiunile pentru a finaliza instrumentul și descărcați fișierul actualizat.

                                                                                                                                                    Pentru a închide instrumentul de configurare, tastați CTRL+C.

                                                                                                                                                  10. Creați o copie de rezervă a fișierului actualizat într-un alt centru de date.

                                                                                                                                                  2

                                                                                                                                                  Dacă aveți un singur nod HDS care rulează, creați un nou nod de securitate a datelor hibride VM și înregistrați-l utilizând noul fișier ISO de configurare. Pentru instrucțiuni mai detaliate, consultați Creați și înregistrați mai multe noduri.

                                                                                                                                                  1. Instalați gazda HDS OVA.

                                                                                                                                                  2. Configurați HDS VM.

                                                                                                                                                  3. Montați fișierul de configurare actualizat.

                                                                                                                                                  4. Înscrieți noul nod în Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Pentru nodurile HDS existente care rulează fișierul de configurare mai vechi, montați fișierul ISO. Efectuați următoarea procedură pe fiecare nod la rândul său, actualizarea fiecărui nod înainte de a dezactiva următorul nod:

                                                                                                                                                  1. Dezactivați mașina virtuală.

                                                                                                                                                  2. În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări.

                                                                                                                                                  3. Clic CD/DVD Drive 1, selectați opțiunea de montare dintr-un fișier ISO și navigați la locația în care ați descărcat noul fișier ISO de configurare.

                                                                                                                                                  4. Verificați Conectați-vă la putere.

                                                                                                                                                  5. Salvați modificările și puterea pe mașina virtuală.

                                                                                                                                                  4

                                                                                                                                                  Repetați pasul 3 pentru a înlocui configurația de pe fiecare nod rămas care rulează configurația veche.

                                                                                                                                                  Dezactivați Modul De Rezoluție DNS Externă Blocat

                                                                                                                                                  Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează aspectul DNS și conectivitatea la cloudul Cisco Webex. Dacă serverul DNS al nodului nu poate rezolva numele DNS publice, nodul intră automat în modul de Rezoluție DNS Externă Blocată.

                                                                                                                                                  Dacă nodurile dvs. sunt capabile să rezolve numele DNS publice prin intermediul serverelor DNS interne, puteți dezactiva acest mod prin reactivarea testului de conexiune proxy pe fiecare nod.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Asigurați-vă că serverele DNS interne pot rezolva numele DNS publice și că nodurile dvs. pot comunica cu acestea.
                                                                                                                                                  1

                                                                                                                                                  Într-un browser web, deschideți interfața nodului de securitate a datelor hibride (adresă IP/configurare, de exemplu, https://192.0.2.0/setup), introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.

                                                                                                                                                  2

                                                                                                                                                  Accesați Prezentare generală (pagina implicită).

                                                                                                                                                  Când este activată, Rezoluția DNS externă blocată este setată la Da.

                                                                                                                                                  3

                                                                                                                                                  Accesați pagina Trust Store & Proxy .

                                                                                                                                                  4

                                                                                                                                                  Faceți clic pe Verificare conexiune proxy.

                                                                                                                                                  Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a avut succes, nodul nu a putut ajunge la serverul DNS și va rămâne în acest mod. În caz contrar, după ce reporniți nodul și reveniți la pagina Prezentare generală , Rezoluția DNS externă blocată trebuie setată la nr.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Repetați testul conexiunii proxy pe fiecare nod din clusterul de securitate a datelor hibride.

                                                                                                                                                  Eliminați un nod

                                                                                                                                                  Utilizați această procedură pentru a elimina un nod de securitate a datelor hibride din cloudul Webex. După ce eliminați nodul din cluster, ștergeți mașina virtuală pentru a preveni accesul suplimentar la datele dvs. de securitate.
                                                                                                                                                  1

                                                                                                                                                  Utilizați clientul VMware vSphere de pe computer pentru a vă conecta la gazda virtuală ESXi și pentru a dezactiva mașina virtuală.

                                                                                                                                                  2

                                                                                                                                                  Eliminați nodul:

                                                                                                                                                  1. Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2. Pe cardul de securitate a datelor hibride, faceți clic pe Vizualizare toate pentru a afișa pagina Resurse de securitate a datelor hibride.

                                                                                                                                                  3. Selectați clusterul pentru a afișa panoul de Prezentare generală.

                                                                                                                                                  4. Faceți clic pe lista de noduri deschise.

                                                                                                                                                  5. În fila Noduri, selectați nodul pe care doriți să îl eliminați.

                                                                                                                                                  6. Faceți clic pe Acțiuni > Deregister node.

                                                                                                                                                  3

                                                                                                                                                  În clientul vSphere, ștergeți VM. (În panoul de navigare din stânga, faceți clic dreapta pe VM și faceți clic pe Ștergere.)

                                                                                                                                                  Dacă nu ștergeți VM, nu uitați să dezasamblați fișierul de configurare ISO. Fără fișierul ISO, nu puteți utiliza VM pentru a accesa datele de securitate.

                                                                                                                                                  Recuperare dezastre utilizând Centrul de date standby

                                                                                                                                                  Cel mai important serviciu pe care îl oferă clusterul de securitate a datelor hibride este crearea și stocarea de taste utilizate pentru criptarea mesajelor și a altor conținuturi stocate în cloudul Webex. Pentru fiecare utilizator din cadrul organizației care este atribuit securității datelor hibride, noile solicitări de creare a cheilor sunt direcționate către cluster. Clusterul este, de asemenea, responsabil pentru returnarea cheilor pe care le-a creat oricărui utilizator autorizat să le recupereze, de exemplu, membrii unui spațiu de conversație.

                                                                                                                                                  Deoarece clusterul îndeplinește funcția critică de furnizare a acestor chei, este imperativ ca clusterul să rămână în funcțiune și să fie menținute backup-uri adecvate. Pierderea bazei de date Hybrid Data Security sau a configurației ISO utilizate pentru schemă va duce la PIERDEREA INRECUPERABILĂ a conținutului clientului. Următoarele practici sunt obligatorii pentru a preveni o astfel de pierdere:

                                                                                                                                                  Dacă un dezastru face ca implementarea HDS în centrul de date principal să devină indisponibilă, urmați această procedură pentru a eșua manual la centrul de date standby.

                                                                                                                                                  1

                                                                                                                                                  Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.

                                                                                                                                                  2

                                                                                                                                                  După configurarea serverului Syslogd, faceți clic pe Setări avansate

                                                                                                                                                  3

                                                                                                                                                  Pe pagina Setări avansate, adăugați configurația de mai jos sau eliminați passiveMode configurare pentru a activa nodul. Nodul poate gestiona traficul odată ce acesta este configurat.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Completați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit.

                                                                                                                                                  5

                                                                                                                                                  Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare.

                                                                                                                                                  6

                                                                                                                                                  În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări..

                                                                                                                                                  7

                                                                                                                                                  Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Fișier ISO Datastore.


                                                                                                                                                   

                                                                                                                                                  Asigurați-vă că sunt verificate Conectate și Conectate la putere , astfel încât modificările de configurare actualizate să poată intra în vigoare după pornirea nodurilor.

                                                                                                                                                  8

                                                                                                                                                  Activați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute.

                                                                                                                                                  9

                                                                                                                                                  Repetați procesul pentru fiecare nod din centrul de date standby.


                                                                                                                                                   

                                                                                                                                                  Verificați ieșirea syslog pentru a verifica dacă nodurile centrului de date standby nu sunt în mod pasiv. „KMS configurat în mod pasiv” nu trebuie să apară în jurnalele de sistem.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  După eșec, dacă centrul principal de date devine din nou activ, plasați centrul de date în așteptare în modul pasiv, urmând pașii descriși în Configurarea centrului de date în așteptare pentru recuperarea dezastrelor.

                                                                                                                                                  (Opțional) Dezasamblare ISO După configurarea HDS

                                                                                                                                                  Configurația standard HDS rulează cu ISO montat. Dar, unii clienți preferă să nu lase fișierele ISO montate în mod continuu. Puteți demonta fișierul ISO după ce toate nodurile HDS preiau noua configurație.

                                                                                                                                                  Utilizați în continuare fișierele ISO pentru a face modificări de configurare. Când creați un nou ISO sau actualizați un ISO prin Instrumentul de configurare, trebuie să montați ISO actualizat pe toate nodurile HDS. După ce toate nodurile dvs. au preluat modificările de configurare, puteți demonta din nou ISO cu această procedură.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Actualizați toate nodurile HDS la versiunea 2021.01.22.4720 sau o versiune ulterioară.

                                                                                                                                                  1

                                                                                                                                                  Închideți unul dintre nodurile HDS.

                                                                                                                                                  2

                                                                                                                                                  În dispozitivul server vCenter, selectați nodul HDS.

                                                                                                                                                  3

                                                                                                                                                  Alegeți Editați setările > CD/DVD drive și debifați fișierul ISO Datastore.

                                                                                                                                                  4

                                                                                                                                                  Alimentați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 20 de minute.

                                                                                                                                                  5

                                                                                                                                                  Repetați pentru fiecare nod HDS la rândul său.

                                                                                                                                                  Depanarea securității datelor hibride

                                                                                                                                                  Vizualizare alerte și depanare

                                                                                                                                                  O implementare a securității datelor hibride este considerată indisponibilă dacă toate nodurile din cluster sunt inaccesibile sau clusterul funcționează atât de lent încât solicită timp de excludere. Dacă utilizatorii nu pot ajunge la clusterul dvs. de securitate a datelor hibride, aceștia experimentează următoarele simptome:

                                                                                                                                                  • Nu se pot crea spații noi (nu se pot crea chei noi)

                                                                                                                                                  • Mesajele și titlurile spațiului nu pot fi decriptate pentru:

                                                                                                                                                    • Utilizatori noi adăugați într-un spațiu (nu se pot prelua tastele)

                                                                                                                                                    • Utilizatorii existenți dintr-un spațiu care utilizează un client nou (nu pot prelua tastele)

                                                                                                                                                  • Utilizatorii existenți într-un spațiu vor continua să ruleze cu succes atâta timp cât clienții lor au un cache al cheilor de criptare

                                                                                                                                                  Este important să monitorizați în mod corespunzător clusterul de securitate a datelor hibride și să adresați imediat orice alerte pentru a evita perturbarea serviciului.

                                                                                                                                                  Alerte

                                                                                                                                                  Dacă există o problemă cu configurarea securității datelor hibride, Control Hub afișează alerte administratorului organizației și trimite e-mailuri la adresa de e-mail configurată. Alertele acoperă multe scenarii comune.

                                                                                                                                                  Tabelul 1. Probleme comune și pașii pentru a le rezolva

                                                                                                                                                  Alerte

                                                                                                                                                  Acțiune

                                                                                                                                                  Eșecul accesului la baza de date locală.

                                                                                                                                                  Verificați erorile bazei de date sau problemele de rețea locale.

                                                                                                                                                  Eșecul conexiunii la baza de date locală.

                                                                                                                                                  Verificați dacă serverul bazei de date este disponibil, iar acreditările contului de serviciu corespunzător au fost utilizate în configurația nodului.

                                                                                                                                                  Eșecul accesului la servicii în cloud.

                                                                                                                                                  Verificați dacă nodurile pot accesa serverele Webex astfel cum sunt specificate în cerințele de conectivitate externă.

                                                                                                                                                  Reînnoirea înregistrării serviciului în cloud.

                                                                                                                                                  S-a renunțat la înscrierea în serviciile cloud. Reînnoirea înregistrării este în curs.

                                                                                                                                                  Înscrierea în serviciul Cloud a scăzut.

                                                                                                                                                  Înscrierea la serviciile cloud s-a încheiat. Serviciul se închide.

                                                                                                                                                  Serviciul nu este încă activat.

                                                                                                                                                  Activați un proces sau finalizați mutarea procesului la producție.

                                                                                                                                                  Domeniul configurat nu corespunde certificatului serverului.

                                                                                                                                                  Asigurați-vă că certificatul serverului dvs. corespunde domeniului de activare a serviciului configurat.

                                                                                                                                                  Cauza cea mai probabilă este că certificatul CN a fost modificat recent și este acum diferit de CN care a fost utilizat în timpul configurării inițiale.

                                                                                                                                                  Nu s-a reușit autentificarea la serviciile cloud.

                                                                                                                                                  Verificați acuratețea și posibila expirare a acreditărilor contului de serviciu.

                                                                                                                                                  Nu s-a reușit deschiderea fișierului local de keystore.

                                                                                                                                                  Verificați integritatea și precizia parolei în fișierul de keystore local.

                                                                                                                                                  Certificatul serverului local este nevalid.

                                                                                                                                                  Verificați data de expirare a certificatului serverului și confirmați că acesta a fost eliberat de o autoritate de certificare de încredere.

                                                                                                                                                  Nu se pot posta măsurători.

                                                                                                                                                  Verificați accesul la rețeaua locală la serviciile cloud externe.

                                                                                                                                                  directorul /media/configdrive/hds nu există.

                                                                                                                                                  Verificați configurația de montare ISO pe gazda virtuală. Verificați dacă fișierul ISO există, dacă este configurat să fie montat pe repornire și dacă se montează cu succes.

                                                                                                                                                  Depanarea securității datelor hibride

                                                                                                                                                  Utilizați următoarele orientări generale atunci când depanați problemele legate de securitatea datelor hibride.
                                                                                                                                                  1

                                                                                                                                                  Revizuiți Control Hub pentru orice alerte și remediați orice elemente pe care le găsiți acolo.

                                                                                                                                                  2

                                                                                                                                                  Revizuiți ieșirea serverului syslog pentru activitatea din implementarea securității datelor hibride.

                                                                                                                                                  3

                                                                                                                                                  Contactați asistența Cisco.

                                                                                                                                                  Alte note

                                                                                                                                                  Probleme cunoscute pentru securitatea datelor hibride

                                                                                                                                                  • Dacă închideți clusterul de securitate a datelor hibride (prin ștergerea acestuia în Control Hub sau prin închiderea tuturor nodurilor), pierdeți fișierul ISO de configurare sau pierdeți accesul la baza de date Keystore, utilizatorii aplicației Webex nu mai pot utiliza spații din lista lor de persoane care au fost create cu tastele din KMS. Acest lucru este valabil atât pentru operațiunile de încercare, cât și pentru operațiunile de producție. În prezent, nu avem un loc de muncă sau o soluție pentru această problemă și vă solicităm să nu închideți serviciile HDS odată ce acestea gestionează conturile de utilizator active.

                                                                                                                                                  • Un client care are o conexiune ECDH existentă la un KMS menține acea conexiune pentru o perioadă de timp (probabil o oră). Atunci când un utilizator devine membru al unui proces de securitate a datelor hibride, clientul utilizatorului continuă să utilizeze conexiunea ECDH existentă până la expirarea acesteia. Alternativ, utilizatorul se poate deconecta și reconecta la aplicația Aplicației Webex pentru a actualiza locația pe care aplicația o contactează pentru cheile de criptare.

                                                                                                                                                    Același comportament apare atunci când mutați un proces la producție pentru organizație. Toți utilizatorii non-trial cu conexiuni ECDH existente la serviciile anterioare de securitate a datelor vor continua să utilizeze aceste servicii până când conexiunea ECDH este renegociată (prin expirare sau prin deconectare și reconectare).

                                                                                                                                                  Utilizați OpenSSL pentru a genera un fișier PKCS12

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • OpenSSL este un instrument care poate fi folosit pentru a face fișierul PKCS12 în formatul adecvat pentru încărcare în instrumentul de configurare HDS. Există alte modalități de a face acest lucru, și nu sprijinim sau promovăm un mod peste altul.

                                                                                                                                                  • Dacă alegeți să utilizați OpenSSL, oferim această procedură ca ghid pentru a vă ajuta să creați un fișier care îndeplinește cerințele certificatului X.509 din X.509 Cerințe de certificat. Înțelegeți aceste cerințe înainte de a continua.

                                                                                                                                                  • Instalați OpenSSL într-un mediu acceptat. Consultați https://www.openssl.org pentru software și documentație.

                                                                                                                                                  • Creați o tastă privată.

                                                                                                                                                  • Începeți această procedură atunci când primiți certificatul de server de la Autoritatea dvs. de certificare (CA).

                                                                                                                                                  1

                                                                                                                                                  Când primiți certificatul de server de la CA, salvați-l ca hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Afișați certificatul ca text și verificați detaliile.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilizați un editor de text pentru a crea un fișier de pachet de certificate numit hdsnode-bundle.pem. Fișierul pachet trebuie să includă certificatul serverului, orice certificate CA intermediare și certificatele CA rădăcină, în formatul de mai jos:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Creați fișierul .p12 cu numele prietenos kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Verificați detaliile certificatului serverului.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Introduceți o parolă la solicitarea de criptare a cheii private, astfel încât aceasta să fie listată în ieșire. Apoi, verificați dacă cheia privată și primul certificat includ liniile friendlyName: kms-private-key.

