- Pagină de pornire
- /
- Articol
Ghid de implementare pentru securitatea datelor hibride Webex
Informații noi și modificate
Dată | Modificări efectuate | ||
---|---|---|---|
20 octombrie 2023 |
| ||
07 august 2023 |
| ||
23 mai 2023 |
| ||
06 decembrie 2022 |
| ||
23 noiembrie 2022 |
| ||
13 octombrie 2021 | Docker Desktop trebuie să ruleze un program de configurare înainte de a putea instala noduri HDS. Consultați Cerințele de desktop ale Docker. | ||
24 iunie 2021 | Rețineți că puteți reutiliza fișierul cu tastatură privată și CSR pentru a solicita un alt certificat. Consultați Utilizarea OpenSSL pentru a genera un fișier PKCS12 pentru detalii. | ||
30 aprilie 2021 | A schimbat cerința VM pentru spațiul local pe hard disk la 30 GB. Consultați Cerințele Gazdei Virtuale pentru detalii. | ||
24 februarie 2021 | Instrumentul de configurare HDS poate rula acum în spatele unui proxy. Consultați Creați un ISO de configurare pentru gazdele HDS pentru detalii. | ||
2 februarie 2021 | HDS poate rula acum fără un fișier ISO montat. Consultați (Opțional) Dezasamblarea ISO după configurarea HDS pentru detalii. | ||
11 ianuarie 2021 | Au fost adăugate informații despre instrumentul de configurare HDS și proxy-uri pentru a crea un ISO de configurare pentru gazdele HDS. | ||
13 octombrie 2020 | Fișiere de instalare Descărcare actualizate. | ||
8 octombrie 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS și modificați configurația nodului cu comenzi pentru mediile FedRAMP. | ||
14 august 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS și modificați configurația nodului cu modificări ale procesului de conectare. | ||
5 august 2020 | Actualizat Testați implementarea securității datelor hibride pentru modificări ale mesajelor jurnal. S-au actualizat Cerințele Gazdei Virtuale pentru a elimina numărul maxim de gazde. | ||
16 iunie 2020 | Actualizat Eliminați un nod pentru modificările din interfața cu utilizatorul Control Hub. | ||
4 iunie 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS pentru modificările din Setările avansate pe care le-ați putea seta. | ||
29 mai 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS pentru a afișa puteți utiliza, de asemenea, TLS cu baze de date SQL Server, modificări de interfață de utilizator și alte clarificări. | ||
5 mai 2020 | Actualizat Cerințele Gazdei Virtuale pentru a afișa noua cerință a ESXi 6.5. | ||
21 aprilie 2020 | Actualizat Cerințe de conectivitate externă cu noi gazde CI din America. | ||
Aprilie 1, 2020 | Actualizat Cerințele de conectivitate externă cu informații despre gazdele regionale CI. | ||
20 februarie 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS cu informații despre noul ecran opțional de setări avansate din instrumentul de configurare HDS. | ||
4 februarie 2020 | Cerințe server proxy actualizate. | ||
16 decembrie 2019 | A clarificat cerința ca modul de rezoluție DNS extern blocat să funcționeze în cerințele serverului proxy. | ||
19 noiembrie 2019 | Au fost adăugate informații despre modul de rezoluție DNS extern blocat în următoarele secțiuni: | ||
8 noiembrie 2019 | Acum puteți configura setările de rețea pentru un nod în timp ce implementați OVA, mai degrabă decât ulterior. Actualizat în consecință următoarele secțiuni:
| ||
6 septembrie 2019 | S-a adăugat standardul SQL Server la cerințele serverului bazei de date. | ||
august 29, 2019 | A fost adăugată Configurarea proxy-urilor Squid pentru securitatea datelor hibride , cu îndrumări privind configurarea proxy-urilor Squid pentru a ignora traficul websocket pentru funcționarea corespunzătoare. | ||
20 august 2019 | Secțiuni adăugate și actualizate pentru a acoperi asistența proxy pentru comunicațiile nodului de securitate a datelor hibride în cloudul Webex. Pentru a accesa doar conținutul de asistență proxy pentru o implementare existentă, consultați Asistența proxy pentru securitatea datelor hibride și articolul de ajutor Webex Video Mesh . | ||
13 iunie 2019 | A fost actualizat Fluxul de activități de producție cu un memento pentru a sincroniza HdsTrialGroup obiectul de grup înainte de a începe un trial dacă organizația dvs. utilizează sincronizarea directorului. | ||
6 martie 2019 |
| ||
februarie 28, 2019 |
| ||
26 februarie 2019 |
| ||
24 ianuarie 2019 |
| ||
noiembrie 5, 2018 |
| ||
19 octombrie 2018 |
| ||
31 iulie 2018 |
| ||
21 mai 2018 | Terminologia modificată pentru a reflecta rebranding-ul Cisco Spark:
| ||
11 aprilie 2018 |
| ||
22 februarie 2018 |
| ||
februarie 15, 2018 |
| ||
ianuarie 18, 2018 |
| ||
noiembrie 2, 2017 |
| ||
18 august 2017 | Prima publicare |
Prezentare generală a securității datelor hibride
Începând cu prima zi, securitatea datelor a fost accentul principal în proiectarea Aplicației Webex. Piatra de temelie a acestei securități este criptarea conținutului end-to-end, activată de clienții aplicației Webex care interacționează cu Serviciul de gestionare a cheilor (KMS). KMS este responsabil pentru crearea și gestionarea cheilor criptografice pe care clienții le utilizează pentru a cripta și decripta în mod dinamic mesajele și fișierele.
În mod implicit, toți clienții Aplicației Webex primesc criptare end-to-end cu chei dinamice stocate în KMS cloud, în domeniul de securitate al Cisco. Hybrid Data Security mută KMS și alte funcții legate de securitate în centrul de date la nivel de întreprindere dvs., astfel încât nimeni în afară de dvs. să nu dețină cheile conținutului dvs. criptat.
Arhitectură Realm de securitate
Arhitectura cloud Webex separă diferite tipuri de servicii în domenii separate sau domenii de încredere, după cum este descris mai jos.
Pentru a înțelege în continuare securitatea datelor hibride, să ne uităm mai întâi la acest caz cloud pur, în care Cisco oferă toate funcțiile din domeniile sale cloud. Serviciul de identitate, singurul loc în care utilizatorii pot fi direct corelați cu informațiile lor personale, cum ar fi adresa de e-mail, este separat în mod logic și fizic de domeniul de securitate din centrul de date B. Ambele sunt, la rândul lor, separate de domeniul în care conținutul criptat este stocat în cele din urmă, în centrul de date C.
În această diagramă, clientul este aplicația Webex care rulează pe laptopul unui utilizator și s-a autentificat cu serviciul de identitate. Când utilizatorul compune un mesaj pentru a trimite într-un spațiu, au loc următorii pași:
Clientul stabilește o conexiune securizată cu serviciul de gestionare a cheilor (KMS), apoi solicită o cheie pentru a cripta mesajul. Conexiunea securizată utilizează ECDH, iar KMS criptează cheia utilizând o cheie principală AES-256.
Mesajul este criptat înainte de a părăsi clientul. Clientul îl trimite la serviciul de indexare, care creează indexuri de căutare criptate pentru a ajuta în căutările viitoare pentru conținut.
Mesajul criptat este trimis serviciului de conformitate pentru verificări de conformitate.
Mesajul criptat este stocat în domeniul de stocare.
Când implementați Securitatea datelor hibride, mutați funcțiile domeniului de securitate (KMS, indexare și conformitate) în centrul dvs. de date local. Celelalte servicii cloud care alcătuiesc Webex (inclusiv stocarea identității și a conținutului) rămân în domeniile Cisco.
Colaborarea cu Alte Organizații
Utilizatorii din organizația dvs. pot utiliza în mod regulat Aplicația Webex pentru a colabora cu participanți externi din alte organizații. Când unul dintre utilizatorii dvs. solicită o cheie pentru un spațiu care este deținut de organizația dvs. (deoarece a fost creat de unul dintre utilizatorii dvs.), KMS trimite cheia către client printr-un canal ECDH securizat. Cu toate acestea, atunci când o altă organizație deține cheia pentru spațiu, KMS-ul direcționează cererea către cloudul Webex printr-un canal ECDH separat pentru a obține cheia de la KMS-ul corespunzător și apoi returnează cheia către utilizatorul dvs. pe canalul original.
Serviciul KMS care rulează pe Org A validează conexiunile la KMS în alte organizații utilizând x.509 certificate PKI. Consultați Pregătiți-vă mediul pentru detalii despre generarea unui certificat x.509 pe care să-l utilizați cu implementarea securității datelor hibride.
Așteptări pentru implementarea securității datelor hibride
O implementare a securității datelor hibride necesită un angajament semnificativ din partea clienților și o conștientizare a riscurilor pe care le implică deținerea cheilor de criptare.
Pentru a implementa securitatea datelor hibride, trebuie să furnizați:
Un centru de date securizat într-o țară care este o locație acceptată pentru planurile Cisco Webex Teams.
Echipamentul, software-ul și accesul la rețea descrise în Pregătirea Mediului.
Pierderea completă a configurației ISO pe care o construiți pentru securitatea datelor hibride sau a bazei de date pe care o furnizați va duce la pierderea tastelor. Pierderea tastelor împiedică utilizatorii să decripteze conținutul spațiului și alte date criptate în Aplicația Webex. Dacă se întâmplă acest lucru, puteți construi o nouă implementare, dar numai conținut nou va fi vizibil. Pentru a evita pierderea accesului la date, trebuie:
Gestionați backup-ul și recuperarea bazei de date și configurația ISO.
Fiți pregătiți să efectuați recuperarea rapidă a dezastrelor dacă apare o catastrofă, cum ar fi defectarea discului de bază de date sau dezastrul centrului de date.
Nu există niciun mecanism pentru a muta cheile înapoi în Cloud după o implementare HDS. |
Proces de configurare la nivel înalt
Acest document acoperă configurarea și gestionarea implementării securității datelor hibride:
Configurați securitatea datelor hibride—Aceasta include pregătirea infrastructurii necesare și instalarea software-ului de securitate a datelor hibride, testarea implementării dvs. cu un subset de utilizatori în modul de încercare și, odată ce testarea dvs. este finalizată, trecerea la producție. Aceasta convertește întreaga organizație pentru a utiliza clusterul dvs. de securitate a datelor hibride pentru funcțiile de securitate.
Fazele de configurare, încercare și producție sunt acoperite în detaliu în următoarele trei capitole.
Mențineți implementarea securității datelor hibride—cloud-ul Webex oferă automat upgrade-uri în curs. Departamentul dvs. IT poate oferi un singur nivel de asistență pentru această implementare și poate angaja asistență Cisco după cum este necesar. Puteți utiliza notificări pe ecran și puteți configura alerte pe bază de e-mail în Control Hub.
Înțelegerea alertelor comune, a pașilor de depanare și a problemelor cunoscute—Dacă întâmpinați probleme la implementarea sau utilizarea securității datelor hibride, ultimul capitol din acest ghid și apendicele Probleme cunoscute vă pot ajuta să determinați și să remediați problema.
Model de implementare a securității datelor hibride
În cadrul centrului dvs. de date al întreprinderii, implementați Securitatea datelor hibride ca un singur grup de noduri pe gazde virtuale separate. Nodurile comunică cu cloudul Webex prin prize web securizate și HTTP securizat.
În timpul procesului de instalare, vă oferim fișierul OVA pentru a configura dispozitivul virtual pe VMs pe care le furnizați. Utilizați instrumentul de configurare HDS pentru a crea un fișier ISO de configurare a clusterului personalizat pe care îl montați pe fiecare nod. Clusterul de securitate a datelor hibride utilizează serverul Syslogd furnizat și baza de date PostgreSQL sau Microsoft SQL Server. (Configurați detaliile conexiunii Syslogd și a bazei de date în Instrumentul de configurare HDS.)
Numărul minim de noduri pe care le puteți avea într-un cluster este de două. Vă recomandăm cel puțin trei, și puteți avea până la cinci. Existența mai multor noduri asigură faptul că serviciul nu este întrerupt în timpul unui upgrade de software sau al unei alte activități de întreținere pe un nod. (Cloudul Webex actualizează doar un nod la un moment dat.)
Toate nodurile dintr-un cluster accesează aceeași bază de date cu tastatură și înregistrează activitatea pe același server syslog. Nodurile în sine sunt apatride și se ocupă de solicitările cheie în modul rotund-robin, așa cum este direcționat de cloud.
Nodurile devin active atunci când le înregistrați în Control Hub. Pentru a scoate un nod individual din serviciu, îl puteți desînregistra și apoi îl puteți reînregistra, dacă este necesar.
Sprijinim doar un singur cluster per organizație.
Mod de încercare pentru securitatea datelor hibride
După configurarea unei implementări de securitate a datelor hibride, încercați mai întâi cu un set de utilizatori pilot. În timpul perioadei de încercare, acești utilizatori utilizează domeniul local de securitate a datelor hibride pentru cheile de criptare și alte servicii din domeniul de securitate. Ceilalți utilizatori continuă să utilizeze domeniul de securitate cloud.
Dacă decideți să nu continuați implementarea în timpul perioadei de încercare și să dezactivați serviciul, utilizatorii pilot și orice utilizatori cu care au interacționat prin crearea de spații noi în timpul perioadei de încercare vor pierde accesul la mesaje și conținut. Aceștia vor vedea „Acest mesaj nu poate fi decriptat” în aplicația Webex.
Dacă sunteți mulțumit că implementarea dvs. funcționează bine pentru utilizatorii de încercare și sunteți pregătit să extindeți Securitatea datelor hibride la toți utilizatorii dvs., mutați implementarea în producție. Utilizatorii pilot continuă să aibă acces la cheile care au fost utilizate în timpul încercării. Cu toate acestea, nu se poate muta înapoi și înainte între modul de producție și procesul inițial. Dacă trebuie să dezactivați serviciul, cum ar fi pentru a efectua recuperarea dezastrelor, atunci când reactivați, trebuie să începeți o nouă încercare și să configurați setul de utilizatori pilot pentru noua încercare înainte de a reveni la modul de producție. Dacă utilizatorii păstrează accesul la date în acest moment depinde de faptul dacă ați menținut cu succes copii de rezervă ale stocului de date cheie și ale fișierului de configurare ISO pentru nodurile de securitate a datelor hibride din cluster.
Centrul de date standby pentru recuperarea dezastrelor
În timpul implementării, ați configurat un centru de date standby securizat. În cazul unui dezastru al unui centru de date, puteți eșua manual implementarea în centrul de date standby.
Bazele de date ale centrelor de date active și standby sunt în sincronizare unele cu altele, ceea ce va reduce la minimum timpul necesar pentru a efectua eșecul. Fișierul ISO al centrului de date standby este actualizat cu configurații suplimentare care asigură că nodurile sunt înregistrate în organizație, dar nu vor gestiona traficul. Prin urmare, nodurile centrului de date standby rămân întotdeauna la zi cu cea mai recentă versiune de software HDS.
Nodurile active de securitate a datelor hibride trebuie să fie întotdeauna în același centru de date ca serverul de bază de date activă. |
Configurarea Centrului de date standby pentru recuperarea dezastrelor
Urmați pașii de mai jos pentru a configura fișierul ISO al centrului de date standby:
Înainte de a începe
Centrul de date standby trebuie să reflecte mediul de producție al VMs și o bază de date PostgreSQL sau Microsoft SQL Server de rezervă. De exemplu, dacă producția are 3 VMs care rulează noduri HDS, mediul de rezervă ar trebui să aibă 3 VMs. (Consultați Standby Data Center for Disaster Recovery pentru o prezentare generală a acestui model de eșec.)
Asigurați-vă că sincronizarea bazei de date este activată între baza de date a nodurilor de cluster active și pasive.
1 | Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.
| ||
2 | După configurarea serverului Syslogd, faceți clic pe Setări avansate | ||
3 | Pe pagina Setări avansate, adăugați configurația de mai jos pentru a plasa nodul în modul pasiv. În acest mod, nodul va fi înregistrat în organizație și conectat la cloud, dar nu va gestiona niciun trafic.
| ||
4 | Completați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit. | ||
5 | Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare. | ||
6 | În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări.. | ||
7 | Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Fișier ISO Datastore.
| ||
8 | Activați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute. | ||
9 | Repetați procesul pentru fiecare nod din centrul de date standby.
|
Ce este de făcut în continuare
După configurare passiveMode
în fișierul ISO și salvându-l, puteți crea o altă copie a fișierului ISO fără passiveMode
configurare și salvați-l într-o locație sigură. Această copie a fișierului ISO fără passiveMode
configurat poate ajuta într-un proces rapid de eșec în timpul recuperării dezastrelor. Consultați Recuperarea dezastrelor utilizând Centrul de date standby pentru procedura detaliată de nereușită.
Asistență proxy
Securitatea datelor hibride acceptă inspecții explicite, transparente și proxy-uri neinspectate. Puteți lega aceste proxy-uri de implementarea dvs., astfel încât să puteți securiza și monitoriza traficul de la întreprindere la cloud. Puteți utiliza o interfață de administrare a platformei pe noduri pentru gestionarea certificatelor și pentru a verifica starea generală a conectivității după ce ați configurat proxy-ul pe noduri.
Nodurile de securitate a datelor hibride acceptă următoarele opțiuni proxy:
Fără proxy—Implicit dacă nu utilizați configurația de configurare a nodului HDS Trust Store și proxy pentru a integra un proxy. Nu este necesară nicio actualizare a certificatului.
Proxy fără inspecție transparent—Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy și nu ar trebui să necesite nicio modificare pentru a lucra cu un proxy fără inspecție. Nu este necesară nicio actualizare a certificatului.
Tunelare transparentă sau inspecție proxy—Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy. Nu sunt necesare modificări ale configurației HTTP sau HTTPS pe noduri. Cu toate acestea, nodurile au nevoie de un certificat rădăcină, astfel încât să aibă încredere în proxy. De obicei, proxy-urile de inspecție sunt utilizate de IT pentru a pune în aplicare politicile pe care site-urile pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).
Proxy explicit—Cu proxy explicit, spuneți nodurilor HDS ce server proxy și sistem de autentificare să utilizați. Pentru a configura un proxy explicit, trebuie să introduceți următoarele informații pe fiecare nod:
IP proxy/FQDN—Adresă care poate fi utilizată pentru a ajunge la utilajul proxy.
Portul proxy—Un număr de port pe care proxy-ul îl folosește pentru a asculta traficul proxy.
Proxy Protocol—În funcție de ce acceptă serverul dvs. proxy, alegeți între următoarele protocoale:
HTTP—Vizualizează și controlează toate solicitările pe care clientul le trimite.
HTTPS—Oferă un canal serverului. Clientul primește și validează certificatul serverului.
Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:
Niciuna – Nu este necesară autentificarea suplimentară.
Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
De bază—Utilizat pentru un agent de utilizator HTTP pentru a furniza un nume de utilizator și o parolă atunci când efectuați o solicitare. Utilizează codificarea Base64.
Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
Vă cere să introduceți numele de utilizator și parola pe fiecare nod.
Digest—Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite în rețea.
Disponibil numai dacă selectați HTTPS ca protocol proxy.
Vă cere să introduceți numele de utilizator și parola pe fiecare nod.
Exemplu de noduri hibride de securitate a datelor și proxy
Această diagramă arată o conexiune de exemplu între securitatea datelor hibride, rețea și un proxy. Pentru inspectarea transparentă și opțiunile HTTPS de inspecție explicită a proxy-urilor, trebuie instalat același certificat rădăcină pe proxy și pe nodurile de securitate a datelor hibride.
Modul de rezoluție DNS extern blocat (configurații proxy explicite)
Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează aspectul DNS și conectivitatea la cloudul Cisco Webex. În implementările cu configurații proxy explicite care nu permit rezoluția DNS externă pentru clienții interni, dacă nodul nu poate interoga serverele DNS, acesta intră automat în modul de Rezoluție DNS Externă Blocată. În acest mod, pot continua testele de înregistrare a nodurilor și alte teste de conectivitate proxy.
Cerințe privind securitatea datelor hibride
Cerințe de licență Cisco Webex
Pentru implementarea securității datelor hibride:
Trebuie să aveți un pachet Pro pentru Cisco Webex Control Hub. (Consultați https://www.cisco.com/go/pro-pack.)
Cerințe Docker Desktop
Înainte de a instala nodurile HDS, aveți nevoie de Docker Desktop pentru a rula un program de configurare. Docker și-a actualizat recent modelul de licențiere. Este posibil ca organizația dvs. să necesite un abonament cu plată pentru Docker Desktop. Pentru detalii, consultați postarea de pe blogul Docker, " Docker actualizează și extinde abonamentele noastre la produse ".
X.509 Cerințe privind certificatul
Lanțul certificatului trebuie să îndeplinească următoarele cerințe:
Obligatoriu | Detalii |
---|---|
| În mod implicit, avem încredere în CA-urile din lista Mozilla (cu excepția WoSign și StartCom) la https://wiki.mozilla.org/CA:IncludedCAs. |
| CN-ul nu trebuie să fie accesibil sau o gazdă live. Vă recomandăm să utilizați un nume care reflectă organizația dvs., de exemplu, CN nu trebuie să conțină un * (wildcard). CN este utilizat pentru a verifica nodurile de securitate a datelor hibride pentru clienții Aplicației Webex. Toate nodurile de securitate a datelor hibride din clusterul dvs. utilizează același certificat. KMS-ul se identifică utilizând domeniul CN, nu orice domeniu care este definit în câmpurile SAN x.509v3. După ce ați înregistrat un nod cu acest certificat, nu acceptăm schimbarea numelui domeniului CN. Alegeți un domeniu care se poate aplica atât implementărilor de încercare, cât și implementărilor de producție. |
| Software-ul KMS nu acceptă semnăturile SHA1 pentru validarea conexiunilor la KMSs ale altor organizații. |
| Puteți utiliza un convertor, cum ar fi OpenSSL pentru a schimba formatul certificatului. Va trebui să introduceți parola atunci când rulați Instrumentul de configurare HDS. |
Software-ul KMS nu impune utilizarea cheii sau restricții extinse de utilizare a cheii. Unele autorități de certificare impun aplicarea unor restricții extinse de utilizare a cheilor pentru fiecare certificat, cum ar fi autentificarea serverului. Este în regulă să utilizați autentificarea serverului sau alte setări.
Cerințe Gazdă virtuală
Gazdele virtuale pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. au următoarele cerințe:
Cel puțin două gazde separate (3 recomandate) plasate în același centru de date securizat
VMware ESXi 6.5 (sau mai târziu) instalat și rulează.
Trebuie să faceți upgrade dacă aveți o versiune anterioară a ESXi.