                                                                                                                                                    Exemplu:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Reveniți la Completarea Condițiilor prealabile pentru securitatea datelor hibride. Veţi utiliza hdsnode.p12 fișier și parola pe care ați setat-o pentru acesta, în Creați un ISO de configurare pentru gazdele HDS.


                                                                                                                                                   

                                                                                                                                                  Puteți reutiliza aceste fișiere pentru a solicita un nou certificat atunci când certificatul original expiră.

                                                                                                                                                  Trafic între nodurile HDS și cloud

                                                                                                                                                  Trafic colecție metrică de ieșire

                                                                                                                                                  Nodurile de securitate a datelor hibride trimit anumite măsurători în cloudul Webex. Acestea includ măsurători de sistem pentru înălțimea maximă, înălțimea utilizată, sarcina CPU și numărul de fire; măsurători pe fire sincrone și asincronice; măsurători pe alerte care implică un prag de conexiuni de criptare, latență sau o lungime a cozii de solicitare; măsurători pe placa de date; și măsurători de conexiune de criptare. Nodurile trimit material cheie criptat printr-un canal în afara benzii (separat de solicitare).

                                                                                                                                                  Trafic de intrare

                                                                                                                                                  Nodurile de securitate a datelor hibride primesc următoarele tipuri de trafic de intrare din cloudul Webex:

                                                                                                                                                  • Cereri de criptare de la clienți, care sunt rutate de serviciul de criptare

                                                                                                                                                  • Actualizări la software-ul nodului

                                                                                                                                                  Configurați proxy-urile Squid pentru securitatea datelor hibride

                                                                                                                                                  Șoseta web nu se poate Conecta Prin Proxy Squid

                                                                                                                                                  Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea websocket ( wss:) conexiuni care necesită Securitatea datelor hibride. Aceste secțiuni oferă îndrumări cu privire la modul de configurare a diferitelor versiuni de Squid pentru a ignora wss: trafic pentru buna funcționare a serviciilor.

                                                                                                                                                  Squid 4 și 5

                                                                                                                                                  Adăugați on_unsupported_protocol directivă privind squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Am testat cu succes Securitatea datelor hibride cu următoarele reguli adăugate la squid.conf. Aceste reguli se pot modifica pe măsură ce dezvoltăm caracteristici și actualizăm cloudul Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all

                                                                                                                                                  Înainte

                                                                                                                                                  Informații noi și modificate

                                                                                                                                                  Dată

                                                                                                                                                  Modificări efectuate

                                                                                                                                                  20 octombrie 2023

                                                                                                                                                  07 august 2023

                                                                                                                                                  23 mai 2023

                                                                                                                                                  06 decembrie 2022

                                                                                                                                                  23 noiembrie 2022

                                                                                                                                                  octombrie 13, 2021

                                                                                                                                                  Desktopul Docker trebuie să ruleze un program de configurare înainte de a putea instala nodurile HDS. Consultați Cerințe desktop docker.

                                                                                                                                                  iunie 24, 2021

                                                                                                                                                  Rețineți că puteți reutiliza fișierul cu cheie privată și CSR pentru a solicita un alt certificat. Consultați Utilizarea OpenSSL pentru a genera un fișier PKCS12 pentru detalii.

                                                                                                                                                  30 aprilie 2021

                                                                                                                                                  S-a modificat cerința VM pentru spațiul local pe hard disk la 30 GB. Consultați Cerințele gazdei virtuale pentru detalii.

                                                                                                                                                  februarie 24, 2021

                                                                                                                                                  Instrumentul de configurare HDS poate rula acum în spatele unui proxy. Consultați Creați un ISO de configurare pentru gazdele HDS pentru detalii.

                                                                                                                                                  februarie 2, 2021

                                                                                                                                                  HDS poate rula acum fără un fișier ISO montat. Consultați (Opțional) Demontați ISO după configurarea HDS pentru detalii.

                                                                                                                                                  ianuarie 11, 2021

                                                                                                                                                  Au fost adăugate informații despre instrumentul de configurare HDS și proxy-uri pentru a crea un ISO de configurare pentru gazdele HDS.

                                                                                                                                                  13 octombrie 2020

                                                                                                                                                  Descărcați fișierele de instalare actualizate.

                                                                                                                                                  8 octombrie 2020

                                                                                                                                                  Creați o configurație ISO pentru gazdele HDS și modificați configurația nodului cu comenzi pentru mediile FedRAMP.

                                                                                                                                                  14 august 2020

                                                                                                                                                  Creați o configurație ISO pentru gazdele HDS și modificați configurația nodului cu modificări ale procesului de conectare.

                                                                                                                                                  5 august 2020

                                                                                                                                                  Testați-vă implementarea de securitate a datelor hibride actualizată pentru modificări în mesajele jurnal.

                                                                                                                                                  Cerințele privind gazda virtuală au fost actualizate pentru a elimina numărul maxim de gazde.

                                                                                                                                                  16 iunie 2020

                                                                                                                                                  Eliminați un nod actualizat pentru modificări în interfața cu utilizatorul Control Hub.

                                                                                                                                                  4 iunie 2020

                                                                                                                                                  Creați o configurație ISO pentru gazdele HDS actualizată pentru modificările setărilor avansate pe care le-ați putea seta.

                                                                                                                                                  29 mai 2020

                                                                                                                                                  Creați o configurație ISO pentru gazdele HDS actualizată, pentru a arăta că puteți utiliza, de asemenea, TLS cu baze de date SQL Server, modificări UI și alte clarificări.

                                                                                                                                                  5 mai 2020

                                                                                                                                                  Cerințe pentru gazda virtuală actualizate pentru a afișa noua cerință pentru ESXi 6.5.

                                                                                                                                                  21 aprilie 2020

                                                                                                                                                  Cerințe de conectivitate externă actualizate cu noile gazde CI din Americas.

                                                                                                                                                  Aprilie 1, 2020

                                                                                                                                                  Cerințe de conectivitate externă actualizate cu informații despre gazdele CI regionale.

                                                                                                                                                  20 februarie 2020Creați un ISO de configurare pentru gazdele HDS actualizat cu informații despre noul ecran opțional Setări avansate din Instrumentul de configurare HDS.
                                                                                                                                                  4 februarie 2020Cerințele serverului delegat au fost actualizate.
                                                                                                                                                  16 decembrie 2019A clarificat cerința ca Modul de rezoluție DNS externă blocată să funcționeze în Cerințe server proxy.
                                                                                                                                                  noiembrie 19, 2019

                                                                                                                                                  Au fost adăugate informații despre modul de rezoluție DNS externă blocată în următoarele secțiuni:

                                                                                                                                                  8 noiembrie 2019

                                                                                                                                                  Acum puteți configura setările de rețea pentru un nod în timp ce implementați OVA, și nu ulterior.

                                                                                                                                                  Au fost actualizate următoarele secțiuni în consecință:

                                                                                                                                                  Opțiunea de a configura setările de rețea în timpul implementării OVA a fost testată cu ESXi 6.5. Este posibil ca această opțiune să nu fie disponibilă în versiunile anterioare.

                                                                                                                                                  6 septembrie 2019

                                                                                                                                                  A fost adăugat SQL Server Standard la cerințele serverului bazei de date.

                                                                                                                                                  august 29, 2019A fost adăugat apendicele Configurați proxy-uri Squid pentru securitatea datelor hibride cu îndrumări privind configurarea proxy-urilor Squid pentru a ignora traficul websocket pentru funcționarea corectă.
                                                                                                                                                  august 20, 2019

                                                                                                                                                  Au fost adăugate și actualizate secțiunile pentru a acoperi asistența proxy pentru comunicările nodului de securitate a datelor hibride către cloudul Webex.

                                                                                                                                                  Pentru a accesa doar conținutul de asistență proxy pentru o implementare existentă, consultați articolul de ajutor Asistență proxy pentru securitatea datelor hibride și rețeaua video Webex .

                                                                                                                                                  iunie 13, 2019Fluxul de activități Perioadă de încercare la producție a fost actualizat, cu un memento pentru a sincroniza obiectul de grup HdsTrialGroup înainte de a începe o perioadă de încercare dacă organizația dvs. utilizează sincronizarea directorului.
                                                                                                                                                  6 martie 2019
                                                                                                                                                  februarie 28, 2019
                                                                                                                                                  • S-a corectat cantitatea de spațiu pe hard disk local per server pe care ar trebui să o alocați atunci când pregătiți gazdele virtuale care devin nodurile de securitate a datelor hibride, de la 50 GB la 20 GB, pentru a reflecta dimensiunea discului creat de OVA.

                                                                                                                                                  26 februarie 2019
                                                                                                                                                  • Nodurile de securitate a datelor hibride acceptă acum conexiuni criptate cu servere de baze de date PostgreSQL și conexiuni criptate de conectare la un server syslog compatibil TLS. Creați o configurație ISO pentru gazdele HDS actualizată cu instrucțiuni.

                                                                                                                                                  • Au fost eliminate URL-urile de destinație din tabelul „Cerințe de conectivitate la internet pentru VM-uri noduri de securitate a datelor hibride”. Tabelul se referă acum la lista menținută în tabelul „URL-uri suplimentare pentru serviciile hibride Webex Teams” din Cerințe de rețea pentru serviciile Webex Teams.

                                                                                                                                                  ianuarie 24, 2019

                                                                                                                                                  • Securitatea datelor hibride acceptă acum serverul Microsoft SQL ca bază de date. Serverul SQL activat permanent (clustere de reluare automată activate permanent și grupuri de disponibilitate activate permanent) este acceptat de driverele JDBC care sunt utilizate în Securitatea datelor hibride. A fost adăugat conținut legat de implementarea cu serverul SQL.

                                                                                                                                                    Asistența pentru serverul Microsoft SQL este destinată numai noilor implementări ale securității datelor hibride. În prezent, nu acceptăm migrarea datelor de la PostgreSQL la serverul Microsoft SQL în cadrul unei implementări existente.

                                                                                                                                                  noiembrie 5, 2018
                                                                                                                                                  octombrie 19, 2018

                                                                                                                                                  iulie 31, 2018

                                                                                                                                                  21 mai 2018

                                                                                                                                                  Terminologia a fost modificată pentru a reflecta rebrandingul Cisco Spark:

                                                                                                                                                  • Securitatea datelor hibride Cisco Spark este acum Securitatea datelor hibride.

                                                                                                                                                  • Aplicația Cisco Spark este acum aplicația Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud este acum cloudul Webex.

                                                                                                                                                  aprilie 11, 2018
                                                                                                                                                  22 februarie 2018
                                                                                                                                                  februarie 15, 2018
                                                                                                                                                  • În tabelul Cerințe certificat X.509 , s-a specificat că certificatul nu poate fi un certificat de înlocuire și că KMS utilizează domeniul CN, nu orice domeniu definit în câmpurile SAN x.509v3.

                                                                                                                                                  ianuarie 18, 2018

                                                                                                                                                  noiembrie 2, 2017

                                                                                                                                                  • Sincronizarea directorului clarificat al HdsTrialGroup.

                                                                                                                                                  • Instrucțiuni fixe pentru încărcarea fișierului de configurare ISO pentru montarea pe nodurile VM.

                                                                                                                                                  august 18, 2017

                                                                                                                                                  Prima publicare

                                                                                                                                                  Începeți cu Securitatea datelor hibride

                                                                                                                                                  Prezentare generală a securității datelor hibride

                                                                                                                                                  Încă din prima zi, securitatea datelor a fost accentul principal în proiectarea Aplicației Webex. Piatra de temelie a acestei securități este criptarea conținutului end-to-end, activată de clienții Aplicației Webex care interacționează cu Key Management Service (KMS). KMS este responsabil pentru crearea și gestionarea cheilor criptografice pe care clienții le utilizează pentru a cripta și decripta dinamic mesajele și fișierele.

                                                                                                                                                  În mod implicit, toți clienții Aplicației Webex primesc criptarea end-to-end cu cheile dinamice stocate în cloud KMS, în domeniul securității Cisco. Hybrid Data Security mută KMS și alte funcții legate de securitate în centrul de date al întreprinderii dvs., deci nimeni în afară de dvs. nu deține cheile conținutului dvs. criptat.

                                                                                                                                                  Arhitectura domeniului securitate

                                                                                                                                                  Arhitectura cloud Webex separă diferite tipuri de servicii în domenii sau domenii de încredere separate, așa cum este descris mai jos.

                                                                                                                                                  Domeniile de separare (fără securitatea datelor hibride)

                                                                                                                                                  Pentru a înțelege mai bine Securitatea datelor hibride, să aruncăm o privire mai întâi la acest caz în cloud pur, în care Cisco oferă toate funcțiile din domeniile sale cloud. Serviciul de identitate, singurul loc în care utilizatorii pot fi corelați direct cu informațiile lor personale, cum ar fi adresa de e-mail, este separat logic și fizic de domeniul securității din centrul de date B. Ambele sunt la rândul lor separate de domeniul în care conținutul criptat este stocat în cele din urmă, în centrul de date C.

                                                                                                                                                  În această diagramă, clientul este Aplicația Webex care rulează pe laptopul unui utilizator și s-a autentificat în serviciul de identitate. Atunci când utilizatorul compune un mesaj pentru a-l trimite unui spațiu, se efectuează următorii pași:

                                                                                                                                                  1. Clientul stabilește o conexiune securizată cu serviciul de gestionare a cheilor (KMS), apoi solicită o cheie pentru a cripta mesajul. Conexiunea securizată utilizează ECDH, iar KMS criptează cheia utilizând o cheie principală AES-256.

                                                                                                                                                  2. Mesajul este criptat înainte de a părăsi clientul. Clientul îl trimite către serviciul de indexare, care creează indici de căutare criptați pentru a ajuta la căutările viitoare ale conținutului.

                                                                                                                                                  3. Mesajul criptat este trimis către serviciul de conformitate pentru verificări ale conformității.

                                                                                                                                                  4. Mesajul criptat este stocat în domeniul de stocare.

                                                                                                                                                  Când implementați Securitatea datelor hibride, mutați funcțiile domeniului de securitate (KMS, indexare și conformitate) în centrul dvs. de date local. Celelalte servicii cloud care alcătuiesc Webex (inclusiv stocarea identității și a conținutului) rămân în domeniile Cisco.

                                                                                                                                                  Colaborarea cu alte organizații

                                                                                                                                                  Utilizatorii din organizația dvs. pot utiliza în mod regulat Aplicația Webex pentru a colabora cu participanți externi din alte organizații. Când unul dintre utilizatorii dvs. solicită o cheie pentru un spațiu deținut de organizația dvs. (deoarece a fost creat de unul dintre utilizatorii dvs.), KMS-ul trimite cheia către client printr-un canal securizat ECDH. Cu toate acestea, atunci când o altă organizație deține cheia pentru spațiu, KMS-ul dvs. direcționează solicitarea către cloudul Webex printr-un canal ECDH separat pentru a obține cheia de la KMS corespunzător, apoi returnează cheia utilizatorului pe canalul original.

                                                                                                                                                  Serviciul KMS care rulează pe Org A validează conexiunile la KMS din alte organizații utilizând certificate x.509 PKI. Consultați Pregătiți-vă mediul pentru detalii despre generarea unui certificat x.509 care să fie utilizat cu implementarea securității datelor hibride.

                                                                                                                                                  Așteptări privind implementarea securității datelor hibride

                                                                                                                                                  Proces de configurare la nivel înalt

                                                                                                                                                  Acest document se referă la configurarea și gestionarea unei implementări a securității datelor hibride:

                                                                                                                                                  • Configurați Securitatea datelor hibride- Aceasta include pregătirea infrastructurii necesare și instalarea software-ului de securitate a datelor hibride, testarea implementării cu un subset de utilizatori în modul de încercare și, odată ce testarea este finalizată, trecerea la producție. Această acțiune convertește întreaga organizație să utilizeze clusterul dvs. de securitate a datelor hibride pentru funcții de securitate.

                                                                                                                                                    Fazele de configurare, testare și producție sunt tratate în detaliu în următoarele trei capitole.

                                                                                                                                                  • Mențineți implementarea securității datelor hibride—Webex cloud oferă automat upgrade-uri în curs. Departamentul dvs. IT poate oferi asistență de nivel unu pentru această implementare și poate implica asistența Cisco după cum este necesar. Puteți utiliza notificările pe ecran și puteți configura alerte pe bază de e-mail în Control Hub.

                                                                                                                                                  • Înțelegeți alertele obișnuite, pașii de depanare și problemele cunoscute—Dacă întâmpinați probleme la implementarea sau utilizarea Securității datelor hibride, ultimul capitol al acestui ghid și anexa Probleme cunoscute vă pot ajuta să identificați și să remediați problema.