Minim 4 vCPU-uri, 8-GB memorie principală, 30-GB spațiu pe hard disk local pe server
Cerințe server bază de date
Creați o nouă bază de date pentru stocarea cheilor. Nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date. |
Există două opțiuni pentru serverul de baze de date. Cerințele pentru fiecare sunt după cum urmează:
PostgreSQL | Server Microsoft SQL | ||
---|---|---|---|
|
| ||
Minim 8 vCPU-uri, 16-GB de memorie principală, suficient spațiu pe hard disk și monitorizare pentru a se asigura că nu este depășit (2-TB recomandat dacă doriți să rulați baza de date pentru o lungă perioadă de timp, fără a fi nevoie de a crește spațiul de stocare) | Minim 8 vCPU-uri, 16-GB de memorie principală, suficient spațiu pe hard disk și monitorizare pentru a se asigura că nu este depășit (2-TB recomandat dacă doriți să rulați baza de date pentru o lungă perioadă de timp, fără a fi nevoie de a crește spațiul de stocare) |
Software-ul HDS instalează în prezent următoarele versiuni de drivere pentru comunicarea cu serverul bazei de date:
PostgreSQL | Server Microsoft SQL |
---|---|
Șofer JDBC Postgres 42.2.5 | Driver JDBC SQL Server 4.6 Această versiune a driverului acceptă SQL Server întotdeauna activat (întotdeauna pe instanțe de cluster nereușite și întotdeauna pe grupuri de disponibilitate). |
Cerințe suplimentare pentru autentificarea Windows împotriva Microsoft SQL Server
Dacă doriți ca nodurile HDS să utilizeze autentificarea Windows pentru a obține acces la baza dvs. de date Keystore pe Microsoft SQL Server, atunci aveți nevoie de următoarea configurație în mediul dvs.:
Nodurile HDS, infrastructura Active Directory și serverul MS SQL trebuie sincronizate cu NTP.
Contul Windows pe care îl furnizați nodurilor HDS trebuie să aibă acces citit/scris la baza de date.
Serverele DNS pe care le furnizați nodurilor HDS trebuie să poată rezolva Centrul dvs. de distribuție a cheilor (KDC).
Puteți înregistra instanța bazei de date HDS pe serverul dvs. Microsoft SQL ca nume principal al serviciului (SPN) în directorul dvs. activ. Consultați Înregistrarea unui nume principal de serviciu pentru conexiunile Kerberos.
Instrumentul de configurare HDS, lansatorul HDS și KMS local trebuie să utilizeze autentificarea Windows pentru a accesa baza de date Keystore. Ei folosesc detaliile din configurația ISO pentru a construi SPN atunci când solicită acces cu autentificarea Kerberos.
Cerințe de conectivitate externă
Configurați firewall-ul pentru a permite următoarea conectivitate pentru aplicațiile HDS:
Aplicație | Protocol | Port | Direcție din aplicație | Destinație |
---|---|---|---|---|
Noduri de securitate a datelor hibride | TCP | 443 | HTTPS de ieșire și WSS |
|
Instrument de configurare HDS | TCP | 443 | HTTPS de ieșire |
|
Nodurile de securitate a datelor hibride funcționează cu traducerea accesului la rețea (NAT) sau în spatele unui firewall, atâta timp cât NAT sau firewall permite conexiunile de ieșire necesare la destinațiile de domeniu din tabelul precedent. Pentru conexiunile care intră în nodurile de securitate a datelor hibride, niciun port nu trebuie să fie vizibil de pe internet. În cadrul centrului dvs. de date, clienții au nevoie de acces la nodurile de securitate a datelor hibride din porturile TCP 443 și 22, în scopuri administrative. |
URL-urile gazdelor pentru identitatea comună (CI) sunt specifice regiunii. Acestea sunt gazdele actuale CI:
Regiune | URL-uri comune ale gazdei pentru identitate |
---|---|
Țările din America |
|
Uniunea Europeană |
|
Canada |
|
Cerințe server proxy
Sprijinim oficial următoarele soluții proxy care se pot integra cu nodurile dvs. de securitate a datelor hibride.
Proxy transparent – Dispozitiv de securitate web Cisco (WSA).
Proxy explicit – Squid.
Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea websocket (wss:) conexiuni. Pentru a lucra la această problemă, consultați Configurarea proxy-urilor Squid pentru securitatea datelor hibride.
Acceptăm următoarele combinații de tip autentificare pentru proxy-uri explicite:
Nicio autentificare cu HTTP sau HTTPS
Autentificare de bază cu HTTP sau HTTPS
Autentificare Digest numai cu HTTPS
Pentru un proxy de inspecție transparent sau un proxy explicit HTTPS, trebuie să aveți o copie a certificatului rădăcină al proxy-ului. Instrucțiunile de implementare din acest ghid vă spun cum să încărcați copia în magazinele de încredere ale nodurilor de securitate a datelor hibride.
Rețeaua care găzduiește nodurile HDS trebuie să fie configurată pentru a forța traficul TCP de ieșire în portul 443 să se deplaseze prin proxy.
Proxy-urile care inspectează traficul web pot interfera cu conexiunile socket-urilor web. Dacă apare această problemă, ocolirea (nu inspectarea) traficului la
wbx2.com
șiciscospark.com
va rezolva problema.
Completați cerințele preliminare pentru securitatea datelor hibride
1 | Asigurați-vă că organizația dvs. Webex este activată pentru pachetul Pro pentru Cisco Webex Control Hub și obțineți acreditările unui cont cu drepturi depline de administrator al organizației. Contactați-vă partenerul Cisco sau managerul de cont pentru ajutor în acest proces. | ||
2 | Alegeți un nume de domeniu pentru implementarea HDS (de exemplu, | ||
3 | Pregătiți gazdele virtuale identice pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. Aveți nevoie de cel puțin două gazde separate (3 recomandate) plasate în același centru de date securizat, care îndeplinesc cerințele din Cerințele Gazdei Virtuale. | ||
4 | Pregătiți serverul bazei de date care va acționa ca un magazin de date cheie pentru cluster, în conformitate cu cerințele serverului bazei de date. Serverul bazei de date trebuie să fie plasat în centrul de date securizat cu gazdele virtuale. | ||
5 | Pentru recuperarea rapidă a dezastrelor, configurați un mediu de rezervă într-un alt centru de date. Mediul de rezervă reflectă mediul de producție al VMs și un server de baze de date de rezervă. De exemplu, dacă producția are 3 VMs care rulează noduri HDS, mediul de rezervă ar trebui să aibă 3 VMs. | ||
6 | Configurați o gazdă syslog pentru a colecta jurnale de la nodurile din cluster. Aduna adresa de rețea și portul syslog (implicit este UDP 514). | ||
7 | Creați o politică de rezervă securizată pentru nodurile de securitate a datelor hibride, serverul bazei de date și gazda syslog. Cel puțin, pentru a preveni pierderea de date nerecuperabile, trebuie să salvați baza de date și fișierul ISO de configurare generat pentru nodurile de securitate a datelor hibride.
Clienții Aplicației Webex își ascund cheile, astfel încât este posibil ca o întrerupere să nu fie vizibilă imediat, dar va deveni evidentă în timp. În timp ce ieșirile temporare sunt imposibil de prevenit, acestea sunt recuperabile. Cu toate acestea, pierderea completă (fără backup-uri disponibile) a bazei de date sau a fișierului ISO de configurare va duce la date client nerecuperabile. Operatorii nodurilor de securitate a datelor hibride se așteaptă să mențină backup-uri frecvente ale bazei de date și ale fișierului ISO de configurare și să fie pregătiți să reconstruiască centrul de date de securitate a datelor hibride în cazul în care apare un eșec catastrofal. | ||
8 | Asigurați-vă că configurația firewall-ului dvs. permite conectivitatea pentru nodurile dvs. de securitate a datelor hibride, astfel cum sunt prezentate în cerințele de conectivitate externă. | ||
9 | Instalați Docker ( https://www.docker.com) pe orice mașină locală care rulează un sistem de operare acceptat (Microsoft Windows 10 Professional sau Enterprise pe 64 de biți sau Mac OSX Yosemite 10.10.3 sau mai sus) cu un browser web care îl poate accesa la http://127.0.0.1:8080. Utilizați instanța Docker pentru a descărca și rula Instrumentul de configurare HDS, care construiește informațiile de configurare locale pentru toate nodurile de securitate a datelor hibride. Este posibil ca organizația dvs. să aibă nevoie de o licență Docker Desktop. Consultați Cerințele Docker Desktop pentru mai multe informații. Pentru a instala și rula Instrumentul de configurare HDS, utilajul local trebuie să aibă conectivitatea descrisă în Cerințele de conectivitate externă. | ||
10 | Dacă integrați un proxy cu securitatea datelor hibride, asigurați-vă că îndeplinește Cerințele serverului proxy. | ||
11 | Dacă organizația dvs. utilizează sincronizarea directorului, creați un grup în Active Directory numit
|
Flux sarcină de implementare a securității datelor hibride
Înainte de a începe
1 | Descărcați fișierele de instalare Descărcați fișierul OVA la utilajul local pentru utilizare ulterioară. | ||
2 | Creați un ISO de configurare pentru gazdele HDS Utilizați instrumentul de configurare HDS pentru a crea un fișier de configurare ISO pentru nodurile de securitate a datelor hibride. | ||
3 |
Creați o mașină virtuală din fișierul OVA și efectuați configurația inițială, cum ar fi setările de rețea.
| ||
4 | Configurați VM-ul de securitate a datelor hibride Conectați-vă la consola VM și setați acreditările de conectare. Configurați setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA. | ||
5 | Încărcați și montați ISO de configurare HDS Configurați VM din fișierul de configurare ISO pe care l-ați creat cu instrumentul de configurare HDS. | ||
6 | Configurați nodul HDS pentru integrarea proxy Dacă mediul de rețea necesită configurare proxy, specificați tipul de proxy pe care îl veți utiliza pentru nod și adăugați certificatul proxy la magazinul de încredere, dacă este necesar. | ||
7 | Înregistrați primul nod în cluster Înregistrați VM cu cloudul Cisco Webex ca nod de securitate a datelor hibrid. | ||
8 | Creați și înregistrați mai multe noduri Finalizați configurarea clusterului. | ||
9 | Efectuați un proces și mutați-vă la producție (capitolul următor) Până când începeți o încercare, nodurile dvs. generează o alarmă care indică faptul că serviciul dvs. nu este încă activat. |
Descărcați fișierele de instalare
1 | Conectați-vă la https://admin.webex.comși apoi faceți clic pe Servicii. | ||||
2 | În secțiunea Servicii hibride, găsiți cardul de securitate a datelor hibride, apoi faceți clic pe Configurare. Dacă cardul este dezactivat sau nu îl vedeți, contactați echipa de cont sau organizația parteneră. Dați-le numărul contului dvs. și solicitați să activați organizația dvs. pentru securitatea datelor hibride. Pentru a găsi numărul contului, faceți clic pe dispozitivul din dreapta sus, lângă numele organizației dvs.
| ||||
3 | Selectați Nu pentru a indica faptul că nu ați configurat încă nodul, apoi faceți clic pe Înainte. Fișierul OVA începe automat să se descarce. Salvați fișierul într-o locație de pe utilajul dvs.
| ||||
4 | Opțional, faceți clic pe Deschidere Ghid de implementare pentru a verifica dacă există o versiune ulterioară a acestui ghid disponibil. |
Creați un ISO de configurare pentru gazdele HDS
Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi utilizați ISO pentru a configura gazda dvs. de securitate a datelor hibride.
Înainte de a începe
Instrumentul de configurare HDS rulează ca container Docker pe un computer local. Pentru a-l accesa, rulați Docker pe acel computer. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi complete de administrator pentru organizația dvs.
Dacă instrumentul de configurare HDS rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin variabilele de mediu Docker atunci când ridicați containerul Docker în pasul 5. Acest tabel oferă câteva variabile de mediu posibile:
Descriere
Variabilă
Proxy HTTP fără autentificare
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS fără autentificare
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP cu autentificare
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS cu autentificare
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Fișierul de configurare ISO pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier oricând efectuați modificări de configurare, cum ar fi acestea:
Informații bază de date
Actualizări certificat
Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile la baza de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.
1 | În linia de comandă a computerului dvs., introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite:
În mediile FedRAMP:
| ||||||||||||
2 | Pentru a vă conecta la registry de imagini Docker, introduceți următoarele:
| ||||||||||||
3 | La solicitarea parolei, introduceți acest hash:
| ||||||||||||
4 | Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite:
În mediile FedRAMP:
| ||||||||||||
5 | Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.:
Când containerul rulează, veți vedea „Serverul Express ascultând pe portul 8080”. | ||||||||||||
6 |
Utilizați un browser web pentru a merge la gazda locală, Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul adecvat pentru acel cont. Instrumentul afișează apoi apelul standard de conectare. | ||||||||||||
7 | Când vi se solicită, introduceți acreditările de conectare ale administratorului clientului Control Hub, apoi faceți clic pe Conectare pentru a permite accesul la serviciile necesare pentru securitatea datelor hibride. | ||||||||||||
8 | Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Get Started. | ||||||||||||
9 | Pe pagina ISO Import aveți aceste opțiuni:
| ||||||||||||
10 | Verificați dacă certificatul dvs. X.509 îndeplinește cerințele din Cerințele de certificare X.509.
| ||||||||||||
11 | Introduceți adresa bazei de date și contul HDS pentru a accesa baza de date cu tastatură: | ||||||||||||
12 | Selectați un mod de conectare la baza de date TLS:
Când încărcați certificatul rădăcină (dacă este necesar) și faceți clic pe Continuare, instrumentul de configurare HDS testează conexiunea TLS la serverul bazei de date. Instrumentul verifică, de asemenea, semnatarul certificatului și numele gazdei, dacă este cazul. Dacă un test eșuează, instrumentul afișează un mesaj de eroare care descrie problema. Puteți alege să ignorați eroarea și să continuați configurarea. (Din cauza diferențelor de conectivitate, nodurile HDS ar putea fi capabile să stabilească conexiunea TLS, chiar dacă utilajul Instrumentului de configurare HDS nu o poate testa cu succes.) | ||||||||||||
13 | Pe pagina Jurnale de sistem, configurați serverul Syslogd: | ||||||||||||
14 | (Opțional) Puteți modifica valoarea implicită a unor parametri de conexiune la baza de date în Setări avansate. În general, acest parametru este singurul pe care s-ar putea dori să-l modificați:
| ||||||||||||
15 | Faceți clic pe Continuare pe ecranul Resetare Conturi serviciu Parolă . Parolele contului de serviciu au o durată de viață de nouă luni. Utilizați acest ecran atunci când parolele dvs. se apropie de expirare sau doriți să le resetați pentru a dezactiva fișierele ISO anterioare. | ||||||||||||
16 | Faceți clic pe Descărcați fișierul ISO. Salvați fișierul într-o locație ușor de găsit. | ||||||||||||
17 | Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare. | ||||||||||||
18 | Pentru a închide instrumentul de configurare, tastați |
Ce este de făcut în continuare
Backup fișierul ISO de configurare. Aveți nevoie de ea pentru a crea mai multe noduri pentru recuperare, sau pentru a face modificări de configurare. Dacă pierdeți toate copiile fișierului ISO, ați pierdut, de asemenea, cheia principală. Recuperarea tastelor din baza de date PostgreSQL sau Microsoft SQL Server nu este posibilă.
Nu avem niciodată o copie a acestei chei și nu poate ajuta dacă îl pierzi. |
Instalați gazda HDS OVA
1 | Utilizați clientul VMware vSphere de pe computer pentru a vă conecta la gazda virtuală ESXi. | ||||||
2 | Selectați Fișier > Implementați șablonul OVF. | ||||||
3 | În expert, specificați locația fișierului OVA pe care l-ați descărcat mai devreme, apoi faceți clic pe În continuare. | ||||||
4 | Pe Selectați un nume și un folder pagină , introduceți o Nume mașină virtuală pentru nod (de exemplu, „HDS_Node_1”), alegeți o locație în care se poate afla implementarea nodului mașinii virtuale, apoi faceți clic pe În continuare. | ||||||
5 | Pe Selectați o resursă de calcul pagină , alegeți resursa de calcul destinație, apoi faceți clic pe În continuare. O verificare de validare se execută. După ce se termină, apar detaliile șablonului. | ||||||
6 | Verificați detaliile șablonului și apoi faceți clic pe Înainte. | ||||||
7 | Dacă vi se solicită să alegeți configurația de resurse de pe Configurare pagină , faceți clic pe 4 CPU apoi faceți clic pe În continuare. | ||||||
8 | Pe Selectați spațiul de stocare pagină , faceți clic pe În continuare pentru a accepta formatul implicit al discului și politica de stocare VM. | ||||||
9 | Pe Selectați rețelele pagină, alege opțiunea de rețea din lista de intrări pentru a oferi conexiunea dorită la VM. | ||||||
10 | Pe pagina Personalizați șablonul , configurați următoarele setări ale rețelei:
Dacă preferați, puteți sări peste configurația de setare a rețelei și puteți urma pașii din Configurați VM-ul de securitate a datelor hibride pentru a configura setările din consola nodului.
| ||||||
11 | Faceți clic dreapta pe nodul VM, apoi alegeți .Software-ul de securitate a datelor hibride este instalat ca invitat pe Gazda VM. Acum sunteți gata să vă conectați la consolă și să configurați nodul. Sfaturi pentru depanare Este posibil să aveți o întârziere de câteva minute înainte de apariția containerelor de nod. Un mesaj de firewall de legătură apare pe consolă în timpul primei boot-ări, în timpul căreia nu vă puteți conecta. |
Configurați VM-ul de securitate a datelor hibride
Utilizați această procedură pentru a vă conecta pentru prima dată la consola VM a nodului de securitate a datelor hibride și pentru a seta acreditările de conectare. De asemenea, puteți utiliza consola pentru a configura setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.
1 | În clientul VMware vSphere, selectați nodul de securitate a datelor hibride VM și selectați fila Console . VM pornește în sus și apare un prompt de conectare. Dacă mesajul de conectare nu se afișează, apăsați Enter.
|
2 | Utilizați următoarea conectare implicită și parola pentru a vă conecta și a modifica datele de autentificare: Deoarece vă conectați pentru prima dată la VM, trebuie să schimbați parola de administrator. |
3 | Dacă ați configurat deja setările de rețea în Instalați gazda HDS OVA, omiteți restul acestei proceduri. În caz contrar, în meniul principal, selectați opțiunea Editare configurație . |
4 | Configurați o configurație statică cu adresă IP, Mască, Gateway și informații DNS. Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat. |
5 | (Opțional) Modificați numele gazdei, domeniul sau serverul (serverele) NTP, dacă este necesar pentru a se potrivi cu politica de rețea. Nu este necesar să setați domeniul pentru a se potrivi domeniului pe care l-ați utilizat pentru a obține certificatul X.509. |
6 | Salvați configurația de rețea și reporniți VM, astfel încât modificările să aibă efect. |
Încărcați și montați ISO de configurare HDS
Înainte de a începe
Deoarece fișierul ISO deține cheia principală, acesta ar trebui să fie expus numai pe o bază „trebuie să știe”, pentru a fi accesat de către VM-urile de securitate a datelor hibride și de orice administratori care ar putea avea nevoie să facă modificări. Asigurați-vă că numai acei administratori pot accesa stația de date.
1 | Încărcați fișierul ISO de pe computer: |
2 | Montați fișierul ISO: |
Ce este de făcut în continuare
Dacă politica dvs. IT necesită, puteți dezinstala opțional fișierul ISO după ce toate nodurile dvs. preiau modificările de configurare. Consultați (Opțional) Dezasamblarea ISO după configurarea HDS pentru detalii.
Configurați nodul HDS pentru integrarea proxy
Dacă mediul de rețea necesită un proxy, utilizați această procedură pentru a specifica tipul de proxy pe care doriți să îl integrați cu securitatea datelor hibride. Dacă alegeți un proxy de inspecție transparent sau un proxy explicit HTTPS, puteți utiliza interfața nodului pentru a încărca și instala certificatul rădăcină. De asemenea, puteți verifica conexiunea proxy din interfață și puteți rezolva orice probleme potențiale.
Înainte de a începe
Consultați Asistența proxy pentru o prezentare generală a opțiunilor proxy acceptate.
1 | Introduceți URL-ul de configurare a nodului HDS |
2 | Accesați Trust Store & Proxy, apoi alegeți o opțiune:
Urmați pașii următori pentru un proxy de inspecție transparent, un proxy explicit HTTP cu autentificare de bază sau un proxy explicit HTTPS. |
3 | Faceți clic pe Încărcați un certificat rădăcină sau un certificat de entitate finalizată, apoi navigați la o alegere a certificatului rădăcină pentru proxy. Certificatul este încărcat, dar nu este încă instalat, deoarece trebuie să reporniți nodul pentru a instala certificatul. Faceți clic pe săgeata chevron după numele emitentului certificatului pentru a obține mai multe detalii sau faceți clic pe Ștergere dacă ați făcut o greșeală și doriți să reîncărcați fișierul. |
4 | Faceți clic pe Verificare conexiune proxy pentru a testa conectivitatea la rețea între nod și proxy. Dacă testul conexiunii eșuează, veți vedea un mesaj de eroare care arată motivul și modul în care puteți corecta problema. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a reușit, nodul nu a putut ajunge la serverul DNS. Această condiție este de așteptat în multe configurații proxy explicite. Puteți continua cu configurarea, iar nodul va funcționa în modul de Rezoluție DNS Externă Blocată. Dacă credeți că aceasta este o eroare, completați acești pași și apoi consultați Dezactivarea modului de rezoluție DNS extern blocat. |
5 | După ce testul conexiunii trece, pentru proxy explicit setat numai la https, activați comutatorul pentru a Ruta toate solicitările de port 443/444 https din acest nod prin proxy explicit. Această setare necesită 15 secunde pentru a intra în vigoare. |
6 | Faceți clic pe Instalare toate certificatele în magazinul de încredere (apare pentru un proxy explicit HTTPS sau un proxy de inspecție transparent) sau Reporniți (apare pentru un proxy explicit HTTP), citiți mesajul și apoi faceți clic pe Instalare dacă sunteți pregătit. Nodul repornește în câteva minute. |
7 | După repornirea nodului, conectați-vă din nou dacă este necesar, apoi deschideți pagina Prezentare generală pentru a verifica verificările de conectivitate pentru a vă asigura că toate sunt în stare verde. Verificarea conexiunii proxy testează numai un subdomeniu al webex.com. Dacă există probleme de conectivitate, o problemă comună este că unele dintre domeniile cloud enumerate în instrucțiunile de instalare sunt blocate la proxy. |
Înregistrați primul nod în cluster
Când vă înregistrați primul nod, creați un cluster căruia i se atribuie nodul. Un cluster conține unul sau mai multe noduri implementate pentru a oferi redundanță.
Înainte de a începe
Odată ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți.
Asigurați-vă că orice blocare pop-up din browser-ul dvs. este dezactivată sau că permiteți o excepție pentru admin.webex.com.
1 | Conectați-vă la https://admin.webex.com. |
2 | Din meniul din partea stângă a ecranului, selectați Servicii. |
3 | În secțiunea Servicii hibride, găsiți Securitatea datelor hibride și faceți clic pe Configurare. Apare pagina Nod de securitate a datelor hibride de înregistrare.
|
4 | Selectați Da pentru a indica faptul că ați configurat nodul și sunteți gata să îl înregistrați, apoi faceți clic pe Înainte. |
5 | În primul câmp, introduceți un nume pentru clusterul la care doriți să alocați nodul dvs. de securitate a datelor hibride. Vă recomandăm să denumiți un cluster bazat pe locul în care nodurile clusterului sunt localizate geografic. Exemple: "San Francisco" sau "New York" sau "Dallas" |
6 | În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Înainte. Această adresă IP sau FQDN trebuie să corespundă adresei IP sau numelui gazdei și domeniului pe care l-ați utilizat în Configurarea VM-ului de securitate a datelor hibride. Apare un mesaj care indică faptul că vă puteți înregistra nodul la Webex.
|
7 | Faceți clic pe Du-te la Nod. |
8 | Faceți clic pe Continuare în mesajul de avertizare. După câteva momente, sunteți redirecționat către testele de conectivitate la noduri pentru serviciile Webex. Dacă toate testele au succes, apare pagina Permiteți accesul la nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați permisiuni organizației dvs. Webex pentru a accesa nodul dvs.
|
9 | Bifați caseta de selectare Permite accesul la nodul dvs. de securitate a datelor hibride , apoi faceți clic pe Continuare. Contul dvs. este validat, iar mesajul „Înscriere completă” indică faptul că nodul dvs. este acum înregistrat în cloudul Webex.
|
10 | Faceți clic pe link-ul sau închideți fila pentru a reveni la pagina de securitate a datelor hibride Control Hub. Pe pagina Securitate datelor hibride, este afișat noul cluster care conține nodul pe care l-ați înregistrat. Nodul va descărca automat cel mai recent software din cloud.
|
Creați și înregistrați mai multe noduri
În acest moment, VMs de rezervă pe care le-ați creat în Completați Condițiile prealabile pentru securitatea datelor hibride sunt gazde standby care sunt utilizate numai în caz de recuperare a dezastrelor; acestea nu sunt înregistrate la sistem până atunci. Pentru detalii, consultați Recuperarea dezastrelor utilizând Centrul de date standby. |
Înainte de a începe
Odată ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți.
Asigurați-vă că orice blocare pop-up din browser-ul dvs. este dezactivată sau că permiteți o excepție pentru admin.webex.com.
1 | Creați o nouă mașină virtuală din OVA, repetând pașii din Instalați gazda HDS OVA. |
2 | Configurați configurația inițială pe noul VM, repetând pașii din Configurați VM-ul de securitate a datelor hibride. |
3 | Pe noul VM, repetați pașii din Încărcați și montați ISO de configurare HDS. |
4 | Dacă configurați un proxy pentru implementarea dvs., repetați pașii din Configurați nodul HDS pentru Integrare proxy după cum este necesar pentru noul nod. |
5 | Înregistrați nodul. Nodul dvs. este înregistrat. Rețineți că până când începeți o încercare, nodurile dvs. generează o alarmă care indică faptul că serviciul dvs. nu este încă activat.
|
Ce este de făcut în continuare
Încercare la fluxul sarcinilor de producție
După ce ați configurat un cluster de securitate a datelor hibride, puteți iniția un pilot, puteți adăuga utilizatori la acesta și puteți începe să îl utilizați pentru testarea și verificarea implementării dvs. în vederea trecerii la producție.
Înainte de a începe
1 | Dacă este cazul, sincronizați Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați |
2 |
Începeți o încercare. Până când nu efectuați această sarcină, nodurile dvs. generează o alarmă care indică faptul că serviciul nu este încă activat. |
3 | Testați implementarea securității datelor hibride Verificați dacă solicitările cheie trec la implementarea securității datelor hibride. |
4 | Monitorizarea sănătății securității datelor hibride Verificați starea și configurați notificările prin e-mail pentru alarme. |
5 | |
6 | Finalizați faza de probă cu una dintre următoarele acțiuni: |
Activați procesul
Înainte de a începe
Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați HdsTrialGroup
obiectul de grup pentru sincronizare în cloud înainte de a putea iniția o încercare pentru organizația dvs. Pentru instrucțiuni, consultați Ghidul de implementare pentru Cisco Directory Connector.
1 | Conectați-vă la https://admin.webex.comși apoi selectați Servicii. |
2 | Sub Securitatea datelor hibride, faceți clic pe Setări. |
3 | În secțiunea Stare serviciu, faceți clic pe Inițiere încercare. Starea serviciului se modifică în modul de încercare.
|
4 | Faceți clic pe Adăugare utilizatori și introduceți adresa de e-mail a unuia sau mai multor utilizatori pentru a pilot utilizând nodurile dvs. de securitate a datelor hibride pentru serviciile de criptare și indexare. (Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory pentru a gestiona grupul de încercare, |
Testați implementarea securității datelor hibride
Înainte de a începe
Configurați implementarea securității datelor hibride.
Activați procesul și adăugați mai mulți utilizatori de proces.
Asigurați-vă că aveți acces la syslog pentru a verifica dacă solicitările cheie trec la implementarea securității datelor hibride.
1 | Tastele pentru un anumit spațiu sunt stabilite de creatorul spațiului. Conectați-vă la Aplicația Webex ca unul dintre utilizatorii pilot, apoi creați un spațiu și invitați cel puțin un utilizator pilot și un utilizator non-pilot.
| ||
2 | Trimiteți mesaje către noul spațiu. | ||
3 | Verificați ieșirea syslog pentru a verifica dacă solicitările cheie trec la implementarea securității datelor hibride. |
Monitorizarea sănătății securității datelor hibride
1 | În Control Hub, selectați Servicii din meniul din partea stângă a ecranului. |
2 | În secțiunea Servicii hibride, găsiți Securitatea datelor hibride și faceți clic pe Setări. Apare pagina Setări securitate date hibride.
|
3 | În secțiunea Notificări prin e-mail, tastați una sau mai multe adrese de e-mail separate prin virgule și apăsați Enter. |
Adăugați sau eliminați utilizatori din procesul dvs.
Dacă eliminați un utilizator din trial, clientul utilizatorului va solicita chei și crearea de taste din KMS cloud în loc de KMS dvs. Dacă clientul are nevoie de o cheie stocată pe KMS-ul dvs., KMS-ul cloud o va prelua în numele utilizatorului.
Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory (în loc de această procedură) pentru a gestiona grupul de încercare, HdsTrialGroup
; puteți vizualiza membrii grupului din Control Hub, dar nu îi puteți adăuga sau elimina.
1 | Conectați-vă la Control Hub, apoi selectați Servicii. |
2 | Sub Securitatea datelor hibride, faceți clic pe Setări. |
3 | În secțiunea Modul de încercare din zona de stare a serviciului, faceți clic pe Adăugare utilizatori sau faceți clic pe vizualizare și editare pentru a elimina utilizatorii din trial. |
4 | Introduceți adresa de e-mail a unuia sau mai multor utilizatori pentru a adăuga sau faceți clic pe X de către un ID de utilizator pentru a elimina utilizatorul din încercare. Apoi faceți clic Salvați . |
Mutați de la încercare la producție
1 | Conectați-vă la Control Hub, apoi selectați Servicii. |
2 | Sub Securitatea datelor hibride, faceți clic pe Setări. |
3 | În secțiunea Stare serviciu, faceți clic pe Mutare în producție. |
4 | Confirmați că doriți să mutați toți utilizatorii la producție. |
Încheiați procesul fără a trece la producție
1 | Conectați-vă la Control Hub, apoi selectați Servicii. |
2 | Sub Securitatea datelor hibride, faceți clic pe Setări. |
3 | În secțiunea Dezactivare, faceți clic pe Dezactivare. |
4 | Confirmați că doriți să dezactivați serviciul și să finalizați procesul. |
Gestionați implementarea HDS
Utilizați sarcinile descrise aici pentru a gestiona implementarea securității datelor hibride.
Setați programul de upgrade al clusterului
Pentru a seta programul de upgrade:
1 | Conectați-vă la Control Hub . |
2 | Pe pagina Prezentare generală, în secțiunea Servicii hibride, selectați Securitatea datelor hibride. |
3 | Pe pagina Resurse de securitate a datelor hibride, selectați clusterul. |
4 | În panoul Prezentare generală din dreapta, în secțiunea Setări cluster, selectați numele clusterului. |
5 | Pe pagina Setări, în secțiunea Upgrade, selectați ora și fusul orar pentru programul de upgrade. Notă: În cadrul fusului orar, se afișează următoarea dată și oră de upgrade disponibile. Puteți amâna upgrade-ul până în ziua următoare, dacă este necesar, făcând clic pe Amânare. |
Modificarea configurației nodului
Modificarea certificatelor x.509 din cauza expirării sau din alte motive.
Nu acceptăm schimbarea nume domeniu CN al unui certificat. Domeniul trebuie să corespundă domeniului inițial utilizat pentru înregistrarea clusterului.
Actualizarea setărilor bazei de date pentru a trece la o replică a bazei de date PostgreSQL sau Microsoft SQL Server.
Nu acceptăm migrarea datelor de la PostgreSQL la Microsoft SQL Server sau invers. Pentru a comuta mediul bazei de date, începeți o nouă implementare a Hybrid Data Security.
Crearea unei noi configurații pentru pregătirea unui nou centru de date.
De asemenea, din motive de securitate, Hybrid Data Security utilizează parole ale cont al serviciului care au o durată de viață de nouă luni. După ce instrumentul de configurare HDS generează aceste parole, le implementați în fiecare dintre nodurile HDS din fișierul de configurare ISO . Când parolele organizației dvs. se apropie de expirare, primiți o notificare de la echipa Webex prin care vă rugăm să resetați parola pentru contul computerului dvs. (E-mailul include textul „Utilizați API -ul contului de computer pentru a actualiza parola.”) Dacă parolele nu au expirat încă, instrumentul vă oferă două opțiuni:
Resetare soft —Parolele vechi și noi sunt valabile până la 10 zile. Utilizați această perioadă pentru a înlocui treptat fișierul ISO pe noduri.
Resetare hardware — Parolele vechi nu mai funcționează imediat.
Dacă parolele expiră fără resetare, acest lucru afectează serviciul HDS, necesitând o resetare hardware imediată și înlocuirea fișierului ISO pe toate nodurile.
Utilizați această procedură pentru a genera un nou fișier ISO de configurare și a-l aplica clusterului dvs.
Înainte de a începe
Instrumentul de configurare HDS rulează ca container Docker pe un computer local. Pentru a-l accesa, rulați Docker pe acel computer. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi complete de administrator pentru organizația dvs.
Dacă instrumentul de configurare HDS rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin variabilele de mediu Docker atunci când ridicați containerul Docker în 1.e. Acest tabel oferă câteva variabile de mediu posibile:
Descriere
Variabilă
Proxy HTTP fără autentificare
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS fără autentificare
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP cu autentificare
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS cu autentificare
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Aveți nevoie de o copie a fișierului ISO de configurare curentă pentru a genera o nouă configurație. ISO conține cheia principală de criptare a bazei de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de ISO când efectuați modificări de configurare, inclusiv date de autentificare în baza de date, actualizări de certificate sau modificări ale politicii de autorizare.
1 | Utilizând Docker pe un computer local, rulați Instrumentul de configurare HDS. |
2 | Dacă aveți un singur nod HDS care rulează , creați un nou VM nod Hybrid Data Security și înregistrați-l utilizând noul fișier ISO de configurare. Pentru instrucțiuni mai detaliate, consultați Creați și înregistrați mai multe noduri. |
3 | Pentru nodurile HDS existente care rulează fișierul de fișier de configurare mai vechi , montați fișierul ISO . Efectuați următoarea procedură pe fiecare nod pe rând, actualizând fiecare nod înainte de a opri următorul nod: |
4 | Repetați pasul 3 pentru a înlocui configurația pe fiecare nod rămas care rulează configurația veche. |
Dezactivați Modul De Rezoluție DNS Externă Blocat
Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează aspectul DNS și conectivitatea la cloudul Cisco Webex. Dacă serverul DNS al nodului nu poate rezolva numele DNS publice, nodul intră automat în modul de Rezoluție DNS Externă Blocată.
Dacă nodurile dvs. sunt capabile să rezolve numele DNS publice prin intermediul serverelor DNS interne, puteți dezactiva acest mod prin reactivarea testului de conexiune proxy pe fiecare nod.
Înainte de a începe
1 | Într-un browser web, deschideți interfața nodului de securitate a datelor hibride (adresă IP/configurare, de exemplu, https://192.0.2.0/setup), introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare. |
2 | Accesați Prezentare generală (pagina implicită). Când este activat, Rezoluție DNS externă blocată este setat la Da . |
3 | Accesați pagina Trust Store & Proxy . |
4 | Faceți clic pe Verificare conexiune proxy. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a avut succes, nodul nu a putut ajunge la serverul DNS și va rămâne în acest mod. În caz contrar, după ce reporniți nodul și reveniți la pagina Prezentare generală , Rezoluția DNS externă blocată trebuie setată la nr. |
Ce este de făcut în continuare
Eliminați un nod
1 | Utilizați clientul VMware vSphere de pe computer pentru a vă conecta la gazda virtuală ESXi și pentru a dezactiva mașina virtuală. |
2 | Eliminați nodul: |
3 | În clientul vSphere, ștergeți VM. (În panoul de navigare din stânga, faceți clic dreapta pe VM și faceți clic pe Ștergere.) Dacă nu ștergeți VM, nu uitați să dezasamblați fișierul de configurare ISO. Fără fișierul ISO, nu puteți utiliza VM pentru a accesa datele de securitate. |
Recuperare dezastre utilizând Centrul de date standby
Cel mai important serviciu pe care îl oferă clusterul de securitate a datelor hibride este crearea și stocarea de taste utilizate pentru criptarea mesajelor și a altor conținuturi stocate în cloudul Webex. Pentru fiecare utilizator din cadrul organizației care este atribuit securității datelor hibride, noile solicitări de creare a cheii sunt direcționate către cluster. Clusterul este, de asemenea, responsabil pentru returnarea cheilor pe care le-a creat oricărui utilizator autorizat să le recupereze, de exemplu, membrii unui spațiu de conversație.
Deoarece clusterul îndeplinește funcția critică de furnizare a acestor chei, este imperativ ca clusterul să rămână în funcțiune și să fie menținute backup-uri corespunzătoare. Pierderea bazei de date Hybrid Data Security sau a configurației ISO utilizate pentru schemă va duce la PIERDEREA INRECUPERABILĂ a conținutului clientului. Următoarele practici sunt obligatorii pentru a preveni o astfel de pierdere:
Dacă un dezastru face ca implementarea HDS în centrul de date principal să devină indisponibilă, urmați această procedură pentru a eșua manual la centrul de date standby.
1 | Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS. | ||
2 | După configurarea serverului Syslogd, faceți clic pe Setări avansate | ||
3 | Pe pagina Setări avansate, adăugați configurația de mai jos sau eliminați
| ||
4 | Completați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit. | ||
5 | Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare. | ||
6 | În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări.. | ||
7 | Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Fișier ISO Datastore.
| ||
8 | Activați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute. | ||
9 | Repetați procesul pentru fiecare nod din centrul de date standby.
|
Ce este de făcut în continuare
(Opțional) Dezasamblare ISO După configurarea HDS
Configurația standard HDS rulează cu ISO montat. Dar, unii clienți preferă să nu lase fișierele ISO montate în mod continuu. Puteți demonta fișierul ISO după ce toate nodurile HDS preiau noua configurație.
Utilizați în continuare fișierele ISO pentru a face modificări de configurare. Când creați un nou ISO sau actualizați un ISO prin Instrumentul de configurare, trebuie să montați ISO actualizat pe toate nodurile HDS. După ce toate nodurile dvs. au preluat modificările de configurare, puteți demonta din nou ISO cu această procedură.
Înainte de a începe
Actualizați toate nodurile HDS la versiunea 2021.01.22.4720 sau o versiune ulterioară.
1 | Închideți unul dintre nodurile HDS. |
2 | În dispozitivul server vCenter, selectați nodul HDS. |
3 | Alegeți ISO Datastore. și debifați fișierul |
4 | Alimentați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 20 de minute. |
5 | Repetați pentru fiecare nod HDS la rândul său. |
Vizualizare alerte și depanare
O implementare a securității datelor hibride este considerată indisponibilă dacă toate nodurile din cluster sunt inaccesibile sau clusterul funcționează atât de lent încât solicită timp de excludere. Dacă utilizatorii nu pot ajunge la clusterul dvs. de securitate a datelor hibride, aceștia experimentează următoarele simptome:
Nu se pot crea spații noi (nu se pot crea chei noi)
Mesajele și titlurile spațiului nu pot fi decriptate pentru:
Utilizatori noi adăugați într-un spațiu (nu se pot prelua tastele)
Utilizatorii existenți dintr-un spațiu care utilizează un client nou (nu pot prelua tastele)
Utilizatorii existenți într-un spațiu vor continua să ruleze cu succes atâta timp cât clienții lor au un cache al cheilor de criptare
Este important să monitorizați în mod corespunzător clusterul de securitate a datelor hibride și să adresați imediat orice alerte pentru a evita perturbarea serviciului.
Alerte
Dacă există o problemă cu configurarea securității datelor hibride, Control Hub afișează alerte administratorului organizației și trimite e-mailuri la adresa de e-mail configurată. Alertele acoperă multe scenarii comune.
Alertă | Acțiune |
---|---|
Eșecul accesului la baza de date locală. |
Verificați erorile bazei de date sau problemele de rețea locale. |
Eșecul conexiunii la baza de date locală. |
Verificați dacă serverul bazei de date este disponibil, iar acreditările contului de serviciu corespunzător au fost utilizate în configurația nodului. |
Eșecul accesului la servicii în cloud. |
Verificați dacă nodurile pot accesa serverele Webex astfel cum sunt specificate în cerințele de conectivitate externă. |
Reînnoirea înregistrării serviciului în cloud. |
S-a renunțat la înscrierea în serviciile cloud. Reînnoirea înregistrării este în curs. |
Înscrierea în serviciul Cloud a scăzut. |
Înscrierea la serviciile cloud s-a încheiat. Serviciul se închide. |
Serviciul nu este încă activat. |
Activați un proces sau finalizați mutarea procesului la producție. |
Domeniul configurat nu corespunde certificatului serverului. |
Asigurați-vă că certificatul serverului dvs. corespunde domeniului de activare a serviciului configurat. Cauza cea mai probabilă este că certificatul CN a fost modificat recent și este acum diferit de CN care a fost utilizat în timpul configurării inițiale. |
Nu s-a reușit autentificarea la serviciile cloud. |
Verificați acuratețea și posibila expirare a acreditărilor contului de serviciu. |
Nu s-a reușit deschiderea fișierului local de keystore. |
Verificați integritatea și precizia parolei în fișierul de keystore local. |
Certificatul serverului local este nevalid. |
Verificați data de expirare a certificatului serverului și confirmați că acesta a fost eliberat de o autoritate de certificare de încredere. |
Nu se pot posta măsurători. |
Verificați accesul la rețeaua locală la serviciile cloud externe. |
directorul /media/configdrive/hds nu există. |
Verificați configurația de montare ISO pe gazda virtuală. Verificați dacă fișierul ISO există, dacă este configurat să fie montat pe repornire și dacă se montează cu succes. |
Depanarea securității datelor hibride
1 | Revizuiți Control Hub pentru orice alerte și remediați orice elemente pe care le găsiți acolo. |
2 | Revizuiți ieșirea serverului syslog pentru activitatea din implementarea securității datelor hibride. |
3 | Contactați asistența Cisco. |
Probleme cunoscute pentru securitatea datelor hibride
Dacă închideți clusterul de securitate a datelor hibride (prin ștergerea acestuia în Control Hub sau prin închiderea tuturor nodurilor), pierdeți fișierul ISO de configurare sau pierdeți accesul la baza de date Keystore, utilizatorii aplicației Webex nu mai pot utiliza spații din lista lor de persoane care au fost create cu tastele din KMS. Acest lucru este valabil atât pentru operațiunile de încercare, cât și pentru operațiunile de producție. În prezent, nu avem un loc de muncă sau o soluție pentru această problemă și vă solicităm să nu închideți serviciile HDS odată ce acestea gestionează conturile de utilizator active.
Un client care are o conexiune ECDH existentă la un KMS menține acea conexiune pentru o perioadă de timp (probabil o oră). Atunci când un utilizator devine membru al unui proces de securitate a datelor hibride, clientul utilizatorului continuă să utilizeze conexiunea ECDH existentă până la expirarea acesteia. Alternativ, utilizatorul se poate deconecta și reconecta la aplicația Aplicației Webex pentru a actualiza locația pe care aplicația o contactează pentru cheile de criptare.
Același comportament apare atunci când mutați un proces la producție pentru organizație. Toți utilizatorii non-trial cu conexiuni ECDH existente la serviciile anterioare de securitate a datelor vor continua să utilizeze aceste servicii până când conexiunea ECDH este renegociată (prin expirare sau prin deconectare și reconectare).
Utilizați OpenSSL pentru a genera un fișier PKCS12
Înainte de a începe
OpenSSL este un instrument care poate fi folosit pentru a face fișierul PKCS12 în formatul adecvat pentru încărcare în instrumentul de configurare HDS. Există alte modalități de a face acest lucru, și nu sprijinim sau promovăm un mod peste altul.
Dacă alegeți să utilizați OpenSSL, oferim această procedură ca ghid pentru a vă ajuta să creați un fișier care îndeplinește cerințele certificatului X.509 din X.509 Cerințe de certificat. Înțelegeți aceste cerințe înainte de a continua.
Instalați OpenSSL într-un mediu acceptat. Consultați https://www.openssl.org pentru software și documentație.
Creați o tastă privată.
Începeți această procedură atunci când primiți certificatul de server de la Autoritatea dvs. de certificare (CA).
1 | Când primiți certificatul de server de la CA, salvați-l ca |
2 | Afișați certificatul ca text și verificați detaliile.
|
3 | Utilizați un editor de text pentru a crea un fișier de pachet de certificate numit
|
4 | Creați fișierul .p12 cu numele prietenos
|
5 | Verificați detaliile certificatului serverului. |
Ce este de făcut în continuare
Reveniți la Completarea Condițiilor prealabile pentru securitatea datelor hibride. Veţi utiliza hdsnode.p12
fișier și parola pe care ați setat-o pentru acesta, în Creați un ISO de configurare pentru gazdele HDS.
Puteți reutiliza aceste fișiere pentru a solicita un nou certificat atunci când certificatul original expiră. |
Trafic între nodurile HDS și cloud
Trafic colecție metrică de ieșire
Nodurile de securitate a datelor hibride trimit anumite măsurători în cloudul Webex. Acestea includ măsurători de sistem pentru înălțimea maximă, înălțimea utilizată, sarcina CPU și numărul de fire; măsurători pe fire sincrone și asincronice; măsurători pe alerte care implică un prag de conexiuni de criptare, latență sau o lungime a cozii de solicitare; măsurători pe placa de date; și măsurători de conexiune de criptare. Nodurile trimit material cheie criptat printr-un canal în afara benzii (separat de solicitare).