                                                                                                                                                  Model de implementare a securității datelor hibride

                                                                                                                                                  În centrul de date al întreprinderii, implementați Securitatea datelor hibride ca un singur cluster de noduri pe gazde virtuale separate. Nodurile comunică cu cloudul Webex prin websocketuri securizate și HTTP securizat.

                                                                                                                                                  În timpul procesului de instalare, vă oferim fișierul OVA pentru a configura dispozitivul virtual pe VM-urile pe care le furnizați. Utilizați instrumentul de configurare HDS pentru a crea un fișier ISO de configurare a clusterului personalizat, pe care îl montați pe fiecare nod. Clusterul de securitate a datelor hibride utilizează serverul Syslogd furnizat și baza de date PostgreSQL sau Microsoft SQL Server. (Configurați detaliile de conectare Syslogd și a bazei de date în instrumentul de configurare HDS.)

                                                                                                                                                  Model de implementare a securității datelor hibride

                                                                                                                                                  Numărul minim de noduri pe care le puteți avea într-un cluster este de două. Vă recomandăm cel puțin trei per cluster. Existența mai multor noduri asigură faptul că serviciul nu este întrerupt în timpul unui upgrade de software sau al altei activități de întreținere pe un nod. (Cloudul Webex efectuează upgrade numai pentru un nod la un moment dat.)

                                                                                                                                                  Toate nodurile dintr-un cluster accesează același server de date cheie și jurnal de activitate la același server syslog. Nodurile în sine sunt apatride și gestionează solicitările cheie în modul round-robin, așa cum este direcționat de cloud.

                                                                                                                                                  Nodurile devin active atunci când le înscrieți în Control Hub. Pentru a scoate din uz un nod individual, puteți să-l anulați înscrierea și să-l reînscrieți ulterior, dacă este necesar.

                                                                                                                                                  Acceptăm un singur cluster per organizație.

                                                                                                                                                  Modul de probă pentru securitatea datelor hibride

                                                                                                                                                  După ce ați configurat o implementare de securitate a datelor hibride, încercați mai întâi cu un set de utilizatori pilot. În timpul perioadei de încercare, acești utilizatori utilizează domeniul dvs. local de securitate a datelor hibride pentru cheile de criptare și alte servicii de securitate. Ceilalți dvs. utilizatori continuă să utilizeze domeniul securității în cloud.

                                                                                                                                                  Dacă decideți să nu continuați implementarea în timpul perioadei de încercare și să dezactivați serviciul, utilizatorii pilot și toți utilizatorii cu care au interacționat prin crearea de spații noi în timpul perioadei de încercare vor pierde accesul la mesaje și conținut. Aceștia vor vedea „Acest mesaj nu poate fi decriptat” în Aplicația Webex.

                                                                                                                                                  Dacă sunteți mulțumit de faptul că implementarea funcționează bine pentru utilizatorii din perioada de încercare și sunteți gata să extindeți Securitatea datelor hibride la toți utilizatorii dvs., mutați implementarea la producție. Utilizatorii pilot continuă să aibă acces la cheile care au fost utilizate în timpul perioadei de încercare. Cu toate acestea, nu puteți trece înainte și înapoi între modul de producție și perioada de încercare inițială. Dacă trebuie să dezactivați serviciul, cum ar fi efectuarea recuperării în caz de dezastru, atunci când reactivați trebuie să începeți o nouă perioadă de încercare și să configurați setul de utilizatori pilot pentru noua perioadă de încercare înainte de a reveni la modul de producție. Faptul că utilizatorii păstrează accesul la date în acest moment depinde de menținerea unor copii de siguranță ale depozitului de date cheie și ale fișierului de configurare ISO pentru nodurile de securitate a datelor hibride din clusterul dvs.

                                                                                                                                                  Centrul de date în așteptare pentru recuperarea după dezastre

                                                                                                                                                  În timpul implementării, configurați un centru de date în așteptare securizat. În cazul unui dezastru al centrului de date, puteți eșua manual implementarea la centrul de date în așteptare.

                                                                                                                                                  Înainte de reluarea în caz de nereușită, centrul de date A are noduri HDS active și baza de date principală PostgreSQL sau Microsoft SQL Server, în timp ce B are o copie a fișierului ISO cu configurații suplimentare, VM care sunt înregistrate în organizație și o bază de date în așteptare. După reluarea în caz de nereușită, centrul de date B are noduri HDS active și baza de date principală, în timp ce A are VM neînregistrate și o copie a fișierului ISO, iar baza de date este în modul standby.
                                                                                                                                                  Comutare automată manuală către centrul de date în așteptare

                                                                                                                                                  Bazele de date ale centrelor de date active și de așteptare sunt sincronizate unele cu altele, ceea ce va minimiza timpul necesar pentru efectuarea comutării automate. Fișierul ISO al centrului de date în așteptare este actualizat cu configurații suplimentare care asigură faptul că nodurile sunt înregistrate în organizație, dar nu vor gestiona traficul. Prin urmare, nodurile centrului de date în așteptare rămân întotdeauna la curent cu cea mai recentă versiune a software-ului HDS.

                                                                                                                                                  Nodurile active de securitate a datelor hibride trebuie să fie întotdeauna în același centru de date ca serverul de baze de date active.

                                                                                                                                                  Configurarea centrului de date în așteptare pentru recuperarea după dezastre

                                                                                                                                                  Urmați pașii de mai jos pentru a configura fișierul ISO al centrului de date în așteptare:

                                                                                                                                                  1

                                                                                                                                                  Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.

                                                                                                                                                  Fișierul ISO trebuie să fie o copie a fișierului ISO original al centrului de date principal pe care urmează să fie efectuate următoarele actualizări de configurare.

                                                                                                                                                  2

                                                                                                                                                  După configurarea serverului Syslogd, faceți clic pe Setări avansate

                                                                                                                                                  3

                                                                                                                                                  Adăugați configurația de mai jos pe pagina Setări avansate pentru a plasa nodul în modul pasiv. În acest mod, nodul va fi înscris în organizație și conectat la cloud, dar nu va gestiona niciun trafic.

                                                                                                                                                   Mod pasiv: „adevărat” 

                                                                                                                                                  4

                                                                                                                                                  Finalizați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit.

                                                                                                                                                  5

                                                                                                                                                  Faceți o copie de rezervă a fișierului ISO în sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la acei administratori de securitate a datelor hibride care ar trebui să efectueze modificări de configurație.

                                                                                                                                                  6

                                                                                                                                                  În panoul de navigare stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări..

                                                                                                                                                  7

                                                                                                                                                  Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Datastore ISO File.

                                                                                                                                                  Asigurați-vă că sunt bifate opțiunile Conectat și Conectare la pornire , astfel încât modificările actualizate ale configurației să poată intra în vigoare după pornirea nodurilor.

                                                                                                                                                  8

                                                                                                                                                  Porniți nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute.

                                                                                                                                                  9

                                                                                                                                                  Repetați procesul pentru fiecare nod din centrul de date în așteptare.

                                                                                                                                                  Verificați syslogurile pentru a verifica dacă nodurile sunt în modul pasiv. Ar trebui să puteți vizualiza mesajul „KMS configurat în modul pasiv” în syslogs.

                                                                                                                                                  După configurarea PassiveMode în fișierul ISO și salvarea acestuia, puteți crea o altă copie a fișierului ISO fără configurarea PassiveMode și salvați-l într-o locație sigură. Această copie a fișierului ISO fără configurarea modului pasiv poate ajuta într-un proces rapid de reluare în caz de dezastru în timpul recuperării. Consultați Recuperarea după dezastru utilizând centrul de date în așteptare pentru procedura detaliată de reluare în caz de nereușită.

                                                                                                                                                  Suport proxy

                                                                                                                                                  Hybrid Data Security acceptă inspectarea explicită, transparentă și proxy-uri care nu inspectează. Puteți lega aceste proxy-uri de implementare, astfel încât să puteți securiza și monitoriza traficul de la întreprindere în cloud. Puteți utiliza o interfață de administrator de platformă pe nodurile pentru gestionarea certificatelor și pentru a verifica starea generală a conectivității după ce ați configurat proxy-ul pe noduri.

                                                                                                                                                  Nodurile hibride de securitate a datelor acceptă următoarele opțiuni proxy:

                                                                                                                                                  • Fără proxy—Setare implicită dacă nu utilizați configurația nodului HDS Trust Store și Proxy pentru a integra un proxy. Nu este necesară actualizarea certificatului.

                                                                                                                                                  • Proxy transparent fără inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy și nu ar trebui să necesite modificări pentru a funcționa cu un proxy fără inspectare. Nu este necesară actualizarea certificatului.

                                                                                                                                                  • Proxy transparent pentru tunelare sau inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy. Nu sunt necesare modificări de configurare HTTP sau HTTPS pe noduri. Cu toate acestea, nodurile au nevoie de un certificat rădăcină, astfel încât să aibă încredere în proxy. Proxy-urile de inspectare sunt de obicei utilizate de IT pentru a aplica politici pe care site-urile web pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).

                                                                                                                                                  • Proxy explicit- Cu proxy explicit, spuneți nodurilor HDS ce server proxy și ce schemă de autentificare să utilizați. Pentru a configura un proxy explicit, trebuie să introduceți următoarele informații pe fiecare nod:

                                                                                                                                                    1. IP/FQDN proxy—Adresa care poate fi utilizată pentru a accesa computerul proxy.

                                                                                                                                                    2. Port proxy—Un număr de port utilizat de proxy pentru a asculta traficul protejat.

                                                                                                                                                    3. Protocol proxy- În funcție de ceea ce acceptă serverul proxy, alegeți dintre următoarele protocoale:

                                                                                                                                                      • HTTP - Vizualizează și controlează toate solicitările pe care le trimite clientul.

                                                                                                                                                      • HTTPS - Oferă un canal serverului. Clientul primește și validează certificatul serverului.

                                                                                                                                                    4. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:

                                                                                                                                                      • Fără—Nu este necesară mai multă autentificare.

                                                                                                                                                        Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.

                                                                                                                                                      • De bază—Utilizat pentru un agent de utilizator HTTP care furnizează un nume de utilizator și o parolă atunci când efectuează o solicitare. Utilizează codificarea Base64.

                                                                                                                                                        Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.

                                                                                                                                                        Vă solicită să introduceți numele de utilizator și parola pe fiecare nod.

                                                                                                                                                      • Rezumat- Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite prin rețea.

                                                                                                                                                        Disponibil numai dacă selectați HTTPS ca protocol proxy.

                                                                                                                                                        Vă solicită să introduceți numele de utilizator și parola pe fiecare nod.

                                                                                                                                                  Exemplu de noduri hibride de securitate a datelor și proxy

                                                                                                                                                  Această diagramă afișează un exemplu de conexiune între securitatea datelor hibride, rețea și un proxy. Pentru opțiunile proxy de inspectare transparente și https explicit inspectare, același certificat rădăcină trebuie să fie instalat pe proxy și pe nodurile hibride de securitate a datelor.

                                                                                                                                                  Modul de rezolvare DNS extern blocat (configurații proxy explicite)

                                                                                                                                                  Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează căutarea DNS și conectivitatea la cloud-ul Cisco Webex. În implementările cu configurații proxy explicite care nu permit rezoluția DNS externă pentru clienții interni, dacă nodul nu poate interoga serverele DNS, acesta intră automat în modul Rezoluție DNS externă blocată. În acest mod, înregistrarea nodului și alte teste de conectivitate proxy pot continua.

                                                                                                                                                  Pregătiți-vă mediul

                                                                                                                                                  Cerințe pentru securitatea datelor hibride

                                                                                                                                                  Cerințe de licență Cisco Webex

                                                                                                                                                  Pentru a implementa Securitatea datelor hibride:

                                                                                                                                                  Cerințe desktop docker

                                                                                                                                                  Înainte de a instala nodurile HDS, aveți nevoie de Docker Desktop pentru a rula un program de configurare. Docker și-a actualizat recent modelul de licențiere. Este posibil ca organizația să necesite un abonament plătit pentru Docker Desktop. Pentru detalii, consultați postarea de pe blogul Docker, " Docker actualizează și extinde abonamentele noastre de produse".

                                                                                                                                                  Cerințe certificat X.509

                                                                                                                                                  Lanțul de certificate trebuie să îndeplinească următoarele cerințe:

                                                                                                                                                  Tabelul 1. Cerințe privind certificatul X.509 pentru implementarea securității datelor hibride

                                                                                                                                                  Obligatoriu

                                                                                                                                                  Detalii

                                                                                                                                                  • Semnat de o Autoritate de certificare (CA) de încredere

                                                                                                                                                  În mod implicit, avem încredere în CA-urile din lista Mozilla (cu excepția WoSign și StartCom) la https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Conține un nume de domeniu comun (CN) care identifică implementarea securității datelor hibride

                                                                                                                                                  • Nu este un certificat wildcard

                                                                                                                                                  CN nu trebuie să fie accesibil sau gazdă live. Vă recomandăm să utilizați un nume care reflectă organizația dvs., de exemplu hds.company.com.

                                                                                                                                                  NC nu trebuie să conțină un * (wildcard).

                                                                                                                                                  CN este utilizat pentru a verifica nodurile de securitate a datelor hibride pentru clienții Aplicației Webex. Toate nodurile de securitate a datelor hibride din clusterul dvs. utilizează același certificat. KMS se identifică utilizând domeniul CN, nu orice domeniu definit în câmpurile SAN x.509v3.

                                                                                                                                                  După ce ați înregistrat un nod cu acest certificat, nu acceptăm schimbarea numelui domeniului CN. Alegeți un domeniu care se poate aplica atât la implementările de testare, cât și la cele de producție.

                                                                                                                                                  • Semnătură non-SHA1

                                                                                                                                                  Software-ul KMS nu acceptă semnăturile SHA1 pentru validarea conexiunilor la KMS-urile altor organizații.

                                                                                                                                                  • Formatat ca fișier PKCS #12 protejat prin parolă

                                                                                                                                                  • Utilizați numele prietenos al kms-private-key pentru a eticheta certificatul, cheia privată și orice certificate intermediare de încărcat.

                                                                                                                                                  Puteți utiliza un convertor, cum ar fi OpenSSL, pentru a schimba formatul certificatului.

                                                                                                                                                  Va trebui să introduceți parola atunci când rulați instrumentul de configurare HDS.

                                                                                                                                                  Software-ul KMS nu impune utilizarea cheii sau restricțiile extinse de utilizare a cheii. Unele autorități de certificare solicită ca restricțiile extinse de utilizare a cheii să fie aplicate fiecărui certificat, cum ar fi autentificarea pe server. Este ok să utilizați autentificarea pe server sau alte setări.

                                                                                                                                                  Cerințe pentru gazda virtuală

                                                                                                                                                  Gazdele virtuale pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. au următoarele cerințe:

                                                                                                                                                  • Cel puțin două gazde separate (3 recomandată) se află în același centru de date securizat

                                                                                                                                                  • VMware ESXi 6.5 (sau o versiune ulterioară) instalat și rulează.

                                                                                                                                                    Trebuie să efectuați upgrade dacă aveți o versiune anterioară de ESXi.

                                                                                                                                                  • Minimum 4 vCPU-uri, 8 GB memorie principală, 30 GB spațiu pe hard disk local per server

                                                                                                                                                  Cerințe server de bază de date

                                                                                                                                                  Creați o nouă bază de date pentru stocarea cheilor. Nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.

                                                                                                                                                  Există două opțiuni pentru serverul de bază de date. Cerințele pentru fiecare dintre acestea sunt următoarele:

                                                                                                                                                  Tabelul 2. Cerințele serverului de baze de date în funcție de tipul de bază de date

                                                                                                                                                  Parolă

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  • PostgreSQL 14, 15 sau 16, instalat și rulează.

                                                                                                                                                  • Serverul SQL 2016, 2017 sau 2019 (Enterprise sau Standard) este instalat.

                                                                                                                                                    Serverul SQL 2016 necesită Service Pack 2 și Actualizarea cumulativă 2 sau o versiune ulterioară.

                                                                                                                                                  Minimum 8 vCPU-uri, 16 GB memorie principală, spațiu suficient pe hard disk și monitorizare pentru a vă asigura că nu este depășită (se recomandă 2-TB dacă doriți să rulați baza de date pentru o lungă perioadă de timp fără a fi nevoie să creșteți spațiul de stocare)

                                                                                                                                                  Minimum 8 vCPU-uri, 16 GB memorie principală, spațiu suficient pe hard disk și monitorizare pentru a vă asigura că nu este depășită (se recomandă 2-TB dacă doriți să rulați baza de date pentru o lungă perioadă de timp fără a fi nevoie să creșteți spațiul de stocare)

                                                                                                                                                  Software-ul HDS instalează în prezent următoarele versiuni de drivere pentru comunicarea cu serverul de bază de date:

                                                                                                                                                  Parolă

                                                                                                                                                  Server Microsoft SQL

                                                                                                                                                  Driver Postgres JDBC 42.2.5

                                                                                                                                                  Driver 4.6 pentru serverul SQL JDBC

                                                                                                                                                  Această versiune de driver acceptă SQL Server activat permanent (Instanțe de cluster de reluare în caz de nereușită activată permanent și Grupuri de disponibilitate activate permanent).