Trafic de intrare
Nodurile de securitate a datelor hibride primesc următoarele tipuri de trafic de intrare din cloudul Webex:
Cereri de criptare de la clienți, care sunt rutate de serviciul de criptare
Actualizări la software-ul nodului
Configurați proxy-urile Squid pentru securitatea datelor hibride
Șoseta web nu se poate Conecta Prin Proxy Squid
Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea websocket ( wss:
) conexiuni care necesită Securitatea datelor hibride. Aceste secțiuni oferă îndrumări cu privire la modul de configurare a diferitelor versiuni de Squid pentru a ignora wss:
trafic pentru buna funcționare a serviciilor.
Squid 4 și 5
Adăugați on_unsupported_protocol
directivă privind squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Am testat cu succes Securitatea datelor hibride cu următoarele reguli adăugate la squid.conf
. Aceste reguli se pot modifica pe măsură ce dezvoltăm caracteristici și actualizăm cloudul Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Informații noi și modificate
Dată | Modificări efectuate | ||
---|---|---|---|
20 octombrie 2023 |
| ||
07 august 2023 |
| ||
23 mai 2023 |
| ||
06 decembrie 2022 |
| ||
23 noiembrie 2022 |
| ||
13 octombrie 2021 | Docker Desktop trebuie să ruleze un program de configurare înainte de a putea instala noduri HDS. Consultați Cerințele de desktop ale Docker. | ||
24 iunie 2021 | Rețineți că puteți reutiliza fișierul cu tastatură privată și CSR pentru a solicita un alt certificat. Consultați Utilizarea OpenSSL pentru a genera un fișier PKCS12 pentru detalii. | ||
30 aprilie 2021 | A schimbat cerința VM pentru spațiul local pe hard disk la 30 GB. Consultați Cerințele Gazdei Virtuale pentru detalii. | ||
24 februarie 2021 | Instrumentul de configurare HDS poate rula acum în spatele unui proxy. Consultați Creați un ISO de configurare pentru gazdele HDS pentru detalii. | ||
2 februarie 2021 | HDS poate rula acum fără un fișier ISO montat. Consultați (Opțional) Dezasamblarea ISO după configurarea HDS pentru detalii. | ||
11 ianuarie 2021 | Au fost adăugate informații despre instrumentul de configurare HDS și proxy-uri pentru a crea un ISO de configurare pentru gazdele HDS. | ||
13 octombrie 2020 | Fișiere de instalare Descărcare actualizate. | ||
8 octombrie 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS și modificați configurația nodului cu comenzi pentru mediile FedRAMP. | ||
14 august 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS și modificați configurația nodului cu modificări ale procesului de conectare. | ||
5 august 2020 | Actualizat Testați implementarea securității datelor hibride pentru modificări ale mesajelor jurnal. S-au actualizat Cerințele Gazdei Virtuale pentru a elimina numărul maxim de gazde. | ||
16 iunie 2020 | Actualizat Eliminați un nod pentru modificările din interfața cu utilizatorul Control Hub. | ||
4 iunie 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS pentru modificările din Setările avansate pe care le-ați putea seta. | ||
29 mai 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS pentru a afișa puteți utiliza, de asemenea, TLS cu baze de date SQL Server, modificări de interfață de utilizator și alte clarificări. | ||
5 mai 2020 | Actualizat Cerințele Gazdei Virtuale pentru a afișa noua cerință a ESXi 6.5. | ||
21 aprilie 2020 | Actualizat Cerințe de conectivitate externă cu noi gazde CI din America. | ||
Aprilie 1, 2020 | Actualizat Cerințele de conectivitate externă cu informații despre gazdele regionale CI. | ||
20 februarie 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS cu informații despre noul ecran opțional de setări avansate din instrumentul de configurare HDS. | ||
4 februarie 2020 | Cerințe server proxy actualizate. | ||
16 decembrie 2019 | A clarificat cerința ca modul de rezoluție DNS extern blocat să funcționeze în cerințele serverului proxy. | ||
19 noiembrie 2019 | Au fost adăugate informații despre modul de rezoluție DNS extern blocat în următoarele secțiuni: | ||
8 noiembrie 2019 | Acum puteți configura setările de rețea pentru un nod în timp ce implementați OVA, mai degrabă decât ulterior. Actualizat în consecință următoarele secțiuni:
| ||
6 septembrie 2019 | S-a adăugat standardul SQL Server la cerințele serverului bazei de date. | ||
august 29, 2019 | A fost adăugată Configurarea proxy-urilor Squid pentru securitatea datelor hibride , cu îndrumări privind configurarea proxy-urilor Squid pentru a ignora traficul websocket pentru funcționarea corespunzătoare. | ||
20 august 2019 | Secțiuni adăugate și actualizate pentru a acoperi asistența proxy pentru comunicațiile nodului de securitate a datelor hibride în cloudul Webex. Pentru a accesa doar conținutul de asistență proxy pentru o implementare existentă, consultați Asistența proxy pentru securitatea datelor hibride și articolul de ajutor Webex Video Mesh . | ||
13 iunie 2019 | A fost actualizat Fluxul de activități de producție cu un memento pentru a sincroniza HdsTrialGroup obiectul de grup înainte de a începe un trial dacă organizația dvs. utilizează sincronizarea directorului. | ||
6 martie 2019 |
| ||
februarie 28, 2019 |
| ||
26 februarie 2019 |
| ||
24 ianuarie 2019 |
| ||
noiembrie 5, 2018 |
| ||
19 octombrie 2018 |
| ||
31 iulie 2018 |
| ||
21 mai 2018 | Terminologia modificată pentru a reflecta rebranding-ul Cisco Spark:
| ||
11 aprilie 2018 |
| ||
22 februarie 2018 |
| ||
februarie 15, 2018 |
| ||
ianuarie 18, 2018 |
| ||
noiembrie 2, 2017 |
| ||
18 august 2017 | Prima publicare |
Prezentare generală a securității datelor hibride
Începând cu prima zi, securitatea datelor a fost accentul principal în proiectarea Aplicației Webex. Piatra de temelie a acestei securități este criptarea conținutului end-to-end, activată de clienții aplicației Webex care interacționează cu Serviciul de gestionare a cheilor (KMS). KMS este responsabil pentru crearea și gestionarea cheilor criptografice pe care clienții le utilizează pentru a cripta și decripta în mod dinamic mesajele și fișierele.
În mod implicit, toți clienții Aplicației Webex primesc criptare end-to-end cu chei dinamice stocate în KMS cloud, în domeniul de securitate al Cisco. Hybrid Data Security mută KMS și alte funcții legate de securitate în centrul de date la nivel de întreprindere dvs., astfel încât nimeni în afară de dvs. să nu dețină cheile conținutului dvs. criptat.
Arhitectură Realm de securitate
Arhitectura cloud Webex separă diferite tipuri de servicii în domenii separate sau domenii de încredere, după cum este descris mai jos.
Pentru a înțelege în continuare securitatea datelor hibride, să ne uităm mai întâi la acest caz cloud pur, în care Cisco oferă toate funcțiile din domeniile sale cloud. Serviciul de identitate, singurul loc în care utilizatorii pot fi direct corelați cu informațiile lor personale, cum ar fi adresa de e-mail, este separat în mod logic și fizic de domeniul de securitate din centrul de date B. Ambele sunt, la rândul lor, separate de domeniul în care conținutul criptat este stocat în cele din urmă, în centrul de date C.
În această diagramă, clientul este aplicația Webex care rulează pe laptopul unui utilizator și s-a autentificat cu serviciul de identitate. Când utilizatorul compune un mesaj pentru a trimite într-un spațiu, au loc următorii pași:
Clientul stabilește o conexiune securizată cu serviciul de gestionare a cheilor (KMS), apoi solicită o cheie pentru a cripta mesajul. Conexiunea securizată utilizează ECDH, iar KMS criptează cheia utilizând o cheie principală AES-256.
Mesajul este criptat înainte de a părăsi clientul. Clientul îl trimite la serviciul de indexare, care creează indexuri de căutare criptate pentru a ajuta în căutările viitoare pentru conținut.
Mesajul criptat este trimis serviciului de conformitate pentru verificări de conformitate.
Mesajul criptat este stocat în domeniul de stocare.
Când implementați Securitatea datelor hibride, mutați funcțiile domeniului de securitate (KMS, indexare și conformitate) în centrul dvs. de date local. Celelalte servicii cloud care alcătuiesc Webex (inclusiv stocarea identității și a conținutului) rămân în domeniile Cisco.
Colaborarea cu Alte Organizații
Utilizatorii din organizația dvs. pot utiliza în mod regulat Aplicația Webex pentru a colabora cu participanți externi din alte organizații. Când unul dintre utilizatorii dvs. solicită o cheie pentru un spațiu care este deținut de organizația dvs. (deoarece a fost creat de unul dintre utilizatorii dvs.), KMS trimite cheia către client printr-un canal ECDH securizat. Cu toate acestea, atunci când o altă organizație deține cheia pentru spațiu, KMS-ul direcționează cererea către cloudul Webex printr-un canal ECDH separat pentru a obține cheia de la KMS-ul corespunzător și apoi returnează cheia către utilizatorul dvs. pe canalul original.
Serviciul KMS care rulează pe Org A validează conexiunile la KMS în alte organizații utilizând x.509 certificate PKI. Consultați Pregătiți-vă mediul pentru detalii despre generarea unui certificat x.509 pe care să-l utilizați cu implementarea securității datelor hibride.
Așteptări pentru implementarea securității datelor hibride
O implementare a securității datelor hibride necesită un angajament semnificativ din partea clienților și o conștientizare a riscurilor pe care le implică deținerea cheilor de criptare.
Pentru a implementa securitatea datelor hibride, trebuie să furnizați:
Un centru de date securizat într-o țară care este o locație acceptată pentru planurile Cisco Webex Teams.
Echipamentul, software-ul și accesul la rețea descrise în Pregătirea Mediului.
Pierderea completă a configurației ISO pe care o construiți pentru securitatea datelor hibride sau a bazei de date pe care o furnizați va duce la pierderea tastelor. Pierderea tastelor împiedică utilizatorii să decripteze conținutul spațiului și alte date criptate în Aplicația Webex. Dacă se întâmplă acest lucru, puteți construi o nouă implementare, dar numai conținut nou va fi vizibil. Pentru a evita pierderea accesului la date, trebuie:
Gestionați backup-ul și recuperarea bazei de date și configurația ISO.
Fiți pregătiți să efectuați recuperarea rapidă a dezastrelor dacă apare o catastrofă, cum ar fi defectarea discului de bază de date sau dezastrul centrului de date.
Nu există niciun mecanism pentru a muta cheile înapoi în Cloud după o implementare HDS. |
Proces de configurare la nivel înalt
Acest document acoperă configurarea și gestionarea implementării securității datelor hibride:
Configurați securitatea datelor hibride—Aceasta include pregătirea infrastructurii necesare și instalarea software-ului de securitate a datelor hibride, testarea implementării dvs. cu un subset de utilizatori în modul de încercare și, odată ce testarea dvs. este finalizată, trecerea la producție. Aceasta convertește întreaga organizație pentru a utiliza clusterul dvs. de securitate a datelor hibride pentru funcțiile de securitate.
Fazele de configurare, încercare și producție sunt acoperite în detaliu în următoarele trei capitole.
Mențineți implementarea securității datelor hibride—cloud-ul Webex oferă automat upgrade-uri în curs. Departamentul dvs. IT poate oferi un singur nivel de asistență pentru această implementare și poate angaja asistență Cisco după cum este necesar. Puteți utiliza notificări pe ecran și puteți configura alerte pe bază de e-mail în Control Hub.
Înțelegerea alertelor comune, a pașilor de depanare și a problemelor cunoscute—Dacă întâmpinați probleme la implementarea sau utilizarea securității datelor hibride, ultimul capitol din acest ghid și apendicele Probleme cunoscute vă pot ajuta să determinați și să remediați problema.
Model de implementare a securității datelor hibride
În cadrul centrului dvs. de date al întreprinderii, implementați Securitatea datelor hibride ca un singur grup de noduri pe gazde virtuale separate. Nodurile comunică cu cloudul Webex prin prize web securizate și HTTP securizat.
În timpul procesului de instalare, vă oferim fișierul OVA pentru a configura dispozitivul virtual pe VMs pe care le furnizați. Utilizați instrumentul de configurare HDS pentru a crea un fișier ISO de configurare a clusterului personalizat pe care îl montați pe fiecare nod. Clusterul de securitate a datelor hibride utilizează serverul Syslogd furnizat și baza de date PostgreSQL sau Microsoft SQL Server. (Configurați detaliile conexiunii Syslogd și a bazei de date în Instrumentul de configurare HDS.)
Numărul minim de noduri pe care le puteți avea într-un cluster este de două. Vă recomandăm cel puțin trei, și puteți avea până la cinci. Existența mai multor noduri asigură faptul că serviciul nu este întrerupt în timpul unui upgrade de software sau al unei alte activități de întreținere pe un nod. (Cloudul Webex actualizează doar un nod la un moment dat.)
Toate nodurile dintr-un cluster accesează aceeași bază de date cu tastatură și înregistrează activitatea pe același server syslog. Nodurile în sine sunt apatride și se ocupă de solicitările cheie în modul rotund-robin, așa cum este direcționat de cloud.
Nodurile devin active atunci când le înregistrați în Control Hub. Pentru a scoate un nod individual din serviciu, îl puteți desînregistra și apoi îl puteți reînregistra, dacă este necesar.
Sprijinim doar un singur cluster per organizație.
Mod de încercare pentru securitatea datelor hibride
După configurarea unei implementări de securitate a datelor hibride, încercați mai întâi cu un set de utilizatori pilot. În timpul perioadei de încercare, acești utilizatori utilizează domeniul local de securitate a datelor hibride pentru cheile de criptare și alte servicii din domeniul de securitate. Ceilalți utilizatori continuă să utilizeze domeniul de securitate cloud.
Dacă decideți să nu continuați implementarea în timpul perioadei de încercare și să dezactivați serviciul, utilizatorii pilot și orice utilizatori cu care au interacționat prin crearea de spații noi în timpul perioadei de încercare vor pierde accesul la mesaje și conținut. Aceștia vor vedea „Acest mesaj nu poate fi decriptat” în aplicația Webex.
Dacă sunteți mulțumit că implementarea dvs. funcționează bine pentru utilizatorii de încercare și sunteți pregătit să extindeți Securitatea datelor hibride la toți utilizatorii dvs., mutați implementarea în producție. Utilizatorii pilot continuă să aibă acces la cheile care au fost utilizate în timpul încercării. Cu toate acestea, nu se poate muta înapoi și înainte între modul de producție și procesul inițial. Dacă trebuie să dezactivați serviciul, cum ar fi pentru a efectua recuperarea dezastrelor, atunci când reactivați, trebuie să începeți o nouă încercare și să configurați setul de utilizatori pilot pentru noua încercare înainte de a reveni la modul de producție. Dacă utilizatorii păstrează accesul la date în acest moment depinde de faptul dacă ați menținut cu succes copii de rezervă ale stocului de date cheie și ale fișierului de configurare ISO pentru nodurile de securitate a datelor hibride din cluster.
Centrul de date standby pentru recuperarea dezastrelor
În timpul implementării, ați configurat un centru de date standby securizat. În cazul unui dezastru al unui centru de date, puteți eșua manual implementarea în centrul de date standby.
Bazele de date ale centrelor de date active și standby sunt în sincronizare unele cu altele, ceea ce va reduce la minimum timpul necesar pentru a efectua eșecul. Fișierul ISO al centrului de date standby este actualizat cu configurații suplimentare care asigură că nodurile sunt înregistrate în organizație, dar nu vor gestiona traficul. Prin urmare, nodurile centrului de date standby rămân întotdeauna la zi cu cea mai recentă versiune de software HDS.
Nodurile active de securitate a datelor hibride trebuie să fie întotdeauna în același centru de date ca serverul de bază de date activă. |
Configurarea Centrului de date standby pentru recuperarea dezastrelor
Urmați pașii de mai jos pentru a configura fișierul ISO al centrului de date standby:
Înainte de a începe
Centrul de date standby trebuie să reflecte mediul de producție al VMs și o bază de date PostgreSQL sau Microsoft SQL Server de rezervă. De exemplu, dacă producția are 3 VMs care rulează noduri HDS, mediul de rezervă ar trebui să aibă 3 VMs. (Consultați Standby Data Center for Disaster Recovery pentru o prezentare generală a acestui model de eșec.)
Asigurați-vă că sincronizarea bazei de date este activată între baza de date a nodurilor de cluster active și pasive.
1 | Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.
| ||
2 | După configurarea serverului Syslogd, faceți clic pe Setări avansate | ||
3 | Pe pagina Setări avansate, adăugați configurația de mai jos pentru a plasa nodul în modul pasiv. În acest mod, nodul va fi înregistrat în organizație și conectat la cloud, dar nu va gestiona niciun trafic.
| ||
4 | Completați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit. | ||
5 | Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare. | ||
6 | În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări.. | ||
7 | Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Fișier ISO Datastore.
| ||
8 | Activați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute. | ||
9 | Repetați procesul pentru fiecare nod din centrul de date standby.
|
Ce este de făcut în continuare
După configurare passiveMode
în fișierul ISO și salvându-l, puteți crea o altă copie a fișierului ISO fără passiveMode
configurare și salvați-l într-o locație sigură. Această copie a fișierului ISO fără passiveMode
configurat poate ajuta într-un proces rapid de eșec în timpul recuperării dezastrelor. Consultați Recuperarea dezastrelor utilizând Centrul de date standby pentru procedura detaliată de nereușită.
Asistență proxy
Securitatea datelor hibride acceptă inspecții explicite, transparente și proxy-uri neinspectate. Puteți lega aceste proxy-uri de implementarea dvs., astfel încât să puteți securiza și monitoriza traficul de la întreprindere la cloud. Puteți utiliza o interfață de administrare a platformei pe noduri pentru gestionarea certificatelor și pentru a verifica starea generală a conectivității după ce ați configurat proxy-ul pe noduri.
Nodurile de securitate a datelor hibride acceptă următoarele opțiuni proxy:
Fără proxy—Implicit dacă nu utilizați configurația de configurare a nodului HDS Trust Store și proxy pentru a integra un proxy. Nu este necesară nicio actualizare a certificatului.
Proxy fără inspecție transparent—Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy și nu ar trebui să necesite nicio modificare pentru a lucra cu un proxy fără inspecție. Nu este necesară nicio actualizare a certificatului.
Tunelare transparentă sau inspecție proxy—Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy. Nu sunt necesare modificări ale configurației HTTP sau HTTPS pe noduri. Cu toate acestea, nodurile au nevoie de un certificat rădăcină, astfel încât să aibă încredere în proxy. De obicei, proxy-urile de inspecție sunt utilizate de IT pentru a pune în aplicare politicile pe care site-urile pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).
Proxy explicit—Cu proxy explicit, spuneți nodurilor HDS ce server proxy și sistem de autentificare să utilizați. Pentru a configura un proxy explicit, trebuie să introduceți următoarele informații pe fiecare nod:
IP proxy/FQDN—Adresă care poate fi utilizată pentru a ajunge la utilajul proxy.
Portul proxy—Un număr de port pe care proxy-ul îl folosește pentru a asculta traficul proxy.
Proxy Protocol—În funcție de ce acceptă serverul dvs. proxy, alegeți între următoarele protocoale:
HTTP—Vizualizează și controlează toate solicitările pe care clientul le trimite.
HTTPS—Oferă un canal serverului. Clientul primește și validează certificatul serverului.
Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:
Niciuna – Nu este necesară autentificarea suplimentară.
Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
De bază—Utilizat pentru un agent de utilizator HTTP pentru a furniza un nume de utilizator și o parolă atunci când efectuați o solicitare. Utilizează codificarea Base64.
Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
Vă cere să introduceți numele de utilizator și parola pe fiecare nod.
Digest—Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite în rețea.
Disponibil numai dacă selectați HTTPS ca protocol proxy.
Vă cere să introduceți numele de utilizator și parola pe fiecare nod.
Exemplu de noduri hibride de securitate a datelor și proxy
Această diagramă arată o conexiune de exemplu între securitatea datelor hibride, rețea și un proxy. Pentru inspectarea transparentă și opțiunile HTTPS de inspecție explicită a proxy-urilor, trebuie instalat același certificat rădăcină pe proxy și pe nodurile de securitate a datelor hibride.
Modul de rezoluție DNS extern blocat (configurații proxy explicite)
Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează aspectul DNS și conectivitatea la cloudul Cisco Webex. În implementările cu configurații proxy explicite care nu permit rezoluția DNS externă pentru clienții interni, dacă nodul nu poate interoga serverele DNS, acesta intră automat în modul de Rezoluție DNS Externă Blocată. În acest mod, pot continua testele de înregistrare a nodurilor și alte teste de conectivitate proxy.
Cerințe privind securitatea datelor hibride
Cerințe de licență Cisco Webex
Pentru implementarea securității datelor hibride:
Trebuie să aveți un pachet Pro pentru Cisco Webex Control Hub. (Consultați https://www.cisco.com/go/pro-pack.)
Cerințe Docker Desktop
Înainte de a instala nodurile HDS, aveți nevoie de Docker Desktop pentru a rula un program de configurare. Docker și-a actualizat recent modelul de licențiere. Este posibil ca organizația dvs. să necesite un abonament cu plată pentru Docker Desktop. Pentru detalii, consultați postarea de pe blogul Docker, " Docker actualizează și extinde abonamentele noastre la produse ".
X.509 Cerințe privind certificatul
Lanțul certificatului trebuie să îndeplinească următoarele cerințe:
Obligatoriu | Detalii |
---|---|
| În mod implicit, avem încredere în CA-urile din lista Mozilla (cu excepția WoSign și StartCom) la https://wiki.mozilla.org/CA:IncludedCAs. |
| CN-ul nu trebuie să fie accesibil sau o gazdă live. Vă recomandăm să utilizați un nume care reflectă organizația dvs., de exemplu, CN nu trebuie să conțină un * (wildcard). CN este utilizat pentru a verifica nodurile de securitate a datelor hibride pentru clienții Aplicației Webex. Toate nodurile de securitate a datelor hibride din clusterul dvs. utilizează același certificat. KMS-ul se identifică utilizând domeniul CN, nu orice domeniu care este definit în câmpurile SAN x.509v3. După ce ați înregistrat un nod cu acest certificat, nu acceptăm schimbarea numelui domeniului CN. Alegeți un domeniu care se poate aplica atât implementărilor de încercare, cât și implementărilor de producție. |
| Software-ul KMS nu acceptă semnăturile SHA1 pentru validarea conexiunilor la KMSs ale altor organizații. |
| Puteți utiliza un convertor, cum ar fi OpenSSL pentru a schimba formatul certificatului. Va trebui să introduceți parola atunci când rulați Instrumentul de configurare HDS. |
Software-ul KMS nu impune utilizarea cheii sau restricții extinse de utilizare a cheii. Unele autorități de certificare impun aplicarea unor restricții extinse de utilizare a cheilor pentru fiecare certificat, cum ar fi autentificarea serverului. Este în regulă să utilizați autentificarea serverului sau alte setări.
Cerințe Gazdă virtuală
Gazdele virtuale pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. au următoarele cerințe:
Cel puțin două gazde separate (3 recomandate) plasate în același centru de date securizat
VMware ESXi 6.5 (sau mai târziu) instalat și rulează.
Trebuie să faceți upgrade dacă aveți o versiune anterioară a ESXi.
Minim 4 vCPU-uri, 8-GB memorie principală, 30-GB spațiu pe hard disk local pe server
Cerințe server bază de date
Creați o nouă bază de date pentru stocarea cheilor. Nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date. |
Există două opțiuni pentru serverul de baze de date. Cerințele pentru fiecare sunt după cum urmează:
PostgreSQL | Server Microsoft SQL | ||
---|---|---|---|
|
| ||
Minim 8 vCPU-uri, 16-GB de memorie principală, suficient spațiu pe hard disk și monitorizare pentru a se asigura că nu este depășit (2-TB recomandat dacă doriți să rulați baza de date pentru o lungă perioadă de timp, fără a fi nevoie de a crește spațiul de stocare) | Minim 8 vCPU-uri, 16-GB de memorie principală, suficient spațiu pe hard disk și monitorizare pentru a se asigura că nu este depășit (2-TB recomandat dacă doriți să rulați baza de date pentru o lungă perioadă de timp, fără a fi nevoie de a crește spațiul de stocare) |
Software-ul HDS instalează în prezent următoarele versiuni de drivere pentru comunicarea cu serverul bazei de date:
PostgreSQL | Server Microsoft SQL |
---|---|
Șofer JDBC Postgres 42.2.5 | Driver JDBC SQL Server 4.6 Această versiune a driverului acceptă SQL Server întotdeauna activat (întotdeauna pe instanțe de cluster nereușite și întotdeauna pe grupuri de disponibilitate). |
Cerințe suplimentare pentru autentificarea Windows împotriva Microsoft SQL Server
Dacă doriți ca nodurile HDS să utilizeze autentificarea Windows pentru a obține acces la baza dvs. de date Keystore pe Microsoft SQL Server, atunci aveți nevoie de următoarea configurație în mediul dvs.:
Nodurile HDS, infrastructura Active Directory și serverul MS SQL trebuie sincronizate cu NTP.
Contul Windows pe care îl furnizați nodurilor HDS trebuie să aibă acces citit/scris la baza de date.
Serverele DNS pe care le furnizați nodurilor HDS trebuie să poată rezolva Centrul dvs. de distribuție a cheilor (KDC).
Puteți înregistra instanța bazei de date HDS pe serverul dvs. Microsoft SQL ca nume principal al serviciului (SPN) în directorul dvs. activ. Consultați Înregistrarea unui nume principal de serviciu pentru conexiunile Kerberos.
Instrumentul de configurare HDS, lansatorul HDS și KMS local trebuie să utilizeze autentificarea Windows pentru a accesa baza de date Keystore. Ei folosesc detaliile din configurația ISO pentru a construi SPN atunci când solicită acces cu autentificarea Kerberos.
Cerințe de conectivitate externă
Configurați firewall-ul pentru a permite următoarea conectivitate pentru aplicațiile HDS:
Aplicație | Protocol | Port | Direcție din aplicație | Destinație |
---|---|---|---|---|
Noduri de securitate a datelor hibride | TCP | 443 | HTTPS de ieșire și WSS |
|
Instrument de configurare HDS | TCP | 443 | HTTPS de ieșire |
|
Nodurile de securitate a datelor hibride funcționează cu traducerea accesului la rețea (NAT) sau în spatele unui firewall, atâta timp cât NAT sau firewall permite conexiunile de ieșire necesare la destinațiile de domeniu din tabelul precedent. Pentru conexiunile care intră în nodurile de securitate a datelor hibride, niciun port nu trebuie să fie vizibil de pe internet. În cadrul centrului dvs. de date, clienții au nevoie de acces la nodurile de securitate a datelor hibride din porturile TCP 443 și 22, în scopuri administrative. |
URL-urile gazdelor pentru identitatea comună (CI) sunt specifice regiunii. Acestea sunt gazdele actuale CI:
Regiune | URL-uri comune ale gazdei pentru identitate |
---|---|
Țările din America |
|
Uniunea Europeană |
|
Canada |
|
Cerințe server proxy
Sprijinim oficial următoarele soluții proxy care se pot integra cu nodurile dvs. de securitate a datelor hibride.
Proxy transparent – Dispozitiv de securitate web Cisco (WSA).
Proxy explicit – Squid.
Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea websocket (wss:) conexiuni. Pentru a lucra la această problemă, consultați Configurarea proxy-urilor Squid pentru securitatea datelor hibride.
Acceptăm următoarele combinații de tip autentificare pentru proxy-uri explicite:
Nicio autentificare cu HTTP sau HTTPS
Autentificare de bază cu HTTP sau HTTPS
Autentificare Digest numai cu HTTPS
Pentru un proxy de inspecție transparent sau un proxy explicit HTTPS, trebuie să aveți o copie a certificatului rădăcină al proxy-ului. Instrucțiunile de implementare din acest ghid vă spun cum să încărcați copia în magazinele de încredere ale nodurilor de securitate a datelor hibride.
Rețeaua care găzduiește nodurile HDS trebuie să fie configurată pentru a forța traficul TCP de ieșire în portul 443 să se deplaseze prin proxy.
Proxy-urile care inspectează traficul web pot interfera cu conexiunile socket-urilor web. Dacă apare această problemă, ocolirea (nu inspectarea) traficului la
wbx2.com
șiciscospark.com
va rezolva problema.
Completați cerințele preliminare pentru securitatea datelor hibride
1 | Asigurați-vă că organizația dvs. Webex este activată pentru pachetul Pro pentru Cisco Webex Control Hub și obțineți acreditările unui cont cu drepturi depline de administrator al organizației. Contactați-vă partenerul Cisco sau managerul de cont pentru ajutor în acest proces. | ||
2 | Alegeți un nume de domeniu pentru implementarea HDS (de exemplu, | ||
3 | Pregătiți gazdele virtuale identice pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. Aveți nevoie de cel puțin două gazde separate (3 recomandate) plasate în același centru de date securizat, care îndeplinesc cerințele din Cerințele Gazdei Virtuale. | ||
4 | Pregătiți serverul bazei de date care va acționa ca un magazin de date cheie pentru cluster, în conformitate cu cerințele serverului bazei de date. Serverul bazei de date trebuie să fie plasat în centrul de date securizat cu gazdele virtuale. | ||
5 | Pentru recuperarea rapidă a dezastrelor, configurați un mediu de rezervă într-un alt centru de date. Mediul de rezervă reflectă mediul de producție al VMs și un server de baze de date de rezervă. De exemplu, dacă producția are 3 VMs care rulează noduri HDS, mediul de rezervă ar trebui să aibă 3 VMs. | ||
6 | Configurați o gazdă syslog pentru a colecta jurnale de la nodurile din cluster. Aduna adresa de rețea și portul syslog (implicit este UDP 514). | ||
7 | Creați o politică de rezervă securizată pentru nodurile de securitate a datelor hibride, serverul bazei de date și gazda syslog. Cel puțin, pentru a preveni pierderea de date nerecuperabile, trebuie să salvați baza de date și fișierul ISO de configurare generat pentru nodurile de securitate a datelor hibride.
Clienții Aplicației Webex își ascund cheile, astfel încât este posibil ca o întrerupere să nu fie vizibilă imediat, dar va deveni evidentă în timp. În timp ce ieșirile temporare sunt imposibil de prevenit, acestea sunt recuperabile. Cu toate acestea, pierderea completă (fără backup-uri disponibile) a bazei de date sau a fișierului ISO de configurare va duce la date client nerecuperabile. Operatorii nodurilor de securitate a datelor hibride se așteaptă să mențină backup-uri frecvente ale bazei de date și ale fișierului ISO de configurare și să fie pregătiți să reconstruiască centrul de date de securitate a datelor hibride în cazul în care apare un eșec catastrofal. | ||
8 | Asigurați-vă că configurația firewall-ului dvs. permite conectivitatea pentru nodurile dvs. de securitate a datelor hibride, astfel cum sunt prezentate în cerințele de conectivitate externă. | ||
9 | Instalați Docker ( https://www.docker.com) pe orice mașină locală care rulează un sistem de operare acceptat (Microsoft Windows 10 Professional sau Enterprise pe 64 de biți sau Mac OSX Yosemite 10.10.3 sau mai sus) cu un browser web care îl poate accesa la http://127.0.0.1:8080. Utilizați instanța Docker pentru a descărca și rula Instrumentul de configurare HDS, care construiește informațiile de configurare locale pentru toate nodurile de securitate a datelor hibride. Este posibil ca organizația dvs. să aibă nevoie de o licență Docker Desktop. Consultați Cerințele Docker Desktop pentru mai multe informații. Pentru a instala și rula Instrumentul de configurare HDS, utilajul local trebuie să aibă conectivitatea descrisă în Cerințele de conectivitate externă. | ||
10 | Dacă integrați un proxy cu securitatea datelor hibride, asigurați-vă că îndeplinește Cerințele serverului proxy. | ||
11 | Dacă organizația dvs. utilizează sincronizarea directorului, creați un grup în Active Directory numit
|
Flux sarcină de implementare a securității datelor hibride
Înainte de a începe
1 | Descărcați fișierele de instalare Descărcați fișierul OVA la utilajul local pentru utilizare ulterioară. | ||
2 | Creați un ISO de configurare pentru gazdele HDS Utilizați instrumentul de configurare HDS pentru a crea un fișier de configurare ISO pentru nodurile de securitate a datelor hibride. | ||
3 |
Creați o mașină virtuală din fișierul OVA și efectuați configurația inițială, cum ar fi setările de rețea.
| ||
4 | Configurați VM-ul de securitate a datelor hibride Conectați-vă la consola VM și setați acreditările de conectare. Configurați setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA. | ||
5 | Încărcați și montați ISO de configurare HDS Configurați VM din fișierul de configurare ISO pe care l-ați creat cu instrumentul de configurare HDS. | ||
6 | Configurați nodul HDS pentru integrarea proxy Dacă mediul de rețea necesită configurare proxy, specificați tipul de proxy pe care îl veți utiliza pentru nod și adăugați certificatul proxy la magazinul de încredere, dacă este necesar. | ||
7 | Înregistrați primul nod în cluster Înregistrați VM cu cloudul Cisco Webex ca nod de securitate a datelor hibrid. | ||
8 | Creați și înregistrați mai multe noduri Finalizați configurarea clusterului. | ||
9 | Efectuați un proces și mutați-vă la producție (capitolul următor) Până când începeți o încercare, nodurile dvs. generează o alarmă care indică faptul că serviciul dvs. nu este încă activat. |
Descărcați fișierele de instalare
1 | Conectați-vă la https://admin.webex.comși apoi faceți clic pe Servicii. | ||||
2 | În secțiunea Servicii hibride, găsiți cardul de securitate a datelor hibride, apoi faceți clic pe Configurare. Dacă cardul este dezactivat sau nu îl vedeți, contactați echipa de cont sau organizația parteneră. Dați-le numărul contului dvs. și solicitați să activați organizația dvs. pentru securitatea datelor hibride. Pentru a găsi numărul contului, faceți clic pe dispozitivul din dreapta sus, lângă numele organizației dvs.
| ||||
3 | Selectați Nu pentru a indica faptul că nu ați configurat încă nodul, apoi faceți clic pe Înainte. Fișierul OVA începe automat să se descarce. Salvați fișierul într-o locație de pe utilajul dvs.
| ||||
4 | Opțional, faceți clic pe Deschidere Ghid de implementare pentru a verifica dacă există o versiune ulterioară a acestui ghid disponibil. |
Creați un ISO de configurare pentru gazdele HDS
Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi utilizați ISO pentru a configura gazda dvs. de securitate a datelor hibride.
Înainte de a începe
Instrumentul de configurare HDS rulează ca container Docker pe un computer local. Pentru a-l accesa, rulați Docker pe acel computer. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi complete de administrator pentru organizația dvs.
Dacă instrumentul de configurare HDS rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin variabilele de mediu Docker atunci când ridicați containerul Docker în pasul 5. Acest tabel oferă câteva variabile de mediu posibile:
Descriere
Variabilă
Proxy HTTP fără autentificare
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS fără autentificare
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP cu autentificare
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS cu autentificare
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Fișierul de configurare ISO pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier oricând efectuați modificări de configurare, cum ar fi acestea:
Informații bază de date
Actualizări certificat
Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile la baza de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.
1 | În linia de comandă a computerului dvs., introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite:
În mediile FedRAMP:
| ||||||||||||
2 | Pentru a vă conecta la registry de imagini Docker, introduceți următoarele:
| ||||||||||||
3 | La solicitarea parolei, introduceți acest hash:
| ||||||||||||
4 | Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite:
În mediile FedRAMP:
| ||||||||||||
5 | Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.:
Când containerul rulează, veți vedea „Serverul Express ascultând pe portul 8080”. | ||||||||||||
6 |
Utilizați un browser web pentru a merge la gazda locală, Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul adecvat pentru acel cont. Instrumentul afișează apoi apelul standard de conectare. | ||||||||||||
7 | Când vi se solicită, introduceți acreditările de conectare ale administratorului clientului Control Hub, apoi faceți clic pe Conectare pentru a permite accesul la serviciile necesare pentru securitatea datelor hibride. | ||||||||||||
8 | Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Get Started. | ||||||||||||
9 | Pe pagina ISO Import aveți aceste opțiuni:
| ||||||||||||
10 | Verificați dacă certificatul dvs. X.509 îndeplinește cerințele din Cerințele de certificare X.509.
| ||||||||||||
11 | Introduceți adresa bazei de date și contul HDS pentru a accesa baza de date cu tastatură: | ||||||||||||
12 | Selectați un mod de conectare la baza de date TLS:
Când încărcați certificatul rădăcină (dacă este necesar) și faceți clic pe Continuare, instrumentul de configurare HDS testează conexiunea TLS la serverul bazei de date. Instrumentul verifică, de asemenea, semnatarul certificatului și numele gazdei, dacă este cazul. Dacă un test eșuează, instrumentul afișează un mesaj de eroare care descrie problema. Puteți alege să ignorați eroarea și să continuați configurarea. (Din cauza diferențelor de conectivitate, nodurile HDS ar putea fi capabile să stabilească conexiunea TLS, chiar dacă utilajul Instrumentului de configurare HDS nu o poate testa cu succes.) | ||||||||||||
13 | Pe pagina Jurnale de sistem, configurați serverul Syslogd: | ||||||||||||
14 | (Opțional) Puteți modifica valoarea implicită a unor parametri de conexiune la baza de date în Setări avansate. În general, acest parametru este singurul pe care s-ar putea dori să-l modificați:
| ||||||||||||
15 | Faceți clic pe Continuare pe ecranul Resetare Conturi serviciu Parolă . Parolele contului de serviciu au o durată de viață de nouă luni. Utilizați acest ecran atunci când parolele dvs. se apropie de expirare sau doriți să le resetați pentru a dezactiva fișierele ISO anterioare. | ||||||||||||
16 | Faceți clic pe Descărcați fișierul ISO. Salvați fișierul într-o locație ușor de găsit. | ||||||||||||
17 | Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare. | ||||||||||||
18 | Pentru a închide instrumentul de configurare, tastați |
Ce este de făcut în continuare
Backup fișierul ISO de configurare. Aveți nevoie de ea pentru a crea mai multe noduri pentru recuperare, sau pentru a face modificări de configurare. Dacă pierdeți toate copiile fișierului ISO, ați pierdut, de asemenea, cheia principală. Recuperarea tastelor din baza de date PostgreSQL sau Microsoft SQL Server nu este posibilă.
Nu avem niciodată o copie a acestei chei și nu poate ajuta dacă îl pierzi. |
Instalați gazda HDS OVA
1 | Utilizați clientul VMware vSphere de pe computer pentru a vă conecta la gazda virtuală ESXi. | ||||||
2 | Selectați Fișier > Implementați șablonul OVF. | ||||||
3 | În expert, specificați locația fișierului OVA pe care l-ați descărcat mai devreme, apoi faceți clic pe În continuare. | ||||||
4 | Pe Selectați un nume și un folder pagină , introduceți o Nume mașină virtuală pentru nod (de exemplu, „HDS_Node_1”), alegeți o locație în care se poate afla implementarea nodului mașinii virtuale, apoi faceți clic pe În continuare. | ||||||
5 | Pe Selectați o resursă de calcul pagină , alegeți resursa de calcul destinație, apoi faceți clic pe În continuare. O verificare de validare se execută. După ce se termină, apar detaliile șablonului. | ||||||
6 | Verificați detaliile șablonului și apoi faceți clic pe Înainte. | ||||||
7 | Dacă vi se solicită să alegeți configurația de resurse de pe Configurare pagină , faceți clic pe 4 CPU apoi faceți clic pe În continuare. | ||||||
8 | Pe Selectați spațiul de stocare pagină , faceți clic pe În continuare pentru a accepta formatul implicit al discului și politica de stocare VM. | ||||||
9 | Pe Selectați rețelele pagină, alege opțiunea de rețea din lista de intrări pentru a oferi conexiunea dorită la VM. | ||||||
10 | Pe pagina Personalizați șablonul , configurați următoarele setări ale rețelei:
Dacă preferați, puteți sări peste configurația de setare a rețelei și puteți urma pașii din Configurați VM-ul de securitate a datelor hibride pentru a configura setările din consola nodului.
| ||||||
11 | Faceți clic dreapta pe nodul VM, apoi alegeți .Software-ul de securitate a datelor hibride este instalat ca invitat pe Gazda VM. Acum sunteți gata să vă conectați la consolă și să configurați nodul. Sfaturi pentru depanare Este posibil să aveți o întârziere de câteva minute înainte de apariția containerelor de nod. Un mesaj de firewall de legătură apare pe consolă în timpul primei boot-ări, în timpul căreia nu vă puteți conecta. |
Configurați VM-ul de securitate a datelor hibride
Utilizați această procedură pentru a vă conecta pentru prima dată la consola VM a nodului de securitate a datelor hibride și pentru a seta acreditările de conectare. De asemenea, puteți utiliza consola pentru a configura setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.
1 | În clientul VMware vSphere, selectați nodul de securitate a datelor hibride VM și selectați fila Console . VM pornește în sus și apare un prompt de conectare. Dacă mesajul de conectare nu se afișează, apăsați Enter.
|
2 | Utilizați următoarea conectare implicită și parola pentru a vă conecta și a modifica datele de autentificare: Deoarece vă conectați pentru prima dată la VM, trebuie să schimbați parola de administrator. |
3 | Dacă ați configurat deja setările de rețea în Instalați gazda HDS OVA, omiteți restul acestei proceduri. În caz contrar, în meniul principal, selectați opțiunea Editare configurație . |
4 | Configurați o configurație statică cu adresă IP, Mască, Gateway și informații DNS. Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat. |
5 | (Opțional) Modificați numele gazdei, domeniul sau serverul (serverele) NTP, dacă este necesar pentru a se potrivi cu politica de rețea. Nu este necesar să setați domeniul pentru a se potrivi domeniului pe care l-ați utilizat pentru a obține certificatul X.509. |
6 | Salvați configurația de rețea și reporniți VM, astfel încât modificările să aibă efect. |
Încărcați și montați ISO de configurare HDS
Înainte de a începe
Deoarece fișierul ISO deține cheia principală, acesta ar trebui să fie expus numai pe o bază „trebuie să știe”, pentru a fi accesat de către VM-urile de securitate a datelor hibride și de orice administratori care ar putea avea nevoie să facă modificări. Asigurați-vă că numai acei administratori pot accesa stația de date.
1 | Încărcați fișierul ISO de pe computer: |
2 | Montați fișierul ISO: |
Ce este de făcut în continuare
Dacă politica dvs. IT necesită, puteți dezinstala opțional fișierul ISO după ce toate nodurile dvs. preiau modificările de configurare. Consultați (Opțional) Dezasamblarea ISO după configurarea HDS pentru detalii.
Configurați nodul HDS pentru integrarea proxy
Dacă mediul de rețea necesită un proxy, utilizați această procedură pentru a specifica tipul de proxy pe care doriți să îl integrați cu securitatea datelor hibride. Dacă alegeți un proxy de inspecție transparent sau un proxy explicit HTTPS, puteți utiliza interfața nodului pentru a încărca și instala certificatul rădăcină. De asemenea, puteți verifica conexiunea proxy din interfață și puteți rezolva orice probleme potențiale.
Înainte de a începe
Consultați Asistența proxy pentru o prezentare generală a opțiunilor proxy acceptate.
1 | Introduceți URL-ul de configurare a nodului HDS |
2 | Accesați Trust Store & Proxy, apoi alegeți o opțiune:
Urmați pașii următori pentru un proxy de inspecție transparent, un proxy explicit HTTP cu autentificare de bază sau un proxy explicit HTTPS. |
3 | Faceți clic pe Încărcați un certificat rădăcină sau un certificat de entitate finalizată, apoi navigați la o alegere a certificatului rădăcină pentru proxy. Certificatul este încărcat, dar nu este încă instalat, deoarece trebuie să reporniți nodul pentru a instala certificatul. Faceți clic pe săgeata chevron după numele emitentului certificatului pentru a obține mai multe detalii sau faceți clic pe Ștergere dacă ați făcut o greșeală și doriți să reîncărcați fișierul. |
4 | Faceți clic pe Verificare conexiune proxy pentru a testa conectivitatea la rețea între nod și proxy. Dacă testul conexiunii eșuează, veți vedea un mesaj de eroare care arată motivul și modul în care puteți corecta problema. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a reușit, nodul nu a putut ajunge la serverul DNS. Această condiție este de așteptat în multe configurații proxy explicite. Puteți continua cu configurarea, iar nodul va funcționa în modul de Rezoluție DNS Externă Blocată. Dacă credeți că aceasta este o eroare, completați acești pași și apoi consultați Dezactivarea modului de rezoluție DNS extern blocat. |
5 | După ce testul conexiunii trece, pentru proxy explicit setat numai la https, activați comutatorul pentru a Ruta toate solicitările de port 443/444 https din acest nod prin proxy explicit. Această setare necesită 15 secunde pentru a intra în vigoare. |
6 | Faceți clic pe Instalare toate certificatele în magazinul de încredere (apare pentru un proxy explicit HTTPS sau un proxy de inspecție transparent) sau Reporniți (apare pentru un proxy explicit HTTP), citiți mesajul și apoi faceți clic pe Instalare dacă sunteți pregătit. Nodul repornește în câteva minute. |
7 | După repornirea nodului, conectați-vă din nou dacă este necesar, apoi deschideți pagina Prezentare generală pentru a verifica verificările de conectivitate pentru a vă asigura că toate sunt în stare verde. Verificarea conexiunii proxy testează numai un subdomeniu al webex.com. Dacă există probleme de conectivitate, o problemă comună este că unele dintre domeniile cloud enumerate în instrucțiunile de instalare sunt blocate la proxy. |
Înregistrați primul nod în cluster
Când vă înregistrați primul nod, creați un cluster căruia i se atribuie nodul. Un cluster conține unul sau mai multe noduri implementate pentru a oferi redundanță.