                                                                                                                                                  Cerințe suplimentare pentru autentificarea Windows împotriva Microsoft SQL Server

                                                                                                                                                  Dacă doriți ca nodurile HDS să utilizeze autentificarea Windows pentru a obține acces la baza dvs. de date keystore pe Microsoft SQL Server, atunci aveți nevoie de următoarea configurație în mediul dvs.:

                                                                                                                                                  • Nodurile HDS, infrastructura Active Directory și serverul MS SQL trebuie să fie sincronizate cu NTP.

                                                                                                                                                  • Contul Windows pe care îl furnizați nodurilor HDS trebuie să aibă acces de citire/scriere la baza de date.

                                                                                                                                                  • Serverele DNS pe care le furnizați nodurilor HDS trebuie să poată rezolva centrul de distribuție a cheilor (KDC).

                                                                                                                                                  • Puteți înregistra instanța bazei de date HDS pe serverul Microsoft SQL ca nume principal al serviciului (SPN) în Active Directory. Consultați Înscrierea unui nume principal de serviciu pentru conexiunile Kerberos.

                                                                                                                                                    Instrumentul de configurare HDS, lansatorul HDS și KMS local trebuie să utilizeze autentificarea Windows pentru a accesa baza de date din keystore. Aceștia utilizează detaliile din configurația ISO pentru a construi SPN atunci când solicitați acces cu autentificarea Kerberos.

                                                                                                                                                  Cerințe de conectivitate externă

                                                                                                                                                  Configurați firewall-ul pentru a permite următoarea conectivitate pentru aplicațiile HDS:

                                                                                                                                                  Aplicație

                                                                                                                                                  Protocol

                                                                                                                                                  Port

                                                                                                                                                  Direcție din aplicație

                                                                                                                                                  Destinație

                                                                                                                                                  Noduri de securitate a datelor hibride

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS și WSS de ieșire

                                                                                                                                                  • Servere Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Toate gazdele Common Identity

                                                                                                                                                  • Alte URL-uri listate pentru Securitatea datelor hibride în tabelul URL-uri suplimentare pentru serviciile hibride Webex din Cerințe de rețea pentru serviciile Webex

                                                                                                                                                  Instrument de configurare HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS de ieșire

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Toate gazdele Common Identity

                                                                                                                                                  • hub.docker.com

                                                                                                                                                  Nodurile de securitate a datelor hibride funcționează cu traducerea accesului la rețea (NAT) sau în spatele unui firewall, atât timp cât NAT sau firewall permite conexiunile de ieșire necesare la destinațiile de domeniu din tabelul precedent. Pentru conexiunile de intrare la nodurile de securitate a datelor hibride, nu trebuie să fie vizibile porturi de pe internet. În cadrul centrului dvs. de date, clienții au nevoie de acces la nodurile de securitate a datelor hibride de pe porturile TCP 443 și 22, în scopuri administrative.

                                                                                                                                                  URL-urile pentru gazdele Common Identity (CI) sunt specifice regiunii. Acestea sunt gazdele CI actuale:

                                                                                                                                                  Regiune

                                                                                                                                                  URL-uri gazdă Common Identity

                                                                                                                                                  Țările din America

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Uniunea Europeană

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Cerințe server proxy

                                                                                                                                                  • Acceptăm oficial următoarele soluții proxy care se pot integra cu nodurile hibride de securitate a datelor.

                                                                                                                                                  • Acceptăm următoarele combinații de tip de autentificare pentru proxy-uri explicite:

                                                                                                                                                    • Fără autentificare cu HTTP sau HTTPS

                                                                                                                                                    • Autentificare de bază cu HTTP sau HTTPS

                                                                                                                                                    • Autentificare digest numai cu HTTPS

                                                                                                                                                  • Pentru un proxy de inspectare transparent sau un proxy explicit HTTPS, trebuie să aveți o copie a certificatului rădăcină al proxy-ului. Instrucțiunile de implementare din acest ghid vă spun cum să încărcați copia în depozitele de încredere ale nodurilor hibride de securitate a datelor.

                                                                                                                                                  • Rețeaua care găzduiește nodurile HDS trebuie să fie configurată pentru a forța traficul TCP de ieșire pe portul 443 pentru a ruta prin proxy.

                                                                                                                                                  • Proxy-urile care inspectează traficul web pot interfera cu conexiunile de soclu web. Dacă apare această problemă, ocolirea (nu inspectarea) traficului către wbx2.com și ciscospark.com va rezolva problema.

                                                                                                                                                  Completați cerințele preliminare pentru securitatea datelor hibride

                                                                                                                                                  Utilizați această listă de verificare pentru a vă asigura că sunteți gata să instalați și să configurați clusterul de securitate a datelor hibride.
                                                                                                                                                  1

                                                                                                                                                  Asigurați-vă că organizația dvs. Webex este activată pentru Pro Pack pentru Cisco Webex Control Hub și obțineți datele de autentificare ale unui cont cu drepturi de administrator complet al organizației. Contactați-vă partenerul Cisco sau managerul de cont pentru ajutor cu acest proces.

                                                                                                                                                  2

                                                                                                                                                  Alegeți un nume de domeniu pentru implementarea HDS (de exemplu, hds.company.com) și obțineți un lanț de certificate care conține un certificat X.509, o cheie privată și orice certificate intermediare. Lanțul de certificate trebuie să îndeplinească cerințele din Cerințele de certificat X.509.

                                                                                                                                                  3

                                                                                                                                                  Pregătiți gazde virtuale identice pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. Aveți nevoie de cel puțin două gazde separate (3 recomandată) care să fie co-localizate în același centru de date securizat, care să îndeplinească cerințele din Cerințele gazdei virtuale.

                                                                                                                                                  4

                                                                                                                                                  Pregătiți serverul de bază de date care va acționa ca magazin de date cheie pentru cluster, în conformitate cu Cerințele serverului de bază de date. Serverul de baze de date trebuie să fie amplasat în centrul de date securizat cu gazdele virtuale.

                                                                                                                                                  1. Creați o bază de date pentru stocarea cheilor. (Trebuie să creați această bază de date – nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.)

                                                                                                                                                  2. Colectați detaliile pe care nodurile le vor utiliza pentru a comunica cu serverul de bază de date:

                                                                                                                                                    • numele gazdei sau adresa IP (gazdă) și portul

                                                                                                                                                    • numele bazei de date (dbname) pentru stocarea cheii

                                                                                                                                                    • numele de utilizator și parola unui utilizator cu toate privilegiile în baza de date de stocare a cheii

                                                                                                                                                  5

                                                                                                                                                  Pentru recuperare rapidă în caz de dezastru, configurați un mediu de rezervă într-un alt centru de date. Mediul de rezervă oglindește mediul de producție al VM-urilor și al unui server de baze de date de rezervă. De exemplu, dacă producția are 3 VM care rulează noduri HDS, mediul de rezervă trebuie să aibă 3 VM.

                                                                                                                                                  6

                                                                                                                                                  Configurați o gazdă syslog pentru a colecta jurnale de la nodurile din cluster. Colectați adresa de rețea și portul syslog (implicit este UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Creați o politică de rezervă securizată pentru nodurile de securitate a datelor hibride, serverul de baze de date și gazda syslog. Cel puțin, pentru a preveni pierderea de date nerecuperabile, trebuie să efectuați o copie de rezervă a bazei de date și a fișierului ISO de configurare generat pentru nodurile de securitate a datelor hibride.

                                                                                                                                                  Deoarece nodurile de securitate a datelor hibride stochează cheile utilizate la criptarea și decriptarea conținutului, nerespectarea menținerii unei implementări operaționale va duce la PIERDEREA IREVERSIBILĂ a conținutului respectiv.

                                                                                                                                                  Clienții Aplicației Webex își ascund cheile, astfel încât este posibil ca o întrerupere să nu fie vizibilă imediat, dar va deveni evidentă în timp. În timp ce întreruperile temporare sunt imposibil de prevenit, acestea sunt recuperabile. Cu toate acestea, pierderea completă (nu sunt disponibile copii de siguranță) a bazei de date sau a fișierului ISO de configurare va avea ca rezultat date nerecuperabile ale clienților. Operatorii nodurilor de securitate a datelor hibride trebuie să mențină copii de siguranță frecvente ale bazei de date și ale fișierului ISO de configurare și să fie pregătiți să reconstruiască centrul de date de securitate a datelor hibride în cazul unei defecțiuni catastrofale.

                                                                                                                                                  8

                                                                                                                                                  Asigurați-vă că configurația firewallului permite conectivitatea pentru nodurile de securitate a datelor hibride, așa cum este descris în Cerințe de conectivitate externă.

                                                                                                                                                  9

                                                                                                                                                  Instalați Docker (https://www.docker.com) pe orice mașină locală care rulează un sistem de operare acceptat (Microsoft Windows 10 Professional sau Enterprise pe 64 de biți sau Mac OSX Yosemite 10.10.3 sau o versiune ulterioară) cu un browser web care îl poate accesa la http://127.0.0.1:8080.

                                                                                                                                                  Utilizați instanța Docker pentru a descărca și rula instrumentul de configurare HDS, care generează informațiile de configurare locală pentru toate nodurile de securitate a datelor hibride. Este posibil ca organizația dvs. să aibă nevoie de o licență Docker Desktop. Consultați Cerințe desktop docker pentru mai multe informații.

                                                                                                                                                  Pentru a instala și rula instrumentul de configurare HDS, dispozitivul local trebuie să aibă conectivitatea descrisă în Cerințe de conectivitate externă.

                                                                                                                                                  10

                                                                                                                                                  Dacă integrați un proxy cu Securitatea datelor hibride, asigurați-vă că acesta îndeplinește Cerințele serverului proxy.

                                                                                                                                                  11

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului, creați un grup în Active Directory numit HdsTrialGroup și adăugați utilizatori pilot. Grupul de încercare poate avea până la 250 de utilizatori. Obiectul HdsTrialGroup trebuie să fie sincronizat în cloud înainte de a putea începe o perioadă de încercare pentru organizația dvs. Pentru a sincroniza un obiect de grup, selectați-l în meniul Configurație > Selecție obiect al Directory Connector. (Pentru instrucțiuni detaliate, consultați Ghidul de implementare pentru Cisco Directory Connector.)

                                                                                                                                                  Tastele pentru un anumit spațiu sunt setate de către creatorul spațiului. Atunci când selectați utilizatori pilot, rețineți că, dacă decideți să dezactivați permanent implementarea securității datelor hibride, toți utilizatorii vor pierde accesul la conținutul din spațiile create de utilizatorii pilot. Pierderea devine evidentă de îndată ce aplicațiile utilizatorilor reîmprospătează copiile din cache ale conținutului.

                                                                                                                                                  Configurarea unui Cluster de securitate a datelor hibride

                                                                                                                                                  Fluxul de activități de implementare a securității datelor hibride

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Pregătiți-vă mediul

                                                                                                                                                  1

                                                                                                                                                  Efectuați configurarea inițială și descărcați fișierele de instalare

                                                                                                                                                  Descărcați fișierul OVA pe computerul dvs. local pentru utilizare ulterioară.

                                                                                                                                                  2

                                                                                                                                                  Crearea unui ISO de configurare pentru gazdele HDS

                                                                                                                                                  Utilizați instrumentul de configurare HDS pentru a crea un fișier de configurare ISO pentru nodurile de securitate a datelor hibride.

                                                                                                                                                  3

                                                                                                                                                  Instalați gazda HDS OVA

                                                                                                                                                  Creați o mașină virtuală din fișierul OVA și efectuați configurația inițială, cum ar fi setările de rețea.

                                                                                                                                                  Opțiunea de a configura setările de rețea în timpul implementării OVA a fost testată cu ESXi 6.5. Este posibil ca această opțiune să nu fie disponibilă în versiunile anterioare.

                                                                                                                                                  4

                                                                                                                                                  Configurați VM de securitate a datelor hibride

                                                                                                                                                  Conectați-vă la consola VM și setați acreditările de conectare. Configurați setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.

                                                                                                                                                  5

                                                                                                                                                  Încărcarea și montarea ISO de configurare HDS

                                                                                                                                                  Configurați VM din fișierul de configurare ISO pe care l-ați creat cu instrumentul de configurare HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurarea nodului HDS pentru integrarea proxy

                                                                                                                                                  Dacă mediul de rețea necesită configurație proxy, specificați tipul de proxy pe care îl veți utiliza pentru nod și adăugați certificatul proxy la magazinul de încredere, dacă este necesar.

                                                                                                                                                  7

                                                                                                                                                  Înscrieți primul nod în cluster

                                                                                                                                                  Înscrieți VM cu cloudul Cisco Webex ca nod de securitate a datelor hibride.

                                                                                                                                                  8

                                                                                                                                                  Creați și înscrieți mai multe noduri

                                                                                                                                                  Finalizați configurarea clusterului.

                                                                                                                                                  9

                                                                                                                                                  Rulați o perioadă de încercare și treceți la producție (capitolul următor)

                                                                                                                                                  Până când începeți o perioadă de încercare, nodurile dvs. generează o alarmă indicând că serviciul dvs. nu este încă activat.

                                                                                                                                                  Descărcare fișiere de instalare

                                                                                                                                                  În această sarcină, descărcați un fișier OVA pe computerul dvs. (nu pe serverele pe care le configurați ca noduri de securitate a datelor hibride). Veți utiliza acest fișier mai târziu în procesul de instalare.
                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la https://admin.webex.com, apoi faceți clic pe Servicii.

                                                                                                                                                  2

                                                                                                                                                  În secțiunea Servicii hibride, găsiți cardul Securitate a datelor hibride, apoi faceți clic pe Configurare.

                                                                                                                                                  Dacă cardul este dezactivat sau nu îl vedeți, contactați echipa de cont sau organizația parteneră. Dați-le numărul de cont și solicitați-i organizației dvs. să activeze Securitatea datelor hibride. Pentru a găsi numărul de cont, faceți clic pe rotița din dreapta sus, de lângă numele organizației dvs.

                                                                                                                                                  De asemenea, puteți descărca OVA în orice moment din secțiunea Ajutor de pe pagina Setări . Pe cardul Securitate a datelor hibride, faceți clic pe Editați setările pentru a deschide pagina. Apoi faceți clic pe Descărcați software-ul de securitate a datelor hibride în secțiunea Ajutor .

                                                                                                                                                  Versiunile mai vechi ale pachetului software (OVA) nu vor fi compatibile cu cele mai recente upgrade-uri de securitate a datelor hibride. Acest lucru poate duce la probleme în timpul upgrade-ului aplicației. Asigurați-vă că descărcați cea mai recentă versiune a fișierului OVA.

                                                                                                                                                  3

                                                                                                                                                  Selectați Nu pentru a indica faptul că nu ați configurat încă nodul, apoi faceți clic pe Înainte.

                                                                                                                                                  Fișierul OVA începe automat descărcarea. Salvați fișierul într-o locație de pe computerul dvs.
                                                                                                                                                  4

                                                                                                                                                  Opțional, faceți clic pe Deschidere ghid de implementare pentru a verifica dacă este disponibilă o versiune ulterioară a acestui ghid.

                                                                                                                                                  Crearea unui ISO de configurare pentru gazdele HDS

                                                                                                                                                  Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi, utilizați ISO pentru a configura gazda de securitate a datelor hibride.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi complete de administrator pentru organizația dvs.

                                                                                                                                                    Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker la pasul 5. Acest tabel oferă câteva posibile variabile de mediu:

                                                                                                                                                    Descriere

                                                                                                                                                    Variabilă

                                                                                                                                                    Proxy HTTP fără autentificare

                                                                                                                                                    _AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS fără autentificare

                                                                                                                                                    _AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTP cu autentificare

                                                                                                                                                    _AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT

                                                                                                                                                    Proxy HTTPS cu autentificare

                                                                                                                                                    _AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT

                                                                                                                                                  • Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier ori de câte ori efectuați modificări de configurație, cum ar fi:

                                                                                                                                                    • Acreditări bază de date

                                                                                                                                                    • Actualizări certificat

                                                                                                                                                    • Modificări ale politicii de autorizare

                                                                                                                                                  • Dacă intenționați să criptați conexiunile bazei de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

                                                                                                                                                  1

                                                                                                                                                  La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                  În medii obișnuite:

                                                                                                                                                  configurare rmi ciscocitg/hds: stabil

                                                                                                                                                  În mediile FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.