Înainte de a începe
Odată ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți.
Asigurați-vă că orice blocare pop-up din browser-ul dvs. este dezactivată sau că permiteți o excepție pentru admin.webex.com.
1 | Conectați-vă la https://admin.webex.com. |
2 | Din meniul din partea stângă a ecranului, selectați Servicii. |
3 | În secțiunea Servicii hibride, găsiți Securitatea datelor hibride și faceți clic pe Configurare. Apare pagina Nod de securitate a datelor hibride de înregistrare.
|
4 | Selectați Da pentru a indica faptul că ați configurat nodul și sunteți gata să îl înregistrați, apoi faceți clic pe Înainte. |
5 | În primul câmp, introduceți un nume pentru clusterul la care doriți să alocați nodul dvs. de securitate a datelor hibride. Vă recomandăm să denumiți un cluster bazat pe locul în care nodurile clusterului sunt localizate geografic. Exemple: "San Francisco" sau "New York" sau "Dallas" |
6 | În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Înainte. Această adresă IP sau FQDN trebuie să corespundă adresei IP sau numelui gazdei și domeniului pe care l-ați utilizat în Configurarea VM-ului de securitate a datelor hibride. Apare un mesaj care indică faptul că vă puteți înregistra nodul la Webex.
|
7 | Faceți clic pe Du-te la Nod. |
8 | Faceți clic pe Continuare în mesajul de avertizare. După câteva momente, sunteți redirecționat către testele de conectivitate la noduri pentru serviciile Webex. Dacă toate testele au succes, apare pagina Permiteți accesul la nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați permisiuni organizației dvs. Webex pentru a accesa nodul dvs.
|
9 | Bifați caseta de selectare Permite accesul la nodul dvs. de securitate a datelor hibride , apoi faceți clic pe Continuare. Contul dvs. este validat, iar mesajul „Înscriere completă” indică faptul că nodul dvs. este acum înregistrat în cloudul Webex.
|
10 | Faceți clic pe link-ul sau închideți fila pentru a reveni la pagina de securitate a datelor hibride Control Hub. Pe pagina Securitate datelor hibride, este afișat noul cluster care conține nodul pe care l-ați înregistrat. Nodul va descărca automat cel mai recent software din cloud.
|
Creați și înregistrați mai multe noduri
În acest moment, VMs de rezervă pe care le-ați creat în Completați Condițiile prealabile pentru securitatea datelor hibride sunt gazde standby care sunt utilizate numai în caz de recuperare a dezastrelor; acestea nu sunt înregistrate la sistem până atunci. Pentru detalii, consultați Recuperarea dezastrelor utilizând Centrul de date standby. |
Înainte de a începe
Odată ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți.
Asigurați-vă că orice blocare pop-up din browser-ul dvs. este dezactivată sau că permiteți o excepție pentru admin.webex.com.
1 | Creați o nouă mașină virtuală din OVA, repetând pașii din Instalați gazda HDS OVA. |
2 | Configurați configurația inițială pe noul VM, repetând pașii din Configurați VM-ul de securitate a datelor hibride. |
3 | Pe noul VM, repetați pașii din Încărcați și montați ISO de configurare HDS. |
4 | Dacă configurați un proxy pentru implementarea dvs., repetați pașii din Configurați nodul HDS pentru Integrare proxy după cum este necesar pentru noul nod. |
5 | Înregistrați nodul. Nodul dvs. este înregistrat. Rețineți că până când începeți o încercare, nodurile dvs. generează o alarmă care indică faptul că serviciul dvs. nu este încă activat.
|
Ce este de făcut în continuare
Încercare la fluxul sarcinilor de producție
După ce ați configurat un cluster de securitate a datelor hibride, puteți iniția un pilot, puteți adăuga utilizatori la acesta și puteți începe să îl utilizați pentru testarea și verificarea implementării dvs. în vederea trecerii la producție.
Înainte de a începe
1 | Dacă este cazul, sincronizați Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați |
2 |
Începeți o încercare. Până când nu efectuați această sarcină, nodurile dvs. generează o alarmă care indică faptul că serviciul nu este încă activat. |
3 | Testați implementarea securității datelor hibride Verificați dacă solicitările cheie trec la implementarea securității datelor hibride. |
4 | Monitorizarea sănătății securității datelor hibride Verificați starea și configurați notificările prin e-mail pentru alarme. |
5 | |
6 | Finalizați faza de probă cu una dintre următoarele acțiuni: |
Activați procesul
Înainte de a începe
Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați HdsTrialGroup
obiectul de grup pentru sincronizare în cloud înainte de a putea iniția o încercare pentru organizația dvs. Pentru instrucțiuni, consultați Ghidul de implementare pentru Cisco Directory Connector.
1 | Conectați-vă la https://admin.webex.comși apoi selectați Servicii. |
2 | Sub Securitatea datelor hibride, faceți clic pe Setări. |
3 | În secțiunea Stare serviciu, faceți clic pe Inițiere încercare. Starea serviciului se modifică în modul de încercare.
|
4 | Faceți clic pe Adăugare utilizatori și introduceți adresa de e-mail a unuia sau mai multor utilizatori pentru a pilot utilizând nodurile dvs. de securitate a datelor hibride pentru serviciile de criptare și indexare. (Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory pentru a gestiona grupul de încercare, |
Testați implementarea securității datelor hibride
Înainte de a începe
Configurați implementarea securității datelor hibride.
Activați procesul și adăugați mai mulți utilizatori de proces.
Asigurați-vă că aveți acces la syslog pentru a verifica dacă solicitările cheie trec la implementarea securității datelor hibride.
1 | Tastele pentru un anumit spațiu sunt stabilite de creatorul spațiului. Conectați-vă la Aplicația Webex ca unul dintre utilizatorii pilot, apoi creați un spațiu și invitați cel puțin un utilizator pilot și un utilizator non-pilot.
| ||
2 | Trimiteți mesaje către noul spațiu. | ||
3 | Verificați ieșirea syslog pentru a verifica dacă solicitările cheie trec la implementarea securității datelor hibride. |
Monitorizarea sănătății securității datelor hibride
1 | În Control Hub, selectați Servicii din meniul din partea stângă a ecranului. |
2 | În secțiunea Servicii hibride, găsiți Securitatea datelor hibride și faceți clic pe Setări. Apare pagina Setări securitate date hibride.
|
3 | În secțiunea Notificări prin e-mail, tastați una sau mai multe adrese de e-mail separate prin virgule și apăsați Enter. |
Adăugați sau eliminați utilizatori din procesul dvs.
Dacă eliminați un utilizator din trial, clientul utilizatorului va solicita chei și crearea de taste din KMS cloud în loc de KMS dvs. Dacă clientul are nevoie de o cheie stocată pe KMS-ul dvs., KMS-ul cloud o va prelua în numele utilizatorului.
Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory (în loc de această procedură) pentru a gestiona grupul de încercare, HdsTrialGroup
; puteți vizualiza membrii grupului din Control Hub, dar nu îi puteți adăuga sau elimina.
1 | Conectați-vă la Control Hub, apoi selectați Servicii. |
2 | Sub Securitatea datelor hibride, faceți clic pe Setări. |
3 | În secțiunea Modul de încercare din zona de stare a serviciului, faceți clic pe Adăugare utilizatori sau faceți clic pe vizualizare și editare pentru a elimina utilizatorii din trial. |
4 | Introduceți adresa de e-mail a unuia sau mai multor utilizatori pentru a adăuga sau faceți clic pe X de către un ID de utilizator pentru a elimina utilizatorul din încercare. Apoi faceți clic Salvați . |
Mutați de la încercare la producție
1 | Conectați-vă la Control Hub, apoi selectați Servicii. |
2 | Sub Securitatea datelor hibride, faceți clic pe Setări. |
3 | În secțiunea Stare serviciu, faceți clic pe Mutare în producție. |
4 | Confirmați că doriți să mutați toți utilizatorii la producție. |
Încheiați procesul fără a trece la producție
1 | Conectați-vă la Control Hub, apoi selectați Servicii. |
2 | Sub Securitatea datelor hibride, faceți clic pe Setări. |
3 | În secțiunea Dezactivare, faceți clic pe Dezactivare. |
4 | Confirmați că doriți să dezactivați serviciul și să finalizați procesul. |
Gestionați implementarea HDS
Utilizați sarcinile descrise aici pentru a gestiona implementarea securității datelor hibride.
Setați programul de upgrade al clusterului
Pentru a seta programul de upgrade:
1 | Conectați-vă la Control Hub . |
2 | Pe pagina Prezentare generală, în secțiunea Servicii hibride, selectați Securitatea datelor hibride. |
3 | Pe pagina Resurse de securitate a datelor hibride, selectați clusterul. |
4 | În panoul Prezentare generală din dreapta, în secțiunea Setări cluster, selectați numele clusterului. |
5 | Pe pagina Setări, în secțiunea Upgrade, selectați ora și fusul orar pentru programul de upgrade. Notă: În cadrul fusului orar, se afișează următoarea dată și oră de upgrade disponibile. Puteți amâna upgrade-ul până în ziua următoare, dacă este necesar, făcând clic pe Amânare. |
Modificarea configurației nodului
Modificarea certificatelor x.509 din cauza expirării sau din alte motive.
Nu acceptăm schimbarea nume domeniu CN al unui certificat. Domeniul trebuie să corespundă domeniului inițial utilizat pentru înregistrarea clusterului.
Actualizarea setărilor bazei de date pentru a trece la o replică a bazei de date PostgreSQL sau Microsoft SQL Server.
Nu acceptăm migrarea datelor de la PostgreSQL la Microsoft SQL Server sau invers. Pentru a comuta mediul bazei de date, începeți o nouă implementare a Hybrid Data Security.
Crearea unei noi configurații pentru pregătirea unui nou centru de date.
De asemenea, din motive de securitate, Hybrid Data Security utilizează parole ale cont al serviciului care au o durată de viață de nouă luni. După ce instrumentul de configurare HDS generează aceste parole, le implementați în fiecare dintre nodurile HDS din fișierul de configurare ISO . Când parolele organizației dvs. se apropie de expirare, primiți o notificare de la echipa Webex prin care vă rugăm să resetați parola pentru contul computerului dvs. (E-mailul include textul „Utilizați API -ul contului de computer pentru a actualiza parola.”) Dacă parolele nu au expirat încă, instrumentul vă oferă două opțiuni:
Resetare soft —Parolele vechi și noi sunt valabile până la 10 zile. Utilizați această perioadă pentru a înlocui treptat fișierul ISO pe noduri.
Resetare hardware — Parolele vechi nu mai funcționează imediat.
Dacă parolele expiră fără resetare, acest lucru afectează serviciul HDS, necesitând o resetare hardware imediată și înlocuirea fișierului ISO pe toate nodurile.
Utilizați această procedură pentru a genera un nou fișier ISO de configurare și a-l aplica clusterului dvs.
Înainte de a începe
Instrumentul de configurare HDS rulează ca container Docker pe un computer local. Pentru a-l accesa, rulați Docker pe acel computer. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi complete de administrator pentru organizația dvs.
Dacă instrumentul de configurare HDS rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin variabilele de mediu Docker atunci când ridicați containerul Docker în 1.e. Acest tabel oferă câteva variabile de mediu posibile:
Descriere
Variabilă
Proxy HTTP fără autentificare
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS fără autentificare
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP cu autentificare
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS cu autentificare
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Aveți nevoie de o copie a fișierului ISO de configurare curentă pentru a genera o nouă configurație. ISO conține cheia principală de criptare a bazei de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de ISO când efectuați modificări de configurare, inclusiv date de autentificare în baza de date, actualizări de certificate sau modificări ale politicii de autorizare.
1 | Utilizând Docker pe un computer local, rulați Instrumentul de configurare HDS. |
2 | Dacă aveți un singur nod HDS care rulează , creați un nou VM nod Hybrid Data Security și înregistrați-l utilizând noul fișier ISO de configurare. Pentru instrucțiuni mai detaliate, consultați Creați și înregistrați mai multe noduri. |
3 | Pentru nodurile HDS existente care rulează fișierul de fișier de configurare mai vechi , montați fișierul ISO . Efectuați următoarea procedură pe fiecare nod pe rând, actualizând fiecare nod înainte de a opri următorul nod: |
4 | Repetați pasul 3 pentru a înlocui configurația pe fiecare nod rămas care rulează configurația veche. |
Dezactivați Modul De Rezoluție DNS Externă Blocat
Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează aspectul DNS și conectivitatea la cloudul Cisco Webex. Dacă serverul DNS al nodului nu poate rezolva numele DNS publice, nodul intră automat în modul de Rezoluție DNS Externă Blocată.
Dacă nodurile dvs. sunt capabile să rezolve numele DNS publice prin intermediul serverelor DNS interne, puteți dezactiva acest mod prin reactivarea testului de conexiune proxy pe fiecare nod.
Înainte de a începe
1 | Într-un browser web, deschideți interfața nodului de securitate a datelor hibride (adresă IP/configurare, de exemplu, https://192.0.2.0/setup), introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare. |
2 | Accesați Prezentare generală (pagina implicită). Când este activat, Rezoluție DNS externă blocată este setat la Da . |
3 | Accesați pagina Trust Store & Proxy . |
4 | Faceți clic pe Verificare conexiune proxy. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a avut succes, nodul nu a putut ajunge la serverul DNS și va rămâne în acest mod. În caz contrar, după ce reporniți nodul și reveniți la pagina Prezentare generală , Rezoluția DNS externă blocată trebuie setată la nr. |
Ce este de făcut în continuare
Eliminați un nod
1 | Utilizați clientul VMware vSphere de pe computer pentru a vă conecta la gazda virtuală ESXi și pentru a dezactiva mașina virtuală. |
2 | Eliminați nodul: |
3 | În clientul vSphere, ștergeți VM. (În panoul de navigare din stânga, faceți clic dreapta pe VM și faceți clic pe Ștergere.) Dacă nu ștergeți VM, nu uitați să dezasamblați fișierul de configurare ISO. Fără fișierul ISO, nu puteți utiliza VM pentru a accesa datele de securitate. |
Recuperare dezastre utilizând Centrul de date standby
Cel mai important serviciu pe care îl oferă clusterul de securitate a datelor hibride este crearea și stocarea de taste utilizate pentru criptarea mesajelor și a altor conținuturi stocate în cloudul Webex. Pentru fiecare utilizator din cadrul organizației care este atribuit securității datelor hibride, noile solicitări de creare a cheii sunt direcționate către cluster. Clusterul este, de asemenea, responsabil pentru returnarea cheilor pe care le-a creat oricărui utilizator autorizat să le recupereze, de exemplu, membrii unui spațiu de conversație.
Deoarece clusterul îndeplinește funcția critică de furnizare a acestor chei, este imperativ ca clusterul să rămână în funcțiune și să fie menținute backup-uri corespunzătoare. Pierderea bazei de date Hybrid Data Security sau a configurației ISO utilizate pentru schemă va duce la PIERDEREA INRECUPERABILĂ a conținutului clientului. Următoarele practici sunt obligatorii pentru a preveni o astfel de pierdere:
Dacă un dezastru face ca implementarea HDS în centrul de date principal să devină indisponibilă, urmați această procedură pentru a eșua manual la centrul de date standby.
1 | Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS. | ||
2 | După configurarea serverului Syslogd, faceți clic pe Setări avansate | ||
3 | Pe pagina Setări avansate, adăugați configurația de mai jos sau eliminați
| ||
4 | Completați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit. | ||
5 | Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare. | ||
6 | În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări.. | ||
7 | Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Fișier ISO Datastore.
| ||
8 | Activați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute. | ||
9 | Repetați procesul pentru fiecare nod din centrul de date standby.
|
Ce este de făcut în continuare
(Opțional) Dezasamblare ISO După configurarea HDS
Configurația standard HDS rulează cu ISO montat. Dar, unii clienți preferă să nu lase fișierele ISO montate în mod continuu. Puteți demonta fișierul ISO după ce toate nodurile HDS preiau noua configurație.
Utilizați în continuare fișierele ISO pentru a face modificări de configurare. Când creați un nou ISO sau actualizați un ISO prin Instrumentul de configurare, trebuie să montați ISO actualizat pe toate nodurile HDS. După ce toate nodurile dvs. au preluat modificările de configurare, puteți demonta din nou ISO cu această procedură.
Înainte de a începe
Actualizați toate nodurile HDS la versiunea 2021.01.22.4720 sau o versiune ulterioară.
1 | Închideți unul dintre nodurile HDS. |
2 | În dispozitivul server vCenter, selectați nodul HDS. |
3 | Alegeți ISO Datastore. și debifați fișierul |
4 | Alimentați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 20 de minute. |
5 | Repetați pentru fiecare nod HDS la rândul său. |
Vizualizare alerte și depanare
O implementare a securității datelor hibride este considerată indisponibilă dacă toate nodurile din cluster sunt inaccesibile sau clusterul funcționează atât de lent încât solicită timp de excludere. Dacă utilizatorii nu pot ajunge la clusterul dvs. de securitate a datelor hibride, aceștia experimentează următoarele simptome:
Nu se pot crea spații noi (nu se pot crea chei noi)
Mesajele și titlurile spațiului nu pot fi decriptate pentru:
Utilizatori noi adăugați într-un spațiu (nu se pot prelua tastele)
Utilizatorii existenți dintr-un spațiu care utilizează un client nou (nu pot prelua tastele)
Utilizatorii existenți într-un spațiu vor continua să ruleze cu succes atâta timp cât clienții lor au un cache al cheilor de criptare
Este important să monitorizați în mod corespunzător clusterul de securitate a datelor hibride și să adresați imediat orice alerte pentru a evita perturbarea serviciului.
Alerte
Dacă există o problemă cu configurarea securității datelor hibride, Control Hub afișează alerte administratorului organizației și trimite e-mailuri la adresa de e-mail configurată. Alertele acoperă multe scenarii comune.
Alerte | Acțiune |
---|---|
Eșecul accesului la baza de date locală. |
Verificați erorile bazei de date sau problemele de rețea locale. |
Eșecul conexiunii la baza de date locală. |
Verificați dacă serverul bazei de date este disponibil, iar acreditările contului de serviciu corespunzător au fost utilizate în configurația nodului. |
Eșecul accesului la servicii în cloud. |
Verificați dacă nodurile pot accesa serverele Webex astfel cum sunt specificate în cerințele de conectivitate externă. |
Reînnoirea înregistrării serviciului în cloud. |
S-a renunțat la înscrierea în serviciile cloud. Reînnoirea înregistrării este în curs. |
Înscrierea în serviciul Cloud a scăzut. |
Înscrierea la serviciile cloud s-a încheiat. Serviciul se închide. |
Serviciul nu este încă activat. |
Activați un proces sau finalizați mutarea procesului la producție. |
Domeniul configurat nu corespunde certificatului serverului. |
Asigurați-vă că certificatul serverului dvs. corespunde domeniului de activare a serviciului configurat. Cauza cea mai probabilă este că certificatul CN a fost modificat recent și este acum diferit de CN care a fost utilizat în timpul configurării inițiale. |
Nu s-a reușit autentificarea la serviciile cloud. |
Verificați acuratețea și posibila expirare a acreditărilor contului de serviciu. |
Nu s-a reușit deschiderea fișierului local de keystore. |
Verificați integritatea și precizia parolei în fișierul de keystore local. |
Certificatul serverului local este nevalid. |
Verificați data de expirare a certificatului serverului și confirmați că acesta a fost eliberat de o autoritate de certificare de încredere. |
Nu se pot posta măsurători. |
Verificați accesul la rețeaua locală la serviciile cloud externe. |
directorul /media/configdrive/hds nu există. |
Verificați configurația de montare ISO pe gazda virtuală. Verificați dacă fișierul ISO există, dacă este configurat să fie montat pe repornire și dacă se montează cu succes. |
Depanarea securității datelor hibride
1 | Revizuiți Control Hub pentru orice alerte și remediați orice elemente pe care le găsiți acolo. |
2 | Revizuiți ieșirea serverului syslog pentru activitatea din implementarea securității datelor hibride. |
3 | Contactați asistența Cisco. |
Probleme cunoscute pentru securitatea datelor hibride
Dacă închideți clusterul de securitate a datelor hibride (prin ștergerea acestuia în Control Hub sau prin închiderea tuturor nodurilor), pierdeți fișierul ISO de configurare sau pierdeți accesul la baza de date Keystore, utilizatorii aplicației Webex nu mai pot utiliza spații din lista lor de persoane care au fost create cu tastele din KMS. Acest lucru este valabil atât pentru operațiunile de încercare, cât și pentru operațiunile de producție. În prezent, nu avem un loc de muncă sau o soluție pentru această problemă și vă solicităm să nu închideți serviciile HDS odată ce acestea gestionează conturile de utilizator active.
Un client care are o conexiune ECDH existentă la un KMS menține acea conexiune pentru o perioadă de timp (probabil o oră). Atunci când un utilizator devine membru al unui proces de securitate a datelor hibride, clientul utilizatorului continuă să utilizeze conexiunea ECDH existentă până la expirarea acesteia. Alternativ, utilizatorul se poate deconecta și reconecta la aplicația Aplicației Webex pentru a actualiza locația pe care aplicația o contactează pentru cheile de criptare.
Același comportament apare atunci când mutați un proces la producție pentru organizație. Toți utilizatorii non-trial cu conexiuni ECDH existente la serviciile anterioare de securitate a datelor vor continua să utilizeze aceste servicii până când conexiunea ECDH este renegociată (prin expirare sau prin deconectare și reconectare).
Utilizați OpenSSL pentru a genera un fișier PKCS12
Înainte de a începe
OpenSSL este un instrument care poate fi folosit pentru a face fișierul PKCS12 în formatul adecvat pentru încărcare în instrumentul de configurare HDS. Există alte modalități de a face acest lucru, și nu sprijinim sau promovăm un mod peste altul.
Dacă alegeți să utilizați OpenSSL, oferim această procedură ca ghid pentru a vă ajuta să creați un fișier care îndeplinește cerințele certificatului X.509 din X.509 Cerințe de certificat. Înțelegeți aceste cerințe înainte de a continua.
Instalați OpenSSL într-un mediu acceptat. Consultați https://www.openssl.org pentru software și documentație.
Creați o tastă privată.
Începeți această procedură atunci când primiți certificatul de server de la Autoritatea dvs. de certificare (CA).
1 | Când primiți certificatul de server de la CA, salvați-l ca |
2 | Afișați certificatul ca text și verificați detaliile.
|
3 | Utilizați un editor de text pentru a crea un fișier de pachet de certificate numit
|
4 | Creați fișierul .p12 cu numele prietenos
|
5 | Verificați detaliile certificatului serverului. |
Ce este de făcut în continuare
Reveniți la Completarea Condițiilor prealabile pentru securitatea datelor hibride. Veţi utiliza hdsnode.p12
fișier și parola pe care ați setat-o pentru acesta, în Creați un ISO de configurare pentru gazdele HDS.
Puteți reutiliza aceste fișiere pentru a solicita un nou certificat atunci când certificatul original expiră. |
Trafic între nodurile HDS și cloud
Trafic colecție metrică de ieșire
Nodurile de securitate a datelor hibride trimit anumite măsurători în cloudul Webex. Acestea includ măsurători de sistem pentru înălțimea maximă, înălțimea utilizată, sarcina CPU și numărul de fire; măsurători pe fire sincrone și asincronice; măsurători pe alerte care implică un prag de conexiuni de criptare, latență sau o lungime a cozii de solicitare; măsurători pe placa de date; și măsurători de conexiune de criptare. Nodurile trimit material cheie criptat printr-un canal în afara benzii (separat de solicitare).
Trafic de intrare
Nodurile de securitate a datelor hibride primesc următoarele tipuri de trafic de intrare din cloudul Webex:
Cereri de criptare de la clienți, care sunt rutate de serviciul de criptare
Actualizări la software-ul nodului
Configurați proxy-urile Squid pentru securitatea datelor hibride
Șoseta web nu se poate Conecta Prin Proxy Squid
Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea websocket ( wss:
) conexiuni care necesită Securitatea datelor hibride. Aceste secțiuni oferă îndrumări cu privire la modul de configurare a diferitelor versiuni de Squid pentru a ignora wss:
trafic pentru buna funcționare a serviciilor.
Squid 4 și 5
Adăugați on_unsupported_protocol
directivă privind squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Am testat cu succes Securitatea datelor hibride cu următoarele reguli adăugate la squid.conf
. Aceste reguli se pot modifica pe măsură ce dezvoltăm caracteristici și actualizăm cloudul Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Informații noi și modificate
Dată | Modificări efectuate | ||
---|---|---|---|
20 octombrie 2023 |
| ||
07 august 2023 |
| ||
23 mai 2023 |
| ||
06 decembrie 2022 |
| ||
23 noiembrie 2022 |
| ||
13 octombrie 2021 | Docker Desktop trebuie să ruleze un program de configurare înainte de a putea instala noduri HDS. Consultați Cerințele de desktop ale Docker. | ||
24 iunie 2021 | Rețineți că puteți reutiliza fișierul cu tastatură privată și CSR pentru a solicita un alt certificat. Consultați Utilizarea OpenSSL pentru a genera un fișier PKCS12 pentru detalii. | ||
30 aprilie 2021 | A schimbat cerința VM pentru spațiul local pe hard disk la 30 GB. Consultați Cerințele Gazdei Virtuale pentru detalii. | ||
24 februarie 2021 | Instrumentul de configurare HDS poate rula acum în spatele unui proxy. Consultați Creați un ISO de configurare pentru gazdele HDS pentru detalii. | ||
2 februarie 2021 | HDS poate rula acum fără un fișier ISO montat. Consultați (Opțional) Dezasamblarea ISO după configurarea HDS pentru detalii. | ||
11 ianuarie 2021 | Au fost adăugate informații despre instrumentul de configurare HDS și proxy-uri pentru a crea un ISO de configurare pentru gazdele HDS. | ||
13 octombrie 2020 | Fișiere de instalare Descărcare actualizate. | ||
8 octombrie 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS și modificați configurația nodului cu comenzi pentru mediile FedRAMP. | ||
14 august 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS și modificați configurația nodului cu modificări ale procesului de conectare. | ||
5 august 2020 | Actualizat Testați implementarea securității datelor hibride pentru modificări ale mesajelor jurnal. S-au actualizat Cerințele Gazdei Virtuale pentru a elimina numărul maxim de gazde. | ||
16 iunie 2020 | Actualizat Eliminați un nod pentru modificările din interfața cu utilizatorul Control Hub. | ||
4 iunie 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS pentru modificările din Setările avansate pe care le-ați putea seta. | ||
29 mai 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS pentru a afișa puteți utiliza, de asemenea, TLS cu baze de date SQL Server, modificări de interfață de utilizator și alte clarificări. | ||
5 mai 2020 | Actualizat Cerințele Gazdei Virtuale pentru a afișa noua cerință a ESXi 6.5. | ||
21 aprilie 2020 | Actualizat Cerințe de conectivitate externă cu noi gazde CI din America. | ||
Aprilie 1, 2020 | Actualizat Cerințele de conectivitate externă cu informații despre gazdele regionale CI. | ||
20 februarie 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS cu informații despre noul ecran opțional de setări avansate din instrumentul de configurare HDS. | ||
4 februarie 2020 | Cerințe server proxy actualizate. | ||
16 decembrie 2019 | A clarificat cerința ca modul de rezoluție DNS extern blocat să funcționeze în cerințele serverului proxy. | ||
19 noiembrie 2019 | Au fost adăugate informații despre modul de rezoluție DNS extern blocat în următoarele secțiuni: | ||
8 noiembrie 2019 | Acum puteți configura setările de rețea pentru un nod în timp ce implementați OVA, mai degrabă decât ulterior. Actualizat în consecință următoarele secțiuni:
| ||
6 septembrie 2019 | S-a adăugat standardul SQL Server la cerințele serverului bazei de date. | ||
august 29, 2019 | A fost adăugată Configurarea proxy-urilor Squid pentru securitatea datelor hibride , cu îndrumări privind configurarea proxy-urilor Squid pentru a ignora traficul websocket pentru funcționarea corespunzătoare. | ||
20 august 2019 | Secțiuni adăugate și actualizate pentru a acoperi asistența proxy pentru comunicațiile nodului de securitate a datelor hibride în cloudul Webex. Pentru a accesa doar conținutul de asistență proxy pentru o implementare existentă, consultați Asistența proxy pentru securitatea datelor hibride și articolul de ajutor Webex Video Mesh . | ||
13 iunie 2019 | A fost actualizat Fluxul de activități de producție cu un memento pentru a sincroniza HdsTrialGroup obiectul de grup înainte de a începe un trial dacă organizația dvs. utilizează sincronizarea directorului. | ||
6 martie 2019 |
| ||
februarie 28, 2019 |
| ||
26 februarie 2019 |
| ||
24 ianuarie 2019 |
| ||
noiembrie 5, 2018 |
| ||
19 octombrie 2018 |
| ||
31 iulie 2018 |
| ||
21 mai 2018 | Terminologia modificată pentru a reflecta rebranding-ul Cisco Spark:
| ||
11 aprilie 2018 |
| ||
22 februarie 2018 |
| ||
februarie 15, 2018 |
| ||
ianuarie 18, 2018 |
| ||
noiembrie 2, 2017 |
| ||
18 august 2017 | Prima publicare |
Prezentare generală a securității datelor hibride
Începând cu prima zi, securitatea datelor a fost accentul principal în proiectarea Aplicației Webex. Piatra de temelie a acestei securități este criptarea conținutului end-to-end, activată de clienții aplicației Webex care interacționează cu Serviciul de gestionare a cheilor (KMS). KMS este responsabil pentru crearea și gestionarea cheilor criptografice pe care clienții le utilizează pentru a cripta și decripta în mod dinamic mesajele și fișierele.
În mod implicit, toți clienții Aplicației Webex primesc criptare end-to-end cu chei dinamice stocate în KMS cloud, în domeniul de securitate al Cisco. Hybrid Data Security mută KMS și alte funcții legate de securitate în centrul de date la nivel de întreprindere dvs., astfel încât nimeni în afară de dvs. să nu dețină cheile conținutului dvs. criptat.
Arhitectură Realm de securitate
Arhitectura cloud Webex separă diferite tipuri de servicii în domenii separate sau domenii de încredere, după cum este descris mai jos.
Pentru a înțelege în continuare securitatea datelor hibride, să ne uităm mai întâi la acest caz cloud pur, în care Cisco oferă toate funcțiile din domeniile sale cloud. Serviciul de identitate, singurul loc în care utilizatorii pot fi direct corelați cu informațiile lor personale, cum ar fi adresa de e-mail, este separat în mod logic și fizic de domeniul de securitate din centrul de date B. Ambele sunt, la rândul lor, separate de domeniul în care conținutul criptat este stocat în cele din urmă, în centrul de date C.
În această diagramă, clientul este aplicația Webex care rulează pe laptopul unui utilizator și s-a autentificat cu serviciul de identitate. Când utilizatorul compune un mesaj pentru a trimite într-un spațiu, au loc următorii pași:
Clientul stabilește o conexiune securizată cu serviciul de gestionare a cheilor (KMS), apoi solicită o cheie pentru a cripta mesajul. Conexiunea securizată utilizează ECDH, iar KMS criptează cheia utilizând o cheie principală AES-256.
Mesajul este criptat înainte de a părăsi clientul. Clientul îl trimite la serviciul de indexare, care creează indexuri de căutare criptate pentru a ajuta în căutările viitoare pentru conținut.
Mesajul criptat este trimis serviciului de conformitate pentru verificări de conformitate.
Mesajul criptat este stocat în domeniul de stocare.
Când implementați Securitatea datelor hibride, mutați funcțiile domeniului de securitate (KMS, indexare și conformitate) în centrul dvs. de date local. Celelalte servicii cloud care alcătuiesc Webex (inclusiv stocarea identității și a conținutului) rămân în domeniile Cisco.
Colaborarea cu Alte Organizații
Utilizatorii din organizația dvs. pot utiliza în mod regulat Aplicația Webex pentru a colabora cu participanți externi din alte organizații. Când unul dintre utilizatorii dvs. solicită o cheie pentru un spațiu care este deținut de organizația dvs. (deoarece a fost creat de unul dintre utilizatorii dvs.), KMS trimite cheia către client printr-un canal ECDH securizat. Cu toate acestea, atunci când o altă organizație deține cheia pentru spațiu, KMS-ul direcționează cererea către cloudul Webex printr-un canal ECDH separat pentru a obține cheia de la KMS-ul corespunzător și apoi returnează cheia către utilizatorul dvs. pe canalul original.
Serviciul KMS care rulează pe Org A validează conexiunile la KMS în alte organizații utilizând x.509 certificate PKI. Consultați Pregătiți-vă mediul pentru detalii despre generarea unui certificat x.509 pe care să-l utilizați cu implementarea securității datelor hibride.
Așteptări pentru implementarea securității datelor hibride
O implementare a securității datelor hibride necesită un angajament semnificativ din partea clienților și o conștientizare a riscurilor pe care le implică deținerea cheilor de criptare.
Pentru a implementa securitatea datelor hibride, trebuie să furnizați:
Un centru de date securizat într-o țară care este o locație acceptată pentru planurile Cisco Webex Teams.
Echipamentul, software-ul și accesul la rețea descrise în Pregătirea Mediului.
Pierderea completă a configurației ISO pe care o construiți pentru securitatea datelor hibride sau a bazei de date pe care o furnizați va duce la pierderea tastelor. Pierderea tastelor împiedică utilizatorii să decripteze conținutul spațiului și alte date criptate în Aplicația Webex. Dacă se întâmplă acest lucru, puteți construi o nouă implementare, dar numai conținut nou va fi vizibil. Pentru a evita pierderea accesului la date, trebuie:
Gestionați backup-ul și recuperarea bazei de date și configurația ISO.
Fiți pregătiți să efectuați recuperarea rapidă a dezastrelor dacă apare o catastrofă, cum ar fi defectarea discului de bază de date sau dezastrul centrului de date.
Nu există niciun mecanism pentru a muta cheile înapoi în Cloud după o implementare HDS. |
Proces de configurare la nivel înalt
Acest document acoperă configurarea și gestionarea implementării securității datelor hibride:
Configurați securitatea datelor hibride—Aceasta include pregătirea infrastructurii necesare și instalarea software-ului de securitate a datelor hibride, testarea implementării dvs. cu un subset de utilizatori în modul de încercare și, odată ce testarea dvs. este finalizată, trecerea la producție. Aceasta convertește întreaga organizație pentru a utiliza clusterul dvs. de securitate a datelor hibride pentru funcțiile de securitate.
Fazele de configurare, încercare și producție sunt acoperite în detaliu în următoarele trei capitole.
Mențineți implementarea securității datelor hibride—cloud-ul Webex oferă automat upgrade-uri în curs. Departamentul dvs. IT poate oferi un singur nivel de asistență pentru această implementare și poate angaja asistență Cisco după cum este necesar. Puteți utiliza notificări pe ecran și puteți configura alerte pe bază de e-mail în Control Hub.
Înțelegerea alertelor comune, a pașilor de depanare și a problemelor cunoscute—Dacă întâmpinați probleme la implementarea sau utilizarea securității datelor hibride, ultimul capitol din acest ghid și apendicele Probleme cunoscute vă pot ajuta să determinați și să remediați problema.
Model de implementare a securității datelor hibride
În cadrul centrului dvs. de date al întreprinderii, implementați Securitatea datelor hibride ca un singur grup de noduri pe gazde virtuale separate. Nodurile comunică cu cloudul Webex prin prize web securizate și HTTP securizat.
În timpul procesului de instalare, vă oferim fișierul OVA pentru a configura dispozitivul virtual pe VMs pe care le furnizați. Utilizați instrumentul de configurare HDS pentru a crea un fișier ISO de configurare a clusterului personalizat pe care îl montați pe fiecare nod. Clusterul de securitate a datelor hibride utilizează serverul Syslogd furnizat și baza de date PostgreSQL sau Microsoft SQL Server. (Configurați detaliile conexiunii Syslogd și a bazei de date în Instrumentul de configurare HDS.)
Numărul minim de noduri pe care le puteți avea într-un cluster este de două. Vă recomandăm cel puțin trei, și puteți avea până la cinci. Existența mai multor noduri asigură faptul că serviciul nu este întrerupt în timpul unui upgrade de software sau al unei alte activități de întreținere pe un nod. (Cloudul Webex actualizează doar un nod la un moment dat.)
Toate nodurile dintr-un cluster accesează aceeași bază de date cu tastatură și înregistrează activitatea pe același server syslog. Nodurile în sine sunt apatride și se ocupă de solicitările cheie în modul rotund-robin, așa cum este direcționat de cloud.
Nodurile devin active atunci când le înregistrați în Control Hub. Pentru a scoate un nod individual din serviciu, îl puteți desînregistra și apoi îl puteți reînregistra, dacă este necesar.
Sprijinim doar un singur cluster per organizație.
Mod de încercare pentru securitatea datelor hibride
După configurarea unei implementări de securitate a datelor hibride, încercați mai întâi cu un set de utilizatori pilot. În timpul perioadei de încercare, acești utilizatori utilizează domeniul local de securitate a datelor hibride pentru cheile de criptare și alte servicii din domeniul de securitate. Ceilalți utilizatori continuă să utilizeze domeniul de securitate cloud.
Dacă decideți să nu continuați implementarea în timpul perioadei de încercare și să dezactivați serviciul, utilizatorii pilot și orice utilizatori cu care au interacționat prin crearea de spații noi în timpul perioadei de încercare vor pierde accesul la mesaje și conținut. Aceștia vor vedea „Acest mesaj nu poate fi decriptat” în aplicația Webex.
Dacă sunteți mulțumit că implementarea dvs. funcționează bine pentru utilizatorii de încercare și sunteți pregătit să extindeți Securitatea datelor hibride la toți utilizatorii dvs., mutați implementarea în producție. Utilizatorii pilot continuă să aibă acces la cheile care au fost utilizate în timpul încercării. Cu toate acestea, nu se poate muta înapoi și înainte între modul de producție și procesul inițial. Dacă trebuie să dezactivați serviciul, cum ar fi pentru a efectua recuperarea dezastrelor, atunci când reactivați, trebuie să începeți o nouă încercare și să configurați setul de utilizatori pilot pentru noua încercare înainte de a reveni la modul de producție. Dacă utilizatorii păstrează accesul la date în acest moment depinde de faptul dacă ați menținut cu succes copii de rezervă ale stocului de date cheie și ale fișierului de configurare ISO pentru nodurile de securitate a datelor hibride din cluster.
Centrul de date standby pentru recuperarea dezastrelor
În timpul implementării, ați configurat un centru de date standby securizat. În cazul unui dezastru al unui centru de date, puteți eșua manual implementarea în centrul de date standby.
Bazele de date ale centrelor de date active și standby sunt în sincronizare unele cu altele, ceea ce va reduce la minimum timpul necesar pentru a efectua eșecul. Fișierul ISO al centrului de date standby este actualizat cu configurații suplimentare care asigură că nodurile sunt înregistrate în organizație, dar nu vor gestiona traficul. Prin urmare, nodurile centrului de date standby rămân întotdeauna la zi cu cea mai recentă versiune de software HDS.
Nodurile active de securitate a datelor hibride trebuie să fie întotdeauna în același centru de date ca serverul de bază de date activă. |
Configurarea Centrului de date standby pentru recuperarea dezastrelor
Urmați pașii de mai jos pentru a configura fișierul ISO al centrului de date standby:
Înainte de a începe
Centrul de date standby trebuie să reflecte mediul de producție al VMs și o bază de date PostgreSQL sau Microsoft SQL Server de rezervă. De exemplu, dacă producția are 3 VMs care rulează noduri HDS, mediul de rezervă ar trebui să aibă 3 VMs. (Consultați Standby Data Center for Disaster Recovery pentru o prezentare generală a acestui model de eșec.)
Asigurați-vă că sincronizarea bazei de date este activată între baza de date a nodurilor de cluster active și pasive.
1 | Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.
| ||
2 | După configurarea serverului Syslogd, faceți clic pe Setări avansate | ||
3 | Pe pagina Setări avansate, adăugați configurația de mai jos pentru a plasa nodul în modul pasiv. În acest mod, nodul va fi înregistrat în organizație și conectat la cloud, dar nu va gestiona niciun trafic.
| ||
4 | Completați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit. | ||
5 | Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare. | ||
6 | În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări.. | ||
7 | Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Fișier ISO Datastore.
| ||
8 | Activați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute. | ||
9 | Repetați procesul pentru fiecare nod din centrul de date standby.
|
Ce este de făcut în continuare
După configurare passiveMode
în fișierul ISO și salvându-l, puteți crea o altă copie a fișierului ISO fără passiveMode
configurare și salvați-l într-o locație sigură. Această copie a fișierului ISO fără passiveMode
configurat poate ajuta într-un proces rapid de eșec în timpul recuperării dezastrelor. Consultați Recuperarea dezastrelor utilizând Centrul de date standby pentru procedura detaliată de nereușită.
Asistență proxy
Securitatea datelor hibride acceptă inspecții explicite, transparente și proxy-uri neinspectate. Puteți lega aceste proxy-uri de implementarea dvs., astfel încât să puteți securiza și monitoriza traficul de la întreprindere la cloud. Puteți utiliza o interfață de administrare a platformei pe noduri pentru gestionarea certificatelor și pentru a verifica starea generală a conectivității după ce ați configurat proxy-ul pe noduri.
Nodurile de securitate a datelor hibride acceptă următoarele opțiuni proxy:
Fără proxy—Implicit dacă nu utilizați configurația de configurare a nodului HDS Trust Store și proxy pentru a integra un proxy. Nu este necesară nicio actualizare a certificatului.
Proxy fără inspecție transparent—Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy și nu ar trebui să necesite nicio modificare pentru a lucra cu un proxy fără inspecție. Nu este necesară nicio actualizare a certificatului.
Tunelare transparentă sau inspecție proxy—Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy. Nu sunt necesare modificări ale configurației HTTP sau HTTPS pe noduri. Cu toate acestea, nodurile au nevoie de un certificat rădăcină, astfel încât să aibă încredere în proxy. De obicei, proxy-urile de inspecție sunt utilizate de IT pentru a pune în aplicare politicile pe care site-urile pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).
Proxy explicit—Cu proxy explicit, spuneți nodurilor HDS ce server proxy și sistem de autentificare să utilizați. Pentru a configura un proxy explicit, trebuie să introduceți următoarele informații pe fiecare nod:
IP proxy/FQDN—Adresă care poate fi utilizată pentru a ajunge la utilajul proxy.
Portul proxy—Un număr de port pe care proxy-ul îl folosește pentru a asculta traficul proxy.
Proxy Protocol—În funcție de ce acceptă serverul dvs. proxy, alegeți între următoarele protocoale:
HTTP—Vizualizează și controlează toate solicitările pe care clientul le trimite.
HTTPS—Oferă un canal serverului. Clientul primește și validează certificatul serverului.
Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:
Niciuna – Nu este necesară autentificarea suplimentară.
Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
De bază—Utilizat pentru un agent de utilizator HTTP pentru a furniza un nume de utilizator și o parolă atunci când efectuați o solicitare. Utilizează codificarea Base64.
Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
Vă cere să introduceți numele de utilizator și parola pe fiecare nod.
Digest—Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite în rețea.
Disponibil numai dacă selectați HTTPS ca protocol proxy.
Vă cere să introduceți numele de utilizator și parola pe fiecare nod.
Exemplu de noduri hibride de securitate a datelor și proxy
Această diagramă arată o conexiune de exemplu între securitatea datelor hibride, rețea și un proxy. Pentru inspectarea transparentă și opțiunile HTTPS de inspecție explicită a proxy-urilor, trebuie instalat același certificat rădăcină pe proxy și pe nodurile de securitate a datelor hibride.
Modul de rezoluție DNS extern blocat (configurații proxy explicite)
Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează aspectul DNS și conectivitatea la cloudul Cisco Webex. În implementările cu configurații proxy explicite care nu permit rezoluția DNS externă pentru clienții interni, dacă nodul nu poate interoga serverele DNS, acesta intră automat în modul de Rezoluție DNS Externă Blocată. În acest mod, pot continua testele de înregistrare a nodurilor și alte teste de conectivitate proxy.
Cerințe privind securitatea datelor hibride
Cerințe de licență Cisco Webex
Pentru implementarea securității datelor hibride:
Trebuie să aveți un pachet Pro pentru Cisco Webex Control Hub. (Consultați https://www.cisco.com/go/pro-pack.)
Cerințe Docker Desktop
Înainte de a instala nodurile HDS, aveți nevoie de Docker Desktop pentru a rula un program de configurare. Docker și-a actualizat recent modelul de licențiere. Este posibil ca organizația dvs. să necesite un abonament cu plată pentru Docker Desktop. Pentru detalii, consultați postarea de pe blogul Docker, " Docker actualizează și extinde abonamentele noastre la produse ".
X.509 Cerințe privind certificatul
Lanțul certificatului trebuie să îndeplinească următoarele cerințe:
Obligatoriu | Detalii |
---|---|
| În mod implicit, avem încredere în CA-urile din lista Mozilla (cu excepția WoSign și StartCom) la https://wiki.mozilla.org/CA:IncludedCAs. |
| CN-ul nu trebuie să fie accesibil sau o gazdă live. Vă recomandăm să utilizați un nume care reflectă organizația dvs., de exemplu, CN nu trebuie să conțină un * (wildcard). CN este utilizat pentru a verifica nodurile de securitate a datelor hibride pentru clienții Aplicației Webex. Toate nodurile de securitate a datelor hibride din clusterul dvs. utilizează același certificat. KMS-ul se identifică utilizând domeniul CN, nu orice domeniu care este definit în câmpurile SAN x.509v3. După ce ați înregistrat un nod cu acest certificat, nu acceptăm schimbarea numelui domeniului CN. Alegeți un domeniu care se poate aplica atât implementărilor de încercare, cât și implementărilor de producție. |
| Software-ul KMS nu acceptă semnăturile SHA1 pentru validarea conexiunilor la KMSs ale altor organizații. |
| Puteți utiliza un convertor, cum ar fi OpenSSL pentru a schimba formatul certificatului. Va trebui să introduceți parola atunci când rulați Instrumentul de configurare HDS. |
Software-ul KMS nu impune utilizarea cheii sau restricții extinse de utilizare a cheii. Unele autorități de certificare impun aplicarea unor restricții extinse de utilizare a cheilor pentru fiecare certificat, cum ar fi autentificarea serverului. Este în regulă să utilizați autentificarea serverului sau alte setări.