                                                                                                                                                  2

                                                                                                                                                  Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  La solicitarea parolei, introduceți acest hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Descărcați cea mai recentă imagine stabilă pentru mediul dvs.:

                                                                                                                                                  În medii obișnuite:

                                                                                                                                                  configurație ciscocitg/hds docker: stabil

                                                                                                                                                  În mediile FedRAMP:

                                                                                                                                                  docker extragere ciscocitg/hds-setup-fedramp:stabil
                                                                                                                                                  5

                                                                                                                                                  Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                  • În medii obișnuite fără un proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • În medii obișnuite cu un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • În medii obișnuite cu un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • În mediile FedRAMP fără un proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • În mediile FedRAMP cu un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • În mediile FedRAMP cu un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”.

                                                                                                                                                  6

                                                                                                                                                  Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală.

                                                                                                                                                  Utilizați un browser web pentru a accesa gazda locală http://127.0.0.1:8080 și a introduce numele de utilizator al administratorului clientului pentru Control Hub, la solicitarea respectivă.

                                                                                                                                                  Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul corespunzător pentru acel cont. Instrumentul afișează apoi mesajul standard de conectare.

                                                                                                                                                  7

                                                                                                                                                  Când vi se solicită, introduceți acreditările de conectare ale administratorului clientului Control Hub, apoi faceți clic pe Conectați-vă pentru a permite accesul la serviciile necesare pentru Securitatea datelor hibride.

                                                                                                                                                  8

                                                                                                                                                  Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Începeți.

                                                                                                                                                  9

                                                                                                                                                  Pe pagina Import ISO aveți aceste opțiuni:

                                                                                                                                                  • Nu—Dacă creați primul nod HDS, nu aveți un fișier ISO de încărcat.
                                                                                                                                                  • Da—Dacă ați creat deja noduri HDS, selectați fișierul ISO în răsfoire și încărcați-l.
                                                                                                                                                  10

                                                                                                                                                  Verificați dacă certificatul dvs. X.509 îndeplinește cerințele din Cerințele privind certificatul X.509.

                                                                                                                                                  • Dacă nu ați încărcat niciodată un certificat înainte, încărcați certificatul X.509, introduceți parola și faceți clic pe Continuați.
                                                                                                                                                  • Dacă certificatul este OK, faceți clic pe Continuați.
                                                                                                                                                  • Dacă certificatul dvs. a expirat sau doriți să îl înlocuiți, selectați Nu pentru Continuați să utilizați lanțul de certificate HDS și cheia privată din ISO anterioară?. Încărcați un nou certificat X.509, introduceți parola și faceți clic pe Continuați.
                                                                                                                                                  11

                                                                                                                                                  Introduceți adresa bazei de date și contul pentru HDS pentru a accesa baza de date cheie:

                                                                                                                                                  1. Selectați Tipul bazei de date (PostgreSQL sau Microsoft SQL Server).

                                                                                                                                                    Dacă alegeți Microsoft SQL Server, obțineți un câmp Tip de autentificare.

                                                                                                                                                  2. (Numai Microsoft SQL Server ) Selectați tipul de autentificare:

                                                                                                                                                    • Autentificare de bază: Aveți nevoie de un nume de cont SQL Server local în câmpul Nume de utilizator .

                                                                                                                                                    • Autentificare Windows: Aveți nevoie de un cont Windows în formatul nume de utilizator@DOMENIU în câmpul Nume de utilizator .

                                                                                                                                                  3. Introduceți adresa serverului de bază de date în forma : sau :.

                                                                                                                                                    Exemplu:
                                                                                                                                                    dbhost.example.org:1433 sau 198.51.100.17:1433

                                                                                                                                                    Puteți utiliza o adresă IP pentru autentificarea de bază, dacă nodurile nu pot utiliza DNS pentru a rezolva numele gazdei.

                                                                                                                                                    Dacă utilizați autentificarea Windows, trebuie să introduceți un Nume de domeniu complet calificat, în formatul dbhost.example.org:1433

                                                                                                                                                  4. Introduceți Numele bazei de date.

                                                                                                                                                  5. Introduceți Nume de utilizator și Parolă ale unui utilizator cu toate privilegiile în baza de date de stocare a cheilor.

                                                                                                                                                  12

                                                                                                                                                  Selectați un Mod de conectare la baza de date TLS:

                                                                                                                                                  Mod

                                                                                                                                                  Descriere

                                                                                                                                                  Preferați TLS (opțiune implicită)

                                                                                                                                                  Nodurile HDS nu necesită TLS pentru a se conecta la serverul de baze de date. Dacă activați TLS pe serverul bazei de date, nodurile încearcă o conexiune criptată.

                                                                                                                                                  Necesită TLS

                                                                                                                                                  Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS.

                                                                                                                                                  Solicitați TLS și verificați semnatarul certificatului

                                                                                                                                                  Acest mod nu se aplică pentru bazele de date SQL Server.

                                                                                                                                                  • Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS.

                                                                                                                                                  • După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de la serverul de baze de date cu autoritatea de certificare din Certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul scade conexiunea.

                                                                                                                                                  Utilizați controlul certificat rădăcină bază de date sub lista verticală pentru a încărca certificatul rădăcină pentru această opțiune.

                                                                                                                                                  Solicitați TLS și verificați semnatarul certificatului și numele de gazdă

                                                                                                                                                  • Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS.

                                                                                                                                                  • După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de la serverul de baze de date cu autoritatea de certificare din Certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul scade conexiunea.

                                                                                                                                                  • Nodurile verifică, de asemenea, dacă numele gazdei din certificatul de server se potrivește cu numele gazdei din câmpul Gazdă și port bază de date . Numele trebuie să se potrivească exact sau nodul scade conexiunea.

                                                                                                                                                  Utilizați controlul certificat rădăcină bază de date sub lista verticală pentru a încărca certificatul rădăcină pentru această opțiune.

                                                                                                                                                  Când încărcați certificatul rădăcină (dacă este necesar) și faceți clic pe Continuați, instrumentul de configurare HDS testează conexiunea TLS la serverul de baze de date. Instrumentul verifică, de asemenea, semnatarul certificatului și numele de gazdă, dacă este cazul. Dacă un test nu reușește, instrumentul afișează un mesaj de eroare care descrie problema. Puteți alege dacă să ignorați eroarea și să continuați cu configurarea. (Din cauza diferențelor de conectivitate, nodurile HDS pot stabili conexiunea TLS, chiar dacă mașina instrumentului de configurare HDS nu o poate testa cu succes.)

                                                                                                                                                  13

                                                                                                                                                  Pe pagina Jurnale de sistem, configurați serverul Syslogd:

                                                                                                                                                  1. Introduceți URL-ul serverului syslog.

                                                                                                                                                    Dacă serverul nu este rezolvabil prin DNS de la noduri pentru clusterul dvs. HDS, utilizați o adresă IP în URL.

                                                                                                                                                    Exemplu:
                                                                                                                                                    udp://10.92.43.23:514 indică conectarea la gazda Syslogd 10.92.43.23 la portul UDP 514.
                                                                                                                                                  2. Dacă configurați serverul să utilizeze criptarea TLS, bifați Serverul syslog este configurat pentru criptarea SSL?.

                                                                                                                                                    Dacă bifați această casetă de selectare, asigurați-vă că introduceți un URL TCP, cum ar fi tcp://10.92.43.23:514.

                                                                                                                                                  3. Din lista derulantă Choose syslog recording termination (Alegeți înregistrarea syslog), alegeți setarea corespunzătoare pentru fișierul ISO: Alegeți dacă se utilizează linia nouă pentru Graylog și Rsyslog TCP

                                                                                                                                                    • Biți nuli -- \x00

                                                                                                                                                    • Linie nouă -- \n—Selectați această opțiune pentru Graylog și Rsyslog TCP.

                                                                                                                                                  4. Faceți clic pe Continuați.

                                                                                                                                                  14

                                                                                                                                                  (Opțional) Puteți modifica valoarea implicită pentru unii parametri de conexiune la baza de date în Setări avansate. În general, acest parametru este singurul parametru pe care s-ar putea să îl modificați:

                                                                                                                                                  app_datasource_connection_pool_maxMărime: 10
                                                                                                                                                  15

                                                                                                                                                  Faceți clic pe Continuați pe ecranul Resetați parola conturilor de serviciu .

                                                                                                                                                  Parolele conturilor de servicii au o durată de viață de nouă luni. Utilizați acest ecran când parolele se apropie de expirare sau doriți să le resetați pentru a anula fișierele ISO anterioare.

                                                                                                                                                  16

                                                                                                                                                  Faceți clic pe Descărcați fișierul ISO. Salvați fișierul într-o locație ușor de găsit.

                                                                                                                                                  17

                                                                                                                                                  Faceți o copie de rezervă a fișierului ISO în sistemul local.

                                                                                                                                                  Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la acei administratori de securitate a datelor hibride care ar trebui să efectueze modificări de configurație.

                                                                                                                                                  18

                                                                                                                                                  Pentru a închide instrumentul de configurare, tastați CTRL+C.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Copie de rezervă a fișierului ISO de configurare. Aveți nevoie de acesta pentru a crea mai multe noduri pentru recuperare sau pentru a efectua modificări de configurație. Dacă pierdeți toate copiile fișierului ISO, ați pierdut și cheia principală. Recuperarea cheilor din baza de date PostgreSQL sau Microsoft SQL Server nu este posibilă.

                                                                                                                                                  Nu avem niciodată o copie a acestei chei și nu vă putem ajuta dacă o pierdeți.

                                                                                                                                                  Instalați gazda HDS OVA

                                                                                                                                                  Utilizați această procedură pentru a crea o mașină virtuală din fișierul OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilizați clientul VMware vSphere de pe computerul dvs. pentru a vă conecta la gazda virtuală ESXi.

                                                                                                                                                  2

                                                                                                                                                  Selectați Fișier > Implementare șablon OVF.

                                                                                                                                                  3

                                                                                                                                                  În expert, specificați locația fișierului OVA pe care l-ați descărcat mai devreme, apoi faceți clic pe Înainte.

                                                                                                                                                  4

                                                                                                                                                  Pe pagina Selectați un nume și un folder , introduceți un Nume mașină virtuală pentru nod (de exemplu, „HDS_Node_1”), alegeți o locație în care poate fi găzduită implementarea nodului mașinii virtuale, apoi faceți clic pe Înainte.

                                                                                                                                                  5

                                                                                                                                                  Pe pagina Selectați o resursă de calcul , alegeți resursa de calcul de destinație, apoi faceți clic pe Înainte.

                                                                                                                                                  Se execută o verificare de validare. După ce se termină, apar detaliile șablonului.

                                                                                                                                                  6

                                                                                                                                                  Verificați detaliile șablonului, apoi faceți clic pe Înainte.

                                                                                                                                                  7

                                                                                                                                                  Dacă vi se solicită să alegeți configurația resursei pe pagina Configurare , faceți clic pe 4 CPU , apoi faceți clic pe Înainte.

                                                                                                                                                  8

                                                                                                                                                  Pe pagina Selectați spațiul de stocare , faceți clic pe Înainte pentru a accepta formatul de disc și politica de stocare VM implicită.

                                                                                                                                                  9

                                                                                                                                                  Pe pagina Selectați rețele , selectați opțiunea de rețea din lista de intrări pentru a asigura conectivitatea dorită la VM.

                                                                                                                                                  10

                                                                                                                                                  Pe pagina Particularizare șablon , configurați următoarele setări de rețea:

                                                                                                                                                  • Nume gazdă—Introduceți FQDN (nume de gazdă și domeniu) sau un singur cuvânt nume de gazdă pentru nod.
                                                                                                                                                    • Nu este necesar să setați domeniul ca să corespundă domeniului pe care l-ați utilizat pentru a obține certificatul X.509.

                                                                                                                                                    • Pentru a asigura o înregistrare reușită în cloud, utilizați numai caractere mici în FQDN sau numele gazdei pe care l-ați setat pentru nod. Capitalizarea nu este acceptată în acest moment.

                                                                                                                                                    • Lungimea totală a FQDN nu trebuie să depășească 64 de caractere.

                                                                                                                                                  • Adresă IP— Introduceți adresa IP pentru interfața internă a nodului.

                                                                                                                                                    Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat.

                                                                                                                                                  • Mască—Introduceți adresa măștii de subrețea în notație cu zecimale. De exemplu, 255.255.255.0.
                                                                                                                                                  • Gateway – Introduceți adresa IP a gateway-ului. Un gateway este un nod de rețea care servește ca punct de acces la o altă rețea.
                                                                                                                                                  • Servere DNS—Introduceți o listă de servere DNS separate prin virgulă, care se ocupă de traducerea numelor de domenii în adrese IP numerice. (Sunt permise până la 4 intrări DNS.)
                                                                                                                                                  • Servere NTP – Introduceți serverul NTP al organizației dvs. sau alt server NTP extern care poate fi utilizat în organizația dvs. Este posibil ca serverele NTP implicite să nu funcționeze pentru toate întreprinderile. De asemenea, puteți utiliza o listă separată prin virgulă pentru a introduce mai multe servere NTP.
                                                                                                                                                  • Implementați toate nodurile din aceeași subrețea sau VLAN, astfel încât toate nodurile dintr-un cluster să fie accesibile de la clienții din rețeaua dvs., în scopuri administrative.

                                                                                                                                                  Dacă preferați, puteți sări peste configurația setărilor de rețea și să urmați pașii din Configurați VM de securitate a datelor hibride pentru a configura setările de la consola de nod.

                                                                                                                                                  Opțiunea de a configura setările de rețea în timpul implementării OVA a fost testată cu ESXi 6.5. Este posibil ca această opțiune să nu fie disponibilă în versiunile anterioare.

                                                                                                                                                  11

                                                                                                                                                  Faceți clic dreapta pe VM nod, apoi alegeți Alimentare > Alimentare pornită.

                                                                                                                                                  Software-ul de securitate a datelor hibride este instalat ca invitat pe gazda VM. Acum sunteți gata să vă conectați la consolă și să configurați nodul.

                                                                                                                                                  Sfaturi de depanare

                                                                                                                                                  Este posibil să întâmpinați o întârziere de câteva minute înainte de apariția containerelor nodului. În timpul primei boot-ări, apare un mesaj firewall de punte pe consolă, în timpul căruia nu vă puteți conecta.

                                                                                                                                                  Configurați VM de securitate a datelor hibride

                                                                                                                                                  Utilizați această procedură pentru a vă conecta pentru prima dată la consola VM a nodului de securitate a datelor hibride și a seta acreditările de conectare. De asemenea, puteți utiliza consola pentru a configura setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.

                                                                                                                                                  1

                                                                                                                                                  În clientul VMware vSphere, selectați VM nodul de securitate a datelor hibride și selectați fila Consolă .

                                                                                                                                                  VM pornește și apare o solicitare de conectare. Dacă mesajul de conectare nu se afișează, apăsați Enter.
                                                                                                                                                  2

                                                                                                                                                  Utilizați următoarele date de conectare și parolă implicite pentru a vă conecta și a modifica datele de autentificare:

                                                                                                                                                  1. Conectați-vă: administrator

                                                                                                                                                  2. Parolă: ciscoză

                                                                                                                                                  Din moment ce vă conectați pentru prima dată la VM, trebuie să schimbați parola de administrator.

                                                                                                                                                  3

                                                                                                                                                  Dacă ați configurat deja setările de rețea în Instalați OVA gazdă HDS, omiteți restul acestei proceduri. În caz contrar, selectați opțiunea Editare configurație din meniul principal.

                                                                                                                                                  4

                                                                                                                                                  Configurați o configurație statică cu informații despre adresa IP, mască, gateway și DNS. Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat.

                                                                                                                                                  5

                                                                                                                                                  (Opțional) Schimbați numele de gazdă, domeniul sau serverul(serverele) NTP, dacă este necesar pentru a corespunde politicii dvs. de rețea.

                                                                                                                                                  Nu este necesar să setați domeniul ca să corespundă domeniului pe care l-ați utilizat pentru a obține certificatul X.509.

                                                                                                                                                  6

                                                                                                                                                  Salvați configurația de rețea și reporniți VM pentru ca modificările să aibă efect.

                                                                                                                                                  Încărcarea și montarea ISO de configurare HDS

                                                                                                                                                  Utilizați această procedură pentru a configura mașina virtuală din fișierul ISO pe care l-ați creat cu instrumentul de configurare HDS.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Deoarece fișierul ISO deține cheia principală, acesta ar trebui să fie expus numai pe baza necesității de a cunoaște, pentru accesul VM-urilor de securitate a datelor hibride și al oricăror administratori care ar putea fi nevoiți să facă modificări. Asigurați-vă că numai acei administratori pot accesa dataStore.

                                                                                                                                                  1

                                                                                                                                                  Încărcați fișierul ISO de pe computerul dvs.:

                                                                                                                                                  1. În panoul de navigare stânga al clientului VMware vSphere, faceți clic pe serverul ESXi.

                                                                                                                                                  2. În lista Hardware a filei Configurare, faceți clic pe Stocare.

                                                                                                                                                  3. În lista Datastores, faceți clic dreapta pe datastore pentru VM-urile dvs. și faceți clic pe Răsfoiți Datastore.

                                                                                                                                                  4. Faceți clic pe pictograma Încărcare fișiere, apoi faceți clic pe Încărcare fișier.

                                                                                                                                                  5. Navigați la locația în care ați descărcat fișierul ISO pe computer și faceți clic pe Deschidere.

                                                                                                                                                  6. Faceți clic pe Da pentru a accepta avertismentul operațiunii de încărcare/descărcare și a închide caseta de dialog a datelor.

                                                                                                                                                  2

                                                                                                                                                  Montează fișierul ISO:

                                                                                                                                                  1. În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările.

                                                                                                                                                  2. Faceți clic pe OK pentru a accepta avertismentul cu opțiuni de editare restricționate.

                                                                                                                                                  3. Faceți clic pe CD/DVD Drive 1, selectați opțiunea de montare dintr-un fișier ISO de bază de date și navigați la locația în care ați încărcat fișierul ISO de configurare.

                                                                                                                                                  4. Bifați opțiunea Conectat și Conectare la pornire.

                                                                                                                                                  5. Salvați modificările și reporniți mașina virtuală.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Dacă politica IT solicită, puteți, opțional, să demontați fișierul ISO după ce toate nodurile preiau modificările de configurație. Consultați (Opțional) Demontați ISO după configurarea HDS pentru detalii.

                                                                                                                                                  Configurarea nodului HDS pentru integrarea proxy

                                                                                                                                                  Dacă mediul de rețea necesită un proxy, utilizați această procedură pentru a specifica tipul de proxy pe care doriți să îl integrați cu Securitatea datelor hibride. Dacă alegeți un proxy de inspectare transparent sau un proxy explicit HTTPS, puteți utiliza interfața nodului pentru a încărca și instala certificatul rădăcină. De asemenea, puteți verifica conexiunea proxy din interfață și puteți depana orice probleme potențiale.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  1

                                                                                                                                                  Introduceți URL-ul de configurare a nodului HDS https://[HDS Node IP sau FQDN]/setup într-un browser web, introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.

                                                                                                                                                  2

                                                                                                                                                  Accesați Trust Store & Proxy, apoi alegeți o opțiune:

                                                                                                                                                  • Fără proxy—Opțiunea implicită înainte de a integra un proxy. Nu este necesară actualizarea certificatului.
                                                                                                                                                  • Proxy transparent fără inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy și nu ar trebui să necesite modificări pentru a funcționa cu un proxy fără inspectare. Nu este necesară actualizarea certificatului.
                                                                                                                                                  • Proxy de inspectare transparent—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy. Nu sunt necesare modificări de configurare HTTPS pe implementarea hibride de securitate a datelor, cu toate acestea, nodurile HDS au nevoie de un certificat rădăcină, astfel încât acestea să aibă încredere în proxy. Proxy-urile de inspectare sunt de obicei utilizate de IT pentru a aplica politici pe care site-urile web pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).
                                                                                                                                                  • Proxy explicit—Cu proxy explicit, spuneți clientului (nodurilor HDS) ce server proxy să utilizeze, iar această opțiune acceptă mai multe tipuri de autentificare. După ce alegeți această opțiune, trebuie să introduceți următoarele informații:
                                                                                                                                                    1. IP/FQDN proxy—Adresa care poate fi utilizată pentru a accesa computerul proxy.

                                                                                                                                                    2. Port proxy—Un număr de port utilizat de proxy pentru a asculta traficul protejat.

                                                                                                                                                    3. Protocol proxy—Alegeți http (vizualizează și controlează toate solicitările primite de la client) sau https (oferă un canal către server, iar clientul primește și validează certificatul serverului). Alegeți o opțiune în funcție de ceea ce acceptă serverul proxy.

                                                                                                                                                    4. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:

                                                                                                                                                      • Fără—Nu este necesară mai multă autentificare.

                                                                                                                                                        Disponibil pentru proxy-uri HTTP sau HTTPS.

                                                                                                                                                      • De bază—Utilizat pentru un agent de utilizator HTTP care furnizează un nume de utilizator și o parolă atunci când efectuează o solicitare. Utilizează codificarea Base64.

                                                                                                                                                        Disponibil pentru proxy-uri HTTP sau HTTPS.

                                                                                                                                                        Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola.

                                                                                                                                                      • Rezumat- Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite prin rețea.

                                                                                                                                                        Disponibil numai pentru proxy-uri HTTPS.

                                                                                                                                                        Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola.

                                                                                                                                                  Urmați pașii următori pentru un proxy de inspectare transparent, un proxy explicit HTTP cu autentificare de bază sau un proxy explicit HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Faceți clic pe Încărcare certificat rădăcină sau certificat de entitate de sfârșit , apoi navigați la o alegeți certificatul rădăcină pentruproxy.

                                                                                                                                                  Certificatul este încărcat, dar nu este încă instalat, deoarece trebuie să reporniți nodul pentru a instala certificatul. Faceți clic pe săgeata ghilimelei unghiulare de numele emitentului certificatului pentru a obține mai multe detalii sau faceți clic pe Ștergere dacă ați făcut o greșeală și doriți să reîncărcați fișierul.

                                                                                                                                                  4

                                                                                                                                                  Faceți clic pe Verificare conexiune proxy pentru a testa conectivitatea la rețea între nod și proxy.

                                                                                                                                                  Dacă testul de conexiune nu reușește, veți vedea un mesaj de eroare care arată motivul și modul în care puteți corecta problema.

                                                                                                                                                  Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a reușit, nodul nu a reușit să ajungă la serverul DNS. Această condiție este de așteptat în multe configurații proxy explicite. Puteți continua configurarea, iar nodul va funcționa în modul Rezoluție DNS externă blocată. Dacă considerați că aceasta este o eroare, parcurgeți acești pași și apoi consultați Dezactivare mod rezoluție DNS externă blocată.

                                                                                                                                                  5

                                                                                                                                                  După ce trece testul de conexiune, pentru proxy explicit setat la https numai, activați comutatorul pentru a ruta toate port 443/444 https solicitările de la acest nod prin proxy explicit. Această setare necesită 15 secunde pentru a intra în vigoare.

                                                                                                                                                  6

                                                                                                                                                  Faceți clic pe Instalare toate certificatele în Depozitul de încredere (apare pentru un proxy explicit HTTPS sau un proxy de inspectare transparent) sau pe Repornire (apare pentru un proxy explicit HTTP), citiți solicitarea, apoi faceți clic pe Instalare dacă sunteți gata.

                                                                                                                                                  Nodul repornește în câteva minute.

                                                                                                                                                  7

                                                                                                                                                  După repornirea nodului, conectați-vă din nou, dacă este necesar, apoi deschideți pagina Prezentare generală pentru a verifica verificările de conectivitate pentru a vă asigura că toate sunt în stare verde.

                                                                                                                                                  Verificarea conexiunii proxy testează numai un subdomeniu de webex.com. Dacă există probleme de conectivitate, o problemă comună este că unele dintre domeniile cloud listate în instrucțiunile de instalare sunt blocate la proxy.

                                                                                                                                                  Înscrieți primul nod în cluster

                                                                                                                                                  Această sarcină preia nodul generic pe care l-ați creat în Configurați VM de securitate a datelor hibride, înregistrează nodul în cloudul Webex și îl transformă într-un nod de securitate a datelor hibride.

                                                                                                                                                  Când înscrieți primul nod, creați un cluster căruia îi este atribuit nodul. Un cluster conține unul sau mai multe noduri implementate pentru a asigura redundanța.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • După ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți din nou.

                                                                                                                                                  • Asigurați-vă că orice blocare a ferestrelor pop-up din browser este dezactivată sau că permiteți o excepție pentru admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Din meniul din partea stângă a ecranului, selectați Servicii.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Servicii hibride, găsiți Securitatea datelor hibride și faceți clic pe Configurare.

                                                                                                                                                  Apare pagina Nod de securitate a datelor hibride înregistrare.
                                                                                                                                                  4

                                                                                                                                                  Selectați Da pentru a indica faptul că ați configurat nodul și sunteți gata să îl înscrieți, apoi faceți clic pe Înainte.

                                                                                                                                                  5

                                                                                                                                                  În primul câmp, introduceți un nume pentru clusterul căruia doriți să îi atribuiți nodul de securitate a datelor hibride.

                                                                                                                                                  Vă recomandăm să denumiți un cluster în funcție de locul geografic în care se află nodurile clusterului. Exemple: "San Francisco" sau "New York" sau "Dallas"

                                                                                                                                                  6

                                                                                                                                                  În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Înainte.

                                                                                                                                                  Această adresă IP sau FQDN trebuie să corespundă adresei IP sau numelui gazdei și domeniului pe care le-ați utilizat în Configurați VM de securitate a datelor hibride.

                                                                                                                                                  Apare un mesaj care indică faptul că vă puteți înscrie nodul în Webex.
                                                                                                                                                  7

                                                                                                                                                  Faceți clic pe Accesați nodul.

                                                                                                                                                  8

                                                                                                                                                  Faceți clic pe Continuați în mesajul de avertizare.

                                                                                                                                                  După câteva momente, veți fi redirecționat(ă) către testele de conectivitate a nodului pentru serviciile Webex. Dacă toate testele sunt reușite, apare pagina Permiteți accesul la Nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați organizației dvs. Webex permisiuni pentru a vă accesa nodul.
                                                                                                                                                  9

                                                                                                                                                  Bifați caseta de selectare Permiteți accesul la nodul de securitate a datelor hibride , apoi faceți clic pe Continuați.

                                                                                                                                                  Contul dvs. este validat, iar mesajul „Înscriere finalizată” indică faptul că nodul dvs. este acum înscris în cloudul Webex.
                                                                                                                                                  10

                                                                                                                                                  Faceți clic pe link sau închideți fila pentru a reveni la pagina Securitate date hibride din Control Hub.

                                                                                                                                                  Pe pagina Securitatea datelor hibride este afișat noul cluster care conține nodul pe care l-ați înscris. Nodul va descărca automat cel mai recent software din cloud.

                                                                                                                                                  Creați și înscrieți mai multe noduri

                                                                                                                                                  Pentru a adăuga noduri suplimentare la clusterul dvs., trebuie doar să creați VM suplimentare și să montați același fișier ISO de configurare, apoi să înregistrați nodul. Vă recomandăm să aveți cel puțin 3 noduri.

                                                                                                                                                  În acest moment, VM-urile de rezervă pe care le-ați creat în Finalizați cerințele preliminare pentru securitatea datelor hibride sunt gazde în așteptare care sunt utilizate numai în cazul recuperării după dezastru; acestea nu sunt înregistrate în sistem până atunci. Pentru detalii, consultați Recuperarea după dezastru utilizând centrul de date în așteptare.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • După ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți din nou.

                                                                                                                                                  • Asigurați-vă că orice blocare a ferestrelor pop-up din browser este dezactivată sau că permiteți o excepție pentru admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Creați o nouă mașină virtuală din OVA, repetând pașii din Instalați OVA gazdă HDS.

                                                                                                                                                  2

                                                                                                                                                  Configurați configurația inițială pe noul VM, repetând pașii din Configurați VM de securitate a datelor hibride.

                                                                                                                                                  3

                                                                                                                                                  Pe noul VM, repetați pașii din Încărcarea și montarea ISO de configurare HDS.

                                                                                                                                                  4

                                                                                                                                                  Dacă configurați un proxy pentru implementarea dvs., repetați pașii din Configurați nodul HDS pentru integrarea proxy după cum este necesar pentru nodul nou.

                                                                                                                                                  5

                                                                                                                                                  Înscrieți nodul.

                                                                                                                                                  1. În https://admin.webex.com, selectați Servicii din meniul din partea stângă a ecranului.

                                                                                                                                                  2. În secțiunea Servicii hibride, găsiți cardul Securitate a datelor hibride și faceți clic pe Resurse.

                                                                                                                                                    Apare pagina Resurse de securitate a datelor hibride.
                                                                                                                                                  3. Faceți clic pe Adăugare resursă.

                                                                                                                                                  4. În primul câmp, selectați numele clusterului existent.

                                                                                                                                                  5. În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Înainte.

                                                                                                                                                    Apare un mesaj care indică faptul că vă puteți înscrie nodul în cloudul Webex.
                                                                                                                                                  6. Faceți clic pe Accesați nodul.

                                                                                                                                                    După câteva momente, veți fi redirecționat(ă) către testele de conectivitate a nodului pentru serviciile Webex. Dacă toate testele sunt reușite, apare pagina Permiteți accesul la Nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați organizației dvs. permisiuni pentru a vă accesa nodul.
                                                                                                                                                  7. Bifați caseta de selectare Permiteți accesul la nodul de securitate a datelor hibride , apoi faceți clic pe Continuați.

                                                                                                                                                    Contul dvs. este validat, iar mesajul „Înscriere finalizată” indică faptul că nodul dvs. este acum înscris în cloudul Webex.
                                                                                                                                                  8. Faceți clic pe link sau închideți fila pentru a reveni la pagina Securitate date hibride din Control Hub.

                                                                                                                                                  Nodul dvs. este înregistrat. Rețineți că, până când începeți o perioadă de încercare, nodurile dvs. generează o alarmă indicând că serviciul dvs. nu este încă activat.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Rulați o perioadă de încercare și treceți la producție (capitolul următor)

                                                                                                                                                  Rulați o perioadă de încercare și treceți la producție

                                                                                                                                                  Proces până la fluxul de activități de producție

                                                                                                                                                  După ce configurați un cluster de securitate a datelor hibride, puteți să porniți un pilot, să adăugați utilizatori la acesta și să începeți să îl utilizați pentru testarea și verificarea implementării, în vederea trecerii la producție.

                                                                                                                                                  1

                                                                                                                                                  Dacă este cazul, sincronizați obiectul de grup HdsTrialGroup .

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați obiectul de grup HdsTrialGroup pentru sincronizare în cloud înainte de a putea începe o perioadă de încercare. Pentru instrucțiuni, consultați Ghidul de implementare pentru Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Activare perioadă de încercare

                                                                                                                                                  Începeți o perioadă de încercare. Până când nu efectuați această sarcină, nodurile dvs. generează o alarmă indicând că serviciul nu este încă activat.

                                                                                                                                                  3

                                                                                                                                                  Testați implementarea securității datelor hibride

                                                                                                                                                  Verificați dacă solicitările cheie sunt transmise la implementarea securității datelor hibride.

                                                                                                                                                  4

                                                                                                                                                  Monitorizați Securitatea datelor hibride

                                                                                                                                                  Verificați starea și configurați notificările prin e-mail pentru alarme.

                                                                                                                                                  5

                                                                                                                                                  Adăugarea sau eliminarea utilizatorilor din perioada dvs. de probă

                                                                                                                                                  6

                                                                                                                                                  Finalizați faza de încercare cu una dintre următoarele acțiuni:

                                                                                                                                                  Activare perioadă de încercare

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați obiectul de grup HdsTrialGroup pentru sincronizare în cloud înainte de a putea începe o perioadă de încercare pentru organizația dvs. Pentru instrucțiuni, consultați Ghidul de implementare pentru Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la https://admin.webex.com, apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  În secțiunea Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Stare serviciu, faceți clic pe Inițiere perioadă de încercare.

                                                                                                                                                  Starea serviciului se modifică în modul probă.
                                                                                                                                                  4

                                                                                                                                                  Faceți clic pe Adăugați utilizatori și introduceți adresa de e-mail a unuia sau mai multor utilizatori pentru a utiliza nodurile dvs. de securitate a datelor hibride pentru serviciile de criptare și indexare.

                                                                                                                                                  (Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory pentru a gestiona grupul de încercare, HdsTrialGroup.)

                                                                                                                                                  Testați implementarea securității datelor hibride

                                                                                                                                                  Utilizați această procedură pentru a testa scenariile de criptare a securității datelor hibride.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Configurați implementarea securității datelor hibride.

                                                                                                                                                  • Activați perioada de încercare și adăugați mai mulți utilizatori de încercare.

                                                                                                                                                  • Asigurați-vă că aveți acces la syslog pentru a verifica dacă solicitările cheie sunt transmise la implementarea securității datelor hibride.

                                                                                                                                                  1

                                                                                                                                                  Tastele pentru un anumit spațiu sunt setate de către creatorul spațiului. Conectați-vă la Aplicația Webex ca unul dintre utilizatorii pilot, apoi creați un spațiu și invitați cel puțin un utilizator pilot și un utilizator non-pilot.

                                                                                                                                                  Dacă dezactivați implementarea securității datelor hibride, conținutul din spațiile create de utilizatorii pilot nu mai este accesibil odată ce copiile din memoria cache a cheilor de criptare sunt înlocuite.

                                                                                                                                                  2

                                                                                                                                                  Trimiteți mesaje către noul spațiu.

                                                                                                                                                  3

                                                                                                                                                  Verificați ieșirea syslog pentru a verifica dacă solicitările cheie sunt transmise la implementarea securității datelor hibride.

                                                                                                                                                  1. Pentru a verifica dacă un utilizator stabilește mai întâi un canal securizat către KMS, filtrați după kms.data.method=create și kms.data.type=COLLECTION_KEY_:

                                                                                                                                                    Ar trebui să găsiți o intrare precum următoarea (identificatori scurtați pentru lizibilitate):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFORMAȚII KMS [pool-14-thread-1] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Pentru a verifica dacă un utilizator solicită o cheie existentă din KMS, filtrați kms.data.method=retrieve și kms.data.type=KEY:

                                                                                                                                                    Ar trebui să găsiți o intrare precum:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFORMAȚII KMS [pool-14-thread-31] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=CHEIE, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Pentru a verifica dacă există un utilizator care solicită crearea unei noi chei KMS, filtrați după kms.data.method=create și kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Ar trebui să găsiți o intrare precum:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFORMAȚII KMS [pool-14-thread-33] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Pentru a verifica dacă un utilizator solicită crearea unui nou obiect de resurse KMS (KRO) atunci când este creat un spațiu sau o altă resursă protejată, filtrați după kms.data.method=create și kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Ar trebui să găsiți o intrare precum:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFORMAȚII KMS [pool-15-thread-1] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURSĂ_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitorizați Securitatea datelor hibride

                                                                                                                                                  Un indicator de stare din Control Hub vă arată dacă implementarea securității datelor hibride este în regulă. Pentru o alertă mai proactivă, înscrieți-vă pentru notificări prin e-mail. Veți fi notificat atunci când există alarme sau upgrade-uri de software cu impact asupra serviciului.
                                                                                                                                                  1

                                                                                                                                                  În Control Hub, selectați Servicii din meniul din partea stângă a ecranului.

                                                                                                                                                  2

                                                                                                                                                  În secțiunea Servicii hibride, găsiți Securitatea datelor hibride și faceți clic pe Setări.

                                                                                                                                                  Apare pagina Setări de securitate a datelor hibride.
                                                                                                                                                  3

                                                                                                                                                  În secțiunea Notificări prin e-mail, introduceți una sau mai multe adrese de e-mail separate prin virgule și apăsați Enter.

                                                                                                                                                  Adăugarea sau eliminarea utilizatorilor din perioada dvs. de probă

                                                                                                                                                  După ce ați activat o perioadă de încercare și ați adăugat setul inițial de utilizatori de încercare, puteți adăuga sau elimina membri de încercare în orice moment, în timp ce perioada de încercare este activă.

                                                                                                                                                  Dacă eliminați un utilizator din probă, clientul utilizatorului va solicita cheile și crearea cheilor din cloud KMS în locul KMS-ului dvs. Dacă clientul are nevoie de o cheie care este stocată în KMS, KMS în cloud o va prelua în numele utilizatorului.

                                                                                                                                                  Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory (în locul acestei proceduri) pentru a gestiona grupul de încercare, HdsTrialGroup; puteți vizualiza membrii grupului în Control Hub, dar nu îi puteți adăuga sau elimina.

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  În secțiunea Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Mod probă din zona Stare serviciu, faceți clic pe Adăugare utilizatori sau faceți clic pe Vizualizare și editare pentru a elimina utilizatorii din probă.

                                                                                                                                                  4

                                                                                                                                                  Introduceți adresa de e-mail a unuia sau mai multor utilizatori de adăugat sau faceți clic pe X lângă un ID de utilizator pentru a elimina utilizatorul din probă. Apoi faceți clic pe Salvare.

                                                                                                                                                  Treceți de la perioada de probă la cea de producție

                                                                                                                                                  Când considerați că implementarea funcționează bine pentru utilizatorii de probă, puteți trece la producție. Când treceți în producție, toți utilizatorii din organizație vor utiliza domeniul dvs. local de securitate a datelor hibride pentru cheile de criptare și alte servicii din domeniul de securitate. Nu puteți reveni la modul de încercare din producție decât dacă dezactivați serviciul ca parte a recuperării după dezastru. Pentru reactivarea serviciului trebuie să configurați o nouă perioadă de încercare.
                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  În secțiunea Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Stare serviciu, faceți clic pe Mutați la producție.

                                                                                                                                                  4

                                                                                                                                                  Confirmați că doriți să mutați toți utilizatorii în producție.

                                                                                                                                                  Încheiați perioada de încercare fără a trece la producție

                                                                                                                                                  Dacă, în timpul perioadei de încercare, decideți să nu continuați implementarea Securității datelor hibride, puteți dezactiva Securitatea datelor hibride, care încheie perioada de încercare și mută utilizatorii de încercare înapoi în serviciile de securitate a datelor cloud. Utilizatorii perioadei de încercare vor pierde accesul la datele care au fost criptate în timpul perioadei de încercare.
                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2

                                                                                                                                                  În secțiunea Securitatea datelor hibride, faceți clic pe Setări.

                                                                                                                                                  3

                                                                                                                                                  În secțiunea Dezactivare, faceți clic pe Dezactivare.

                                                                                                                                                  4

                                                                                                                                                  Confirmați că doriți să dezactivați serviciul și să încheiați perioada de încercare.

                                                                                                                                                  Gestionați implementarea HDS

                                                                                                                                                  Gestionați implementarea HDS

                                                                                                                                                  Utilizați sarcinile descrise aici pentru a gestiona implementarea securității datelor hibride.

                                                                                                                                                  Setați programarea upgrade-ului clusterului

                                                                                                                                                  Upgrade-urile software pentru Securitatea datelor hibride se efectuează automat la nivel de cluster, ceea ce garantează faptul că toate nodurile rulează întotdeauna aceeași versiune software. Upgrade-urile se efectuează în funcție de programul de upgrade pentru cluster. Atunci când un upgrade de software devine disponibil, aveți opțiunea de a efectua manual upgrade-ul clusterului înainte de ora programată pentru upgrade. Puteți seta un anumit program de upgrade sau puteți utiliza programul implicit de upgrade de la ora 3:00 a.m. Zilnic în Statele Unite: America/Los Angeles. De asemenea, puteți alege să amânați un upgrade viitor, dacă este necesar.

                                                                                                                                                  Pentru a seta programul de upgrade:

                                                                                                                                                  1

                                                                                                                                                  Conectați-vă la Control Hub.

                                                                                                                                                  2

                                                                                                                                                  În pagina Prezentare generală, sub Servicii hibride, selectați Securitatea datelor hibride.

                                                                                                                                                  3

                                                                                                                                                  Pe pagina Resurse de securitate a datelor hibride, selectați clusterul.

                                                                                                                                                  4

                                                                                                                                                  În panoul Prezentare generală din dreapta, sub Setări cluster, selectați numele clusterului.

                                                                                                                                                  5

                                                                                                                                                  În pagina Setări, sub Upgrade, selectați ora și fusul orar pentru programarea upgrade-ului.

                                                                                                                                                  Notă: În fusul orar se afișează următoarea dată și oră de upgrade disponibile. Puteți amâna upgrade-ul până în ziua următoare, dacă este necesar, făcând clic pe Amânare.

                                                                                                                                                  Modificați configurația nodului

                                                                                                                                                  Ocazional, poate fi necesar să modificați configurația nodului hibrid de securitate a datelor dintr-un motiv ar fi:
                                                                                                                                                  • Modificarea certificatelor x.509 din cauza expirării sau din alte motive.

                                                                                                                                                    Nu acceptăm schimbarea numelui de domeniu CN al unui certificat. Domeniul trebuie să se potrivească cu domeniul inițial utilizat pentru înregistrarea clusterului.

                                                                                                                                                  • Actualizarea setărilor bazei de date pentru a trece la o replică a bazei de date PostgreSQL sau Microsoft SQL Server.

                                                                                                                                                    Nu acceptăm migrarea datelor de la PostgreSQL la Microsoft SQL Server sau invers. Pentru a schimba mediul bazei de date, începeți o nouă implementare a Hybrid Data Security.

                                                                                                                                                  • Crearea unei noi configurații pentru a pregăti un nou centru de date.

                                                                                                                                                  De asemenea, în scopuri de securitate, Hybrid Data Security utilizează parole de cont de serviciu care au o durată de viață de nouă luni. După ce instrumentul de instalare HDS generează aceste parole, le implementați la fiecare dintre nodurile HDS în fișierul de configurare ISO. Când parolele organizației se apropie de expirare, primiți o notificare de la echipa Webex pentru a reseta parola pentru contul dvs. (E-mailul include textul „Utilizați API-ul contului de mașină pentru a actualiza parola.”) Dacă parolele nu au expirat încă, instrumentul vă oferă două opțiuni:

                                                                                                                                                  • Resetare ușoară—Parolele vechi și cele noi funcționează timp de până la 10 zile. Folosiți această perioadă pentru a înlocui treptat fișierul ISO pe noduri.

                                                                                                                                                  • Resetare forțată—Parolele vechi nu mai funcționează imediat.

                                                                                                                                                  Dacă parolele dvs. expiră fără resetare, acest lucru va afecta serviciul HDS, necesitând o resetare hardware imediată și înlocuirea fișierului ISO pe toate nodurile.

                                                                                                                                                  Utilizați această procedură pentru a genera un nou fișier ISO de configurare și pentru a-l aplica clusterului dvs.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi complete de administrator pentru organizația dvs.

                                                                                                                                                    Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker în 1.e. Acest tabel oferă câteva posibile variabile de mediu:

                                                                                                                                                    Descriere

                                                                                                                                                    Variabilă

                                                                                                                                                    Proxy HTTP fără autentificare

                                                                                                                                                    _AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS fără autentificare

                                                                                                                                                    _AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTP cu autentificare

                                                                                                                                                    _AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT

                                                                                                                                                    Proxy HTTPS cu autentificare

                                                                                                                                                    _AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT

                                                                                                                                                  • Aveți nevoie de o copie a fișierului ISO de configurare curent pentru a genera o nouă configurație. ISO conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de ISO când faceți modificări de configurare, inclusiv acreditările bazei de date, actualizări de certificate sau modificări ale politicii de autorizare.

                                                                                                                                                  1

                                                                                                                                                  Folosind Docker pe o mașină locală, rulați Instrumentul de configurare HDS.

                                                                                                                                                  1. La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                    În medii obișnuite:

                                                                                                                                                    configurare rmi ciscocitg/hds: stabil

                                                                                                                                                    În mediile FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.

                                                                                                                                                  2. Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. La solicitarea parolei, introduceți acest hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Descărcați cea mai recentă imagine stabilă pentru mediul dvs.:

                                                                                                                                                    În medii obișnuite:

                                                                                                                                                    configurație ciscocitg/hds docker: stabil

                                                                                                                                                    În mediile FedRAMP:

                                                                                                                                                    docker extragere ciscocitg/hds-setup-fedramp:stabil

                                                                                                                                                    Asigurați-vă că utilizați cel mai recent instrument de configurare pentru această procedură. Versiunile instrumentului create înainte de 22 februarie 2018 nu au ecrane de resetare a parolei.

                                                                                                                                                  5. Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.:

                                                                                                                                                    • În medii obișnuite fără un proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • În medii obișnuite cu un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • În medii obișnuite cu un HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • În mediile FedRAMP fără un proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • În mediile FedRAMP cu un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • În mediile FedRAMP cu un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Când containerul se execută, vedeți "Express server de ascultare pe portul 8080."

                                                                                                                                                  6. Utilizați un browser pentru a vă conecta la localhost, http://127.0.0.1:8080.

                                                                                                                                                    Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală.

                                                                                                                                                  7. Când vi se solicită, introduceți acreditările de conectare ale clientului Control Hub și apoi faceți clic pe Acceptați pentru a continua.

                                                                                                                                                  8. Importați fișierul ISO de configurare curentă.

                                                                                                                                                  9. Urmați instrucțiunile pentru a finaliza instrumentul și descărcați fișierul actualizat.

                                                                                                                                                    Pentru a închide instrumentul de configurare, tastați CTRL+C.

                                                                                                                                                  10. Creați o copie de rezervă a fișierului actualizat într-un alt centru de date.

                                                                                                                                                  2

                                                                                                                                                  Dacă aveți un singur nod HDS care rulează, creați un nou VM nod de securitate a datelor hibride și înregistrați-l utilizând noul fișier ISO de configurare. Pentru instrucțiuni mai detaliate, consultați Creați și înscrieți mai multe noduri.

                                                                                                                                                  1. Instalați OVA gazdă HDS.

                                                                                                                                                  2. Configurați VM HDS.

                                                                                                                                                  3. Montați fișierul de configurare actualizat.

                                                                                                                                                  4. Înregistrați nodul nou în Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Pentru nodurile HDS existente care rulează fișierul de configurare mai vechi, montați fișierul ISO. Efectuați următoarea procedură pe fiecare nod pe rând, actualizând fiecare nod înainte de a opri următorul nod:

                                                                                                                                                  1. Opriți mașina virtuală.

                                                                                                                                                  2. În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările.

                                                                                                                                                  3. Faceți clic pe UNITATE CD/DVD 1, selectați opțiunea de montare dintr-un fișier ISO și navigați la locația în care ați descărcat noul fișier ISO de configurare.

                                                                                                                                                  4. Bifaţi Conectare la pornire.

                                                                                                                                                  5. Salvați modificările și porniți mașina virtuală.

                                                                                                                                                  4

                                                                                                                                                  Repetați pasul 3 pentru a înlocui configurația pe fiecare nod rămas care rulează configurația veche.

                                                                                                                                                  Dezactivarea modului de rezoluție DNS extern blocat

                                                                                                                                                  Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează căutarea DNS și conectivitatea la cloud-ul Cisco Webex. Dacă serverul DNS al nodului nu poate rezolva numele DNS publice, nodul intră automat în modul Rezoluție DNS externă blocată.

                                                                                                                                                  Dacă nodurile sunt capabile să rezolve numele DNS publice prin serverele DNS interne, puteți dezactiva acest mod prin reluarea testului de conexiune proxy pe fiecare nod.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Asigurați-vă că serverele DNS interne pot rezolva numele DNS publice și că nodurile pot comunica cu acestea.
                                                                                                                                                  1

                                                                                                                                                  Într-un browser web, deschideți interfața nodului Hibrid Data Security (adresa IP/configurare, de exemplu, https://192.0.2.0/setup), introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.

                                                                                                                                                  2

                                                                                                                                                  Accesați Prezentare generală (pagina implicită).

                                                                                                                                                  Când este activată, Rezoluția DNS externă blocată este setată la Da.

                                                                                                                                                  3

                                                                                                                                                  Accesați pagina Trust Store & Proxy.

                                                                                                                                                  4

                                                                                                                                                  Faceți clic pe Verificare conexiune proxy.

                                                                                                                                                  Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a avut succes, nodul nu a reușit să ajungă la serverul DNS și va rămâne în acest mod. În caz contrar, după ce reporniți nodul și reveniți la pagina Prezentare generală, Rezoluția DNS externă blocată ar trebui să fie setată la nu.

                                                                                                                                                  Ce trebuie să faceți în continuare

                                                                                                                                                  Repetați testul de conexiune proxy pe fiecare nod din clusterul hibrid de securitate a datelor.

                                                                                                                                                  Eliminați un nod

                                                                                                                                                  Utilizați această procedură pentru a elimina un nod de securitate a datelor hibride din cloudul Webex. După ce eliminați nodul din cluster, ștergeți mașina virtuală pentru a preveni accesul în continuare la datele dvs. de securitate.
                                                                                                                                                  1

                                                                                                                                                  Utilizați clientul VMware vSphere de pe computerul dvs. pentru a vă conecta la gazda virtuală ESXi și pentru a porni mașina virtuală.

                                                                                                                                                  2

                                                                                                                                                  Eliminați nodul:

                                                                                                                                                  1. Conectați-vă la Control Hub, apoi selectați Servicii.

                                                                                                                                                  2. Pe cardul Securitate a datelor hibride, faceți clic pe Vizualizați toate pentru a afișa pagina Resurse de securitate a datelor hibride.

                                                                                                                                                  3. Selectați clusterul pentru a-și afișa panoul Prezentare generală.

                                                                                                                                                  4. Faceți clic pe Deschidere listă de noduri.

                                                                                                                                                  5. Din fila Noduri, selectați nodul pe care doriți să îl eliminați.

                                                                                                                                                  6. Faceți clic pe Acțiuni > Anulare înscriere nod.

                                                                                                                                                  3

                                                                                                                                                  În clientul vSphere, ștergeți VM. (În panoul de navigare din stânga, faceți clic dreapta pe VM și faceți clic pe Ștergere.)

                                                                                                                                                  Dacă nu ștergeți VM, nu uitați să demontați fișierul ISO de configurare. Fără fișierul ISO, nu puteți utiliza VM pentru a accesa datele de securitate.

                                                                                                                                                  Recuperarea după dezastru utilizând centrul de date în așteptare

                                                                                                                                                  Cel mai critic serviciu pe care clusterul dvs. de securitate a datelor hibride îl oferă este crearea și stocarea cheilor utilizate pentru a cripta mesajele și alt conținut stocat în cloudul Webex. Pentru fiecare utilizator din organizație care este atribuit Securitatea datelor hibride, noile solicitări de creare a cheii sunt direcționate către cluster. Clusterul este, de asemenea, responsabil pentru returnarea cheilor pe care le-a creat oricărui utilizator autorizat să le recupereze, de exemplu, membrilor unui spațiu de conversație.

                                                                                                                                                  Deoarece clusterul îndeplinește funcția critică de furnizare a acestor chei, este imperativ ca clusterul să rămână în funcțiune și să fie menținute copiile de rezervă corespunzătoare. Pierderea bazei de date hibride de securitate a datelor sau a ISO-ului de configurare utilizat pentru schemă va duce la PIERDEREA IREVERSIBILĂ a conținutului clientului. Pentru a preveni o astfel de pierdere sunt obligatorii următoarele practici:

                                                                                                                                                  Dacă un dezastru face ca implementarea HDS în centrul de date principal să devină indisponibilă, urmați această procedură pentru a trece manual la centrul de date în așteptare.

                                                                                                                                                  1

                                                                                                                                                  Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.

                                                                                                                                                  2

                                                                                                                                                  După configurarea serverului Syslogd, faceți clic pe Setări avansate

                                                                                                                                                  3

                                                                                                                                                  Pe pagina Setări avansate , adăugați configurația de mai jos sau eliminați configurația Mod pasiv pentru a activa nodul. Nodul poate gestiona traficul după ce este configurat.

                                                                                                                                                   Mod pasiv: „fals” 

                                                                                                                                                  4

                                                                                                                                                  Finalizați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit.

                                                                                                                                                  5

                                                                                                                                                  Faceți o copie de rezervă a fișierului ISO în sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la acei administratori de securitate a datelor hibride care ar trebui să efectueze modificări de configurație.

                                                                                                                                                  6

                                                                                                                                                  În panoul de navigare stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări..

                                                                                                                                                  7

                                                                                                                                                  Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Datastore ISO File.

                                                                                                                                                  Asigurați-vă că sunt bifate opțiunile Conectat și Conectare la pornire , astfel încât modificările actualizate ale configurației să poată intra în vigoare după pornirea nodurilor.

                                                                                                                                                  8

                                                                                                                                                  Porniți nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute.

                                                                                                                                                  9

                                                                                                                                                  Repetați procesul pentru fiecare nod din centrul de date în așteptare.

                                                                                                                                                  Verificați ieșirea syslog pentru a verifica dacă nodurile centrului de date în așteptare nu sunt în modul pasiv. „KMS configurat în modul pasiv” nu trebuie să apară în syslogs.

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  După reluarea în caz de nereușită, dacă centrul de date principal redevine activ, plasați din nou centrul de date în așteptare în modul pasiv, urmând pașii descriși în Configurarea centrului de date în așteptare pentru recuperarea după dezastru.

                                                                                                                                                  (Opțional) Demontați ISO după configurarea HDS

                                                                                                                                                  Configurația standard HDS rulează cu ISO montat. Dar, unii clienți preferă să nu lase fișierele ISO montate continuu. Puteți demonta fișierul ISO după ce toate nodurile HDS preiau noua configurație.

                                                                                                                                                  Încă utilizați fișierele ISO pentru a efectua modificări de configurație. Când creați un nou ISO sau actualizați un ISO prin intermediul instrumentului de configurare, trebuie să montați ISO actualizat pe toate nodurile HDS. După ce toate nodurile au preluat modificările de configurație, puteți demonta din nou ISO cu această procedură.

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  Efectuați upgrade pentru toate nodurile HDS la versiunea 2021.01.22.4720 sau la o versiune ulterioară.

                                                                                                                                                  1

                                                                                                                                                  Închideți unul dintre nodurile HDS.

                                                                                                                                                  2

                                                                                                                                                  În dispozitivul vCenter Server, selectați nodul HDS.

                                                                                                                                                  3

                                                                                                                                                  Alegeți Editare setări > Unitate CD/DVD și debifați Datastore ISO File.

                                                                                                                                                  4

                                                                                                                                                  Porniți nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 20 de minute.

                                                                                                                                                  5

                                                                                                                                                  Repetați la rând pentru fiecare nod HDS.

                                                                                                                                                  Soluționați problemele privind securitatea datelor hibride

                                                                                                                                                  Vizualizați alertele și soluționarea problemelor

                                                                                                                                                  O implementare de securitate a datelor hibride este considerată indisponibilă dacă toate nodurile din cluster sunt inaccesibile sau clusterul funcționează atât de lent încât necesită timp liber. Dacă utilizatorii nu pot contacta Clusterul dvs. de securitate a datelor hibride, vor prezenta următoarele simptome:

                                                                                                                                                  • Nu se pot crea spații noi (nu se pot crea chei noi)

                                                                                                                                                  • Mesajele și titlurile spațiului nu au putut fi decriptate pentru:

                                                                                                                                                    • Utilizatori noi adăugați într-un spațiu (nu se pot prelua cheile)

                                                                                                                                                    • Utilizatori existenți într-un spațiu utilizând un client nou (nu se pot prelua cheile)

                                                                                                                                                  • Utilizatorii existenți dintr-un spațiu vor continua să ruleze cu succes atât timp cât clienții lor au o memorie cache a cheilor de criptare

                                                                                                                                                  Este important să monitorizați în mod corespunzător clusterul de securitate a datelor hibride și să abordați prompt orice alerte pentru a evita întreruperea serviciului.

                                                                                                                                                  Alerte

                                                                                                                                                  Dacă există o problemă cu configurarea securității datelor hibride, Control Hub afișează alerte administratorului organizației și trimite e-mailuri la adresa de e-mail configurată. Alertele acoperă multe scenarii comune.

                                                                                                                                                  Tabelul 1. Probleme comune și pașii pentru a le rezolva

                                                                                                                                                  Alertă

                                                                                                                                                  Acțiune

                                                                                                                                                  Eroare de acces la baza de date locală.

                                                                                                                                                  Verificați dacă există erori la baza de date sau probleme de rețea locală.

                                                                                                                                                  Eroare de conexiune la baza de date locală.

                                                                                                                                                  Verificați dacă serverul bazei de date este disponibil și dacă s-au utilizat datele de autentificare corecte la contul de serviciu în configurarea nodului.

                                                                                                                                                  Acces nereușit la serviciul cloud.

                                                                                                                                                  Verificați dacă nodurile pot accesa serverele Webex, conform specificațiilor din Cerințe de conectivitate externă.

                                                                                                                                                  Se reînnoiește înscrierea la serviciul cloud.

                                                                                                                                                  Înscrierea la serviciile cloud a fost abandonată. Înregistrarea este în curs de reînnoire.

                                                                                                                                                  Înscrierea la serviciul cloud a scăzut.

                                                                                                                                                  Înscrierea la serviciile cloud a fost încheiată. Serviciul se oprește.

                                                                                                                                                  Serviciul nu a fost încă activat.

                                                                                                                                                  Activați o versiune de încercare sau finalizați mutarea versiunii de încercare la producție.

                                                                                                                                                  Domeniul configurat nu corespunde certificatului serverului.

                                                                                                                                                  Asigurați-vă că certificatul dvs. de server corespunde domeniului de activare a serviciului configurat.

                                                                                                                                                  Cauza cea mai probabilă este că certificatul NC a fost modificat recent și este acum diferit de cel utilizat în timpul configurării inițiale.

                                                                                                                                                  Nu s-a reușit autentificarea la serviciile cloud.

                                                                                                                                                  Verificați acuratețea și posibila expirare a acreditărilor contului de serviciu.

                                                                                                                                                  Nu s-a reușit deschiderea fișierului de keystore local.

                                                                                                                                                  Verificați integritatea și acuratețea parolei în fișierul de keystore local.

                                                                                                                                                  Certificatul serverului local nu este valid.

                                                                                                                                                  Verificați data de expirare a certificatului serverului și confirmați că acesta a fost emis de o autoritate de certificare de încredere.

                                                                                                                                                  Nu se pot publica măsurătorile.

                                                                                                                                                  Verificați accesul rețelei locale la serviciile externe din cloud.

                                                                                                                                                  Directorul /media/configdrive/hds nu există.

                                                                                                                                                  Verificați configurația de montare ISO pe gazda virtuală. Verificați dacă fișierul ISO există, dacă este configurat pentru montare la repornire și dacă se montează cu succes.

                                                                                                                                                  Soluționați problemele privind securitatea datelor hibride

                                                                                                                                                  Utilizați următoarele indicații generale atunci când depanați problemele cu Securitatea datelor hibride.
                                                                                                                                                  1

                                                                                                                                                  Consultați Control Hub pentru orice alerte și remediați orice elemente pe care le găsiți acolo.

                                                                                                                                                  2

                                                                                                                                                  Revizuiți ieșirea serverului syslog pentru activitatea din implementarea securității datelor hibride.

                                                                                                                                                  3

                                                                                                                                                  Contactați asistența Cisco.

                                                                                                                                                  Alte note

                                                                                                                                                  Probleme cunoscute privind securitatea datelor hibride

                                                                                                                                                  • Dacă închideți clusterul de securitate a datelor hibride (prin ștergerea acestuia din Control Hub sau prin închiderea tuturor nodurilor), pierdeți fișierul ISO de configurare sau pierdeți accesul la baza de date a magazinului de chei, utilizatorii Aplicației Webex nu vor mai putea utiliza spațiile din lista lor de persoane care au fost create cu chei din KMS. Acest lucru este valabil atât pentru implementările în testare, cât și pentru cele în producție. Nu avem în prezent o soluție sau o soluție pentru această problemă și vă încurajăm să nu închideți serviciile dvs. HDS odată ce acestea gestionează conturile de utilizator active.

                                                                                                                                                  • Un client care are o conexiune ECDH existentă la un KMS menține această conexiune pentru o perioadă de timp (probabil o oră). Când un utilizator devine membru al unei perioade de încercare de securitate a datelor hibride, clientul utilizatorului continuă să utilizeze conexiunea ECDH existentă până când se oprește. În mod alternativ, utilizatorul se poate deconecta și se poate reconecta la aplicația Webex pentru a actualiza locația contactată de aplicație pentru cheile de criptare.

                                                                                                                                                    Același comportament apare atunci când mutați o perioadă de încercare în producție pentru organizație. Toți utilizatorii care nu sunt în perioada de probă și care au conexiuni ECDH existente la serviciile anterioare de securitate a datelor vor continua să utilizeze aceste servicii până când conexiunea ECDH este renegociată (prin expirare sau prin deconectare și reconectare).

                                                                                                                                                  Utilizați OpenSSL pentru a genera un fișier PKCS12

                                                                                                                                                  Înainte de a începe

                                                                                                                                                  • OpenSSL este un instrument care poate fi utilizat pentru a face fișierul PKCS12 în formatul corect pentru încărcarea în instrumentul de configurare HDS. Există și alte modalități de a face acest lucru, iar noi nu sprijinim sau promovăm într-un mod mai presus de altul.

                                                                                                                                                  • Dacă alegeți să utilizați OpenSSL, vă oferim această procedură ca ghid pentru a vă ajuta să creați un fișier care îndeplinește cerințele de certificat X.509 din Cerințele de certificat X.509. Înțelegeți aceste cerințe înainte de a continua.

                                                                                                                                                  • Instalați OpenSSL într-un mediu acceptat. Consultați https://www.openssl.org pentru software și documentație.

                                                                                                                                                  • Creați o cheie privată.

                                                                                                                                                  • Inițiați această procedură atunci când primiți certificatul de server de la Certificate Authority (CA).

                                                                                                                                                  1

                                                                                                                                                  Când primiți certificatul de server de la CA, salvați-l ca hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Afișați certificatul ca text și verificați detaliile.

                                                                                                                                                  openssl x509 -text -noout -în hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilizați un editor de text pentru a crea un fișier pachet de certificate numit hdsnode-bundle.pem. Fișierul pachet trebuie să includă certificatul de server, orice certificate CA intermediare și certificatele CA rădăcină, în formatul de mai jos:

                                                                                                                                                  -----începeți certificatul------ ### Certificat de server. ### ------------------------------------ ### Certificat CA intermediar. ### ------------------------------------ ### Certificatul autorității de certificare rădăcină. ### -----încheiere certificat------

                                                                                                                                                  4

                                                                                                                                                  Creați fișierul .p12 cu numele prietenos kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -nume kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Verificați detaliile certificatului serverului.

                                                                                                                                                  1. openssl pkcs12 -în hdsnode.p12

                                                                                                                                                  2. Introduceți o parolă la solicitarea de a cripta cheia privată astfel încât să fie afișată în ieșire. Apoi, verificați dacă cheia privată și primul certificat includ liniile friendlyName: Cheie kms-privată.

                                                                                                                                                    Exemplu:

                                                                                                                                                    bash$ openssl pkcs12 -în hdsnode.p12 Introduceți parola de import: MAC a verificat atributele pungii OK friendlyName: kms-private-cheie localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Atribute cheie:  Introduceți fraza de acces PEM: Verificare - Introduceți fraza pass PEM: -----BEGIN CRIPTAT CHEIE PRIVATĂ-----  -----END CRIPTAT CHEIE PRIVATĂ------- Atributele pungii prietenoaseName: kms-private-cheie localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us emitent=/C=US/O=Să criptăm/CN=Să criptăm autoritatea X3 -----BEGIN CERTIFICATE-----  -----end certificate------- Atribute prietenoase cu pungaNume: CN=Să Criptăm Autoritatea X3,O=Să Criptăm,C=US subject=/C=US/O=Să Criptăm/CN=Să Criptăm Autoritatea X3 emitentă=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE------

                                                                                                                                                  Ce este de făcut în continuare

                                                                                                                                                  Reveniți la Finalizați cerințele preliminare pentru securitatea datelor hibride. Veți utiliza fișierul hdsnode.p12 și parola pe care ați setat-o pentru acesta în Creați o configurație ISO pentru gazdele HDS.

                                                                                                                                                  Puteți reutiliza aceste fișiere pentru a solicita un nou certificat atunci când certificatul original expiră.

                                                                                                                                                  Trafic între nodurile HDS și cloud

                                                                                                                                                  Trafic de colectare a măsurătorilor de ieșire

                                                                                                                                                  Nodurile de securitate a datelor hibride trimit anumite măsurători în cloudul Webex. Printre acestea se numără măsurătorile de sistem privind numărul maxim de cadre, efectivul de cadre utilizate, sarcina procesorului și numărul de fire de execuție; măsurătorile privind șirurile sincronizate și asincrone; măsurătorile privind alertele care implică un prag de conexiuni de criptare, o latență sau o lungime a cozii de apeluri; măsurătorile privind baza de date și măsurătorile privind conexiunile de criptare. Nodurile trimit material cheie criptat printr-un canal în afara benzii (separat de solicitare).

                                                                                                                                                  Trafic de intrare

                                                                                                                                                  Nodurile de securitate a datelor hibride primesc următoarele tipuri de trafic de intrare din cloudul Webex:

                                                                                                                                                  • Solicitări de criptare de la clienți, care sunt rutate de serviciul de criptare

                                                                                                                                                  • Upgrade-uri la software-ul nodului

                                                                                                                                                  Configurarea proxy-urilor Squid pentru securitatea datelor hibride

                                                                                                                                                  Websocket nu se poate conecta prin Squid Proxy

                                                                                                                                                  Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea conexiunilor websocket (wss:) pe care Securitatea datelor hibride le necesită. Aceste secțiuni oferă îndrumări despre cum să configurați diferite versiuni de Squid pentru a ignora wss: traficul pentru funcționarea corespunzătoare a serviciilor.

                                                                                                                                                  Calmar 4 și 5

                                                                                                                                                  Adăugați on_unsupported_protocol directiva la squid.conf:

                                                                                                                                                  on_unsupported_protocol tunel toate

                                                                                                                                                  Calmar 3.5.27

                                                                                                                                                  Am testat cu succes Securitatea datelor hibride cu următoarele reguli adăugate la squid.conf. Aceste reguli pot fi modificate pe măsură ce dezvoltăm caracteristici și actualizăm cloud-ul Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 toate ssl_bump stare step2 toate ssl_bump bump3 toate
                                                                                                                                                  A fost util acest articol?
                                                                                                                                                  A fost util acest articol?