Cerințe Gazdă virtuală
Gazdele virtuale pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. au următoarele cerințe:
Cel puțin două gazde separate (3 recomandate) plasate în același centru de date securizat
VMware ESXi 6.5 (sau mai târziu) instalat și rulează.
Trebuie să faceți upgrade dacă aveți o versiune anterioară a ESXi.
Minim 4 vCPU-uri, 8-GB memorie principală, 30-GB spațiu pe hard disk local pe server
Cerințe server bază de date
Creați o nouă bază de date pentru stocarea cheilor. Nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date. |
Există două opțiuni pentru serverul de baze de date. Cerințele pentru fiecare sunt după cum urmează:
PostgreSQL | Server Microsoft SQL | ||
---|---|---|---|
|
| ||
Minim 8 vCPU-uri, 16-GB de memorie principală, suficient spațiu pe hard disk și monitorizare pentru a se asigura că nu este depășit (2-TB recomandat dacă doriți să rulați baza de date pentru o lungă perioadă de timp, fără a fi nevoie de a crește spațiul de stocare) | Minim 8 vCPU-uri, 16-GB de memorie principală, suficient spațiu pe hard disk și monitorizare pentru a se asigura că nu este depășit (2-TB recomandat dacă doriți să rulați baza de date pentru o lungă perioadă de timp, fără a fi nevoie de a crește spațiul de stocare) |
Software-ul HDS instalează în prezent următoarele versiuni de drivere pentru comunicarea cu serverul bazei de date:
PostgreSQL | Server Microsoft SQL |
---|---|
Șofer JDBC Postgres 42.2.5 | Driver JDBC SQL Server 4.6 Această versiune a driverului acceptă SQL Server întotdeauna activat (întotdeauna pe instanțe de cluster nereușite și întotdeauna pe grupuri de disponibilitate). |
Cerințe suplimentare pentru autentificarea Windows împotriva Microsoft SQL Server
Dacă doriți ca nodurile HDS să utilizeze autentificarea Windows pentru a obține acces la baza dvs. de date Keystore pe Microsoft SQL Server, atunci aveți nevoie de următoarea configurație în mediul dvs.:
Nodurile HDS, infrastructura Active Directory și serverul MS SQL trebuie sincronizate cu NTP.
Contul Windows pe care îl furnizați nodurilor HDS trebuie să aibă acces citit/scris la baza de date.
Serverele DNS pe care le furnizați nodurilor HDS trebuie să poată rezolva Centrul dvs. de distribuție a cheilor (KDC).
Puteți înregistra instanța bazei de date HDS pe serverul dvs. Microsoft SQL ca nume principal al serviciului (SPN) în directorul dvs. activ. Consultați Înregistrarea unui nume principal de serviciu pentru conexiunile Kerberos.
Instrumentul de configurare HDS, lansatorul HDS și KMS local trebuie să utilizeze autentificarea Windows pentru a accesa baza de date Keystore. Ei folosesc detaliile din configurația ISO pentru a construi SPN atunci când solicită acces cu autentificarea Kerberos.
Cerințe de conectivitate externă
Configurați firewall-ul pentru a permite următoarea conectivitate pentru aplicațiile HDS:
Aplicație | Protocol | Port | Direcție din aplicație | Destinație |
---|---|---|---|---|
Noduri de securitate a datelor hibride | TCP | 443 | HTTPS de ieșire și WSS |
|
Instrument de configurare HDS | TCP | 443 | HTTPS de ieșire |
|
Nodurile de securitate a datelor hibride funcționează cu traducerea accesului la rețea (NAT) sau în spatele unui firewall, atâta timp cât NAT sau firewall permite conexiunile de ieșire necesare la destinațiile de domeniu din tabelul precedent. Pentru conexiunile care intră în nodurile de securitate a datelor hibride, niciun port nu trebuie să fie vizibil de pe internet. În cadrul centrului dvs. de date, clienții au nevoie de acces la nodurile de securitate a datelor hibride din porturile TCP 443 și 22, în scopuri administrative. |
URL-urile gazdelor pentru identitatea comună (CI) sunt specifice regiunii. Acestea sunt gazdele actuale CI:
Regiune | URL-uri comune ale gazdei pentru identitate |
---|---|
Țările din America |
|
Uniunea Europeană |
|
Canada |
|
Cerințe server proxy
Sprijinim oficial următoarele soluții proxy care se pot integra cu nodurile dvs. de securitate a datelor hibride.
Proxy transparent – Dispozitiv de securitate web Cisco (WSA).
Proxy explicit – Squid.
Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea websocket (wss:) conexiuni. Pentru a lucra la această problemă, consultați Configurarea proxy-urilor Squid pentru securitatea datelor hibride.
Acceptăm următoarele combinații de tip autentificare pentru proxy-uri explicite:
Nicio autentificare cu HTTP sau HTTPS
Autentificare de bază cu HTTP sau HTTPS
Autentificare Digest numai cu HTTPS
Pentru un proxy de inspecție transparent sau un proxy explicit HTTPS, trebuie să aveți o copie a certificatului rădăcină al proxy-ului. Instrucțiunile de implementare din acest ghid vă spun cum să încărcați copia în magazinele de încredere ale nodurilor de securitate a datelor hibride.
Rețeaua care găzduiește nodurile HDS trebuie să fie configurată pentru a forța traficul TCP de ieșire în portul 443 să se deplaseze prin proxy.
Proxy-urile care inspectează traficul web pot interfera cu conexiunile socket-urilor web. Dacă apare această problemă, ocolirea (nu inspectarea) traficului la
wbx2.com
șiciscospark.com
va rezolva problema.
Completați cerințele preliminare pentru securitatea datelor hibride
1 | Asigurați-vă că organizația dvs. Webex este activată pentru pachetul Pro pentru Cisco Webex Control Hub și obțineți acreditările unui cont cu drepturi depline de administrator al organizației. Contactați-vă partenerul Cisco sau managerul de cont pentru ajutor în acest proces. | ||
2 | Alegeți un nume de domeniu pentru implementarea HDS (de exemplu, | ||
3 | Pregătiți gazdele virtuale identice pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. Aveți nevoie de cel puțin două gazde separate (3 recomandate) plasate în același centru de date securizat, care îndeplinesc cerințele din Cerințele Gazdei Virtuale. | ||
4 | Pregătiți serverul bazei de date care va acționa ca un magazin de date cheie pentru cluster, în conformitate cu cerințele serverului bazei de date. Serverul bazei de date trebuie să fie plasat în centrul de date securizat cu gazdele virtuale. | ||
5 | Pentru recuperarea rapidă a dezastrelor, configurați un mediu de rezervă într-un alt centru de date. Mediul de rezervă reflectă mediul de producție al VMs și un server de baze de date de rezervă. De exemplu, dacă producția are 3 VMs care rulează noduri HDS, mediul de rezervă ar trebui să aibă 3 VMs. | ||
6 | Configurați o gazdă syslog pentru a colecta jurnale de la nodurile din cluster. Aduna adresa de rețea și portul syslog (implicit este UDP 514). | ||
7 | Creați o politică de rezervă securizată pentru nodurile de securitate a datelor hibride, serverul bazei de date și gazda syslog. Cel puțin, pentru a preveni pierderea de date nerecuperabile, trebuie să salvați baza de date și fișierul ISO de configurare generat pentru nodurile de securitate a datelor hibride.
Clienții Aplicației Webex își ascund cheile, astfel încât este posibil ca o întrerupere să nu fie vizibilă imediat, dar va deveni evidentă în timp. În timp ce ieșirile temporare sunt imposibil de prevenit, acestea sunt recuperabile. Cu toate acestea, pierderea completă (fără backup-uri disponibile) a bazei de date sau a fișierului ISO de configurare va duce la date client nerecuperabile. Operatorii nodurilor de securitate a datelor hibride se așteaptă să mențină backup-uri frecvente ale bazei de date și ale fișierului ISO de configurare și să fie pregătiți să reconstruiască centrul de date de securitate a datelor hibride în cazul în care apare un eșec catastrofal. | ||
8 | Asigurați-vă că configurația firewall-ului dvs. permite conectivitatea pentru nodurile dvs. de securitate a datelor hibride, astfel cum sunt prezentate în cerințele de conectivitate externă. | ||
9 | Instalați Docker ( https://www.docker.com) pe orice mașină locală care rulează un sistem de operare acceptat (Microsoft Windows 10 Professional sau Enterprise pe 64 de biți sau Mac OSX Yosemite 10.10.3 sau mai sus) cu un browser web care îl poate accesa la http://127.0.0.1:8080. Utilizați instanța Docker pentru a descărca și rula Instrumentul de configurare HDS, care construiește informațiile de configurare locale pentru toate nodurile de securitate a datelor hibride. Este posibil ca organizația dvs. să aibă nevoie de o licență Docker Desktop. Consultați Cerințele Docker Desktop pentru mai multe informații. Pentru a instala și rula Instrumentul de configurare HDS, utilajul local trebuie să aibă conectivitatea descrisă în Cerințele de conectivitate externă. | ||
10 | Dacă integrați un proxy cu securitatea datelor hibride, asigurați-vă că îndeplinește Cerințele serverului proxy. | ||
11 | Dacă organizația dvs. utilizează sincronizarea directorului, creați un grup în Active Directory numit
|
Flux sarcină de implementare a securității datelor hibride
Înainte de a începe
1 | Descărcați fișierele de instalare Descărcați fișierul OVA la utilajul local pentru utilizare ulterioară. | ||
2 | Creați un ISO de configurare pentru gazdele HDS Utilizați instrumentul de configurare HDS pentru a crea un fișier de configurare ISO pentru nodurile de securitate a datelor hibride. | ||
3 |
Creați o mașină virtuală din fișierul OVA și efectuați configurația inițială, cum ar fi setările de rețea.
| ||
4 | Configurați VM-ul de securitate a datelor hibride Conectați-vă la consola VM și setați acreditările de conectare. Configurați setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA. | ||
5 | Încărcați și montați ISO de configurare HDS Configurați VM din fișierul de configurare ISO pe care l-ați creat cu instrumentul de configurare HDS. | ||
6 | Configurați nodul HDS pentru integrarea proxy Dacă mediul de rețea necesită configurare proxy, specificați tipul de proxy pe care îl veți utiliza pentru nod și adăugați certificatul proxy la magazinul de încredere, dacă este necesar. | ||
7 | Înregistrați primul nod în cluster Înregistrați VM cu cloudul Cisco Webex ca nod de securitate a datelor hibrid. | ||
8 | Creați și înregistrați mai multe noduri Finalizați configurarea clusterului. | ||
9 | Efectuați un proces și mutați-vă la producție (capitolul următor) Până când începeți o încercare, nodurile dvs. generează o alarmă care indică faptul că serviciul dvs. nu este încă activat. |
Descărcați fișierele de instalare
1 | Conectați-vă la https://admin.webex.comși apoi faceți clic pe Servicii. | ||||
2 | În secțiunea Servicii hibride, găsiți cardul de securitate a datelor hibride, apoi faceți clic pe Configurare. Dacă cardul este dezactivat sau nu îl vedeți, contactați echipa de cont sau organizația parteneră. Dați-le numărul contului dvs. și solicitați să activați organizația dvs. pentru securitatea datelor hibride. Pentru a găsi numărul contului, faceți clic pe dispozitivul din dreapta sus, lângă numele organizației dvs.
| ||||
3 | Selectați Nu pentru a indica faptul că nu ați configurat încă nodul, apoi faceți clic pe Înainte. Fișierul OVA începe automat să se descarce. Salvați fișierul într-o locație de pe utilajul dvs.
| ||||
4 | Opțional, faceți clic pe Deschidere Ghid de implementare pentru a verifica dacă există o versiune ulterioară a acestui ghid disponibil. |
Creați un ISO de configurare pentru gazdele HDS
Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi utilizați ISO pentru a configura gazda dvs. de securitate a datelor hibride.
Înainte de a începe
Instrumentul de configurare HDS rulează ca container Docker pe un computer local. Pentru a-l accesa, rulați Docker pe acel computer. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi complete de administrator pentru organizația dvs.
Dacă instrumentul de configurare HDS rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin variabilele de mediu Docker atunci când ridicați containerul Docker în pasul 5. Acest tabel oferă câteva variabile de mediu posibile:
Descriere
Variabilă
Proxy HTTP fără autentificare
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS fără autentificare
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP cu autentificare
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS cu autentificare
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Fișierul de configurare ISO pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier oricând efectuați modificări de configurare, cum ar fi acestea:
Informații bază de date
Actualizări certificat
Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile la baza de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.
1 | În linia de comandă a computerului dvs., introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite:
În mediile FedRAMP:
| ||||||||||||
2 | Pentru a vă conecta la registry de imagini Docker, introduceți următoarele:
| ||||||||||||
3 | La solicitarea parolei, introduceți acest hash:
| ||||||||||||
4 | Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite:
În mediile FedRAMP:
| ||||||||||||
5 | Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.:
Când containerul rulează, veți vedea „Serverul Express ascultând pe portul 8080”. | ||||||||||||
6 |
Utilizați un browser web pentru a merge la gazda locală, Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul adecvat pentru acel cont. Instrumentul afișează apoi apelul standard de conectare. | ||||||||||||
7 | Când vi se solicită, introduceți acreditările de conectare ale administratorului clientului Control Hub, apoi faceți clic pe Conectare pentru a permite accesul la serviciile necesare pentru securitatea datelor hibride. | ||||||||||||
8 | Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Get Started. | ||||||||||||
9 | Pe pagina ISO Import aveți aceste opțiuni:
| ||||||||||||
10 | Verificați dacă certificatul dvs. X.509 îndeplinește cerințele din Cerințele de certificare X.509.
| ||||||||||||
11 | Introduceți adresa bazei de date și contul HDS pentru a accesa baza de date cu tastatură: | ||||||||||||
12 | Selectați un mod de conectare la baza de date TLS:
Când încărcați certificatul rădăcină (dacă este necesar) și faceți clic pe Continuare, instrumentul de configurare HDS testează conexiunea TLS la serverul bazei de date. Instrumentul verifică, de asemenea, semnatarul certificatului și numele gazdei, dacă este cazul. Dacă un test eșuează, instrumentul afișează un mesaj de eroare care descrie problema. Puteți alege să ignorați eroarea și să continuați configurarea. (Din cauza diferențelor de conectivitate, nodurile HDS ar putea fi capabile să stabilească conexiunea TLS, chiar dacă utilajul Instrumentului de configurare HDS nu o poate testa cu succes.) | ||||||||||||
13 | Pe pagina Jurnale de sistem, configurați serverul Syslogd: | ||||||||||||
14 | (Opțional) Puteți modifica valoarea implicită a unor parametri de conexiune la baza de date în Setări avansate. În general, acest parametru este singurul pe care s-ar putea dori să-l modificați:
| ||||||||||||
15 | Faceți clic pe Continuare pe ecranul Resetare Conturi serviciu Parolă . Parolele contului de serviciu au o durată de viață de nouă luni. Utilizați acest ecran atunci când parolele dvs. se apropie de expirare sau doriți să le resetați pentru a dezactiva fișierele ISO anterioare. | ||||||||||||
16 | Faceți clic pe Descărcați fișierul ISO. Salvați fișierul într-o locație ușor de găsit. | ||||||||||||
17 | Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare. | ||||||||||||
18 | Pentru a închide instrumentul de configurare, tastați |
Ce este de făcut în continuare
Backup fișierul ISO de configurare. Aveți nevoie de ea pentru a crea mai multe noduri pentru recuperare, sau pentru a face modificări de configurare. Dacă pierdeți toate copiile fișierului ISO, ați pierdut, de asemenea, cheia principală. Recuperarea tastelor din baza de date PostgreSQL sau Microsoft SQL Server nu este posibilă.
Nu avem niciodată o copie a acestei chei și nu poate ajuta dacă îl pierzi. |
Instalați gazda HDS OVA
1 | Utilizați clientul VMware vSphere de pe computer pentru a vă conecta la gazda virtuală ESXi. | ||||||
2 | Selectați Fișier > Implementați șablonul OVF. | ||||||
3 | În expert, specificați locația fișierului OVA pe care l-ați descărcat mai devreme, apoi faceți clic pe În continuare. | ||||||
4 | Pe Selectați un nume și un folder pagină , introduceți o Nume mașină virtuală pentru nod (de exemplu, „HDS_Node_1”), alegeți o locație în care se poate afla implementarea nodului mașinii virtuale, apoi faceți clic pe În continuare. | ||||||
5 | Pe Selectați o resursă de calcul pagină , alegeți resursa de calcul destinație, apoi faceți clic pe În continuare. O verificare de validare se execută. După ce se termină, apar detaliile șablonului. | ||||||
6 | Verificați detaliile șablonului și apoi faceți clic pe Înainte. | ||||||
7 | Dacă vi se solicită să alegeți configurația de resurse de pe Configurare pagină , faceți clic pe 4 CPU apoi faceți clic pe În continuare. | ||||||
8 | Pe Selectați spațiul de stocare pagină , faceți clic pe În continuare pentru a accepta formatul implicit al discului și politica de stocare VM. | ||||||
9 | Pe Selectați rețelele pagină, alege opțiunea de rețea din lista de intrări pentru a oferi conexiunea dorită la VM. | ||||||
10 | Pe pagina Personalizați șablonul , configurați următoarele setări ale rețelei:
Dacă preferați, puteți sări peste configurația de setare a rețelei și puteți urma pașii din Configurați VM-ul de securitate a datelor hibride pentru a configura setările din consola nodului.
| ||||||
11 | Faceți clic dreapta pe nodul VM, apoi alegeți .Software-ul de securitate a datelor hibride este instalat ca invitat pe Gazda VM. Acum sunteți gata să vă conectați la consolă și să configurați nodul. Sfaturi pentru depanare Este posibil să aveți o întârziere de câteva minute înainte de apariția containerelor de nod. Un mesaj de firewall de legătură apare pe consolă în timpul primei boot-ări, în timpul căreia nu vă puteți conecta. |
Configurați VM-ul de securitate a datelor hibride
Utilizați această procedură pentru a vă conecta pentru prima dată la consola VM a nodului de securitate a datelor hibride și pentru a seta acreditările de conectare. De asemenea, puteți utiliza consola pentru a configura setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.
1 | În clientul VMware vSphere, selectați nodul de securitate a datelor hibride VM și selectați fila Console . VM pornește în sus și apare un prompt de conectare. Dacă mesajul de conectare nu se afișează, apăsați Enter.
|
2 | Utilizați următoarea conectare implicită și parola pentru a vă conecta și a modifica datele de autentificare: Deoarece vă conectați pentru prima dată la VM, trebuie să schimbați parola de administrator. |
3 | Dacă ați configurat deja setările de rețea în Instalați gazda HDS OVA, omiteți restul acestei proceduri. În caz contrar, în meniul principal, selectați opțiunea Editare configurație . |
4 | Configurați o configurație statică cu adresă IP, Mască, Gateway și informații DNS. Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat. |
5 | (Opțional) Modificați numele gazdei, domeniul sau serverul (serverele) NTP, dacă este necesar pentru a se potrivi cu politica de rețea. Nu este necesar să setați domeniul pentru a se potrivi domeniului pe care l-ați utilizat pentru a obține certificatul X.509. |
6 | Salvați configurația de rețea și reporniți VM, astfel încât modificările să aibă efect. |
Încărcați și montați ISO de configurare HDS
Înainte de a începe
Deoarece fișierul ISO deține cheia principală, acesta ar trebui să fie expus numai pe o bază „trebuie să știe”, pentru a fi accesat de către VM-urile de securitate a datelor hibride și de orice administratori care ar putea avea nevoie să facă modificări. Asigurați-vă că numai acei administratori pot accesa stația de date.
1 | Încărcați fișierul ISO de pe computer: |
2 | Montați fișierul ISO: |
Ce este de făcut în continuare
Dacă politica dvs. IT necesită, puteți dezinstala opțional fișierul ISO după ce toate nodurile dvs. preiau modificările de configurare. Consultați (Opțional) Dezasamblarea ISO după configurarea HDS pentru detalii.
Configurați nodul HDS pentru integrarea proxy
Dacă mediul de rețea necesită un proxy, utilizați această procedură pentru a specifica tipul de proxy pe care doriți să îl integrați cu securitatea datelor hibride. Dacă alegeți un proxy de inspecție transparent sau un proxy explicit HTTPS, puteți utiliza interfața nodului pentru a încărca și instala certificatul rădăcină. De asemenea, puteți verifica conexiunea proxy din interfață și puteți rezolva orice probleme potențiale.
Înainte de a începe
Consultați Asistența proxy pentru o prezentare generală a opțiunilor proxy acceptate.
1 | Introduceți URL-ul de configurare a nodului HDS |
2 | Accesați Trust Store & Proxy, apoi alegeți o opțiune:
Urmați pașii următori pentru un proxy de inspecție transparent, un proxy explicit HTTP cu autentificare de bază sau un proxy explicit HTTPS. |
3 | Faceți clic pe Încărcați un certificat rădăcină sau un certificat de entitate finalizată, apoi navigați la o alegere a certificatului rădăcină pentru proxy. Certificatul este încărcat, dar nu este încă instalat, deoarece trebuie să reporniți nodul pentru a instala certificatul. Faceți clic pe săgeata chevron după numele emitentului certificatului pentru a obține mai multe detalii sau faceți clic pe Ștergere dacă ați făcut o greșeală și doriți să reîncărcați fișierul. |
4 | Faceți clic pe Verificare conexiune proxy pentru a testa conectivitatea la rețea între nod și proxy. Dacă testul conexiunii eșuează, veți vedea un mesaj de eroare care arată motivul și modul în care puteți corecta problema. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a reușit, nodul nu a putut ajunge la serverul DNS. Această condiție este de așteptat în multe configurații proxy explicite. Puteți continua cu configurarea, iar nodul va funcționa în modul de Rezoluție DNS Externă Blocată. Dacă credeți că aceasta este o eroare, completați acești pași și apoi consultați Dezactivarea modului de rezoluție DNS extern blocat. |
5 | După ce testul conexiunii trece, pentru proxy explicit setat numai la https, activați comutatorul pentru a Ruta toate solicitările de port 443/444 https din acest nod prin proxy explicit. Această setare necesită 15 secunde pentru a intra în vigoare. |
6 | Faceți clic pe Instalare toate certificatele în magazinul de încredere (apare pentru un proxy explicit HTTPS sau un proxy de inspecție transparent) sau Reporniți (apare pentru un proxy explicit HTTP), citiți mesajul și apoi faceți clic pe Instalare dacă sunteți pregătit. Nodul repornește în câteva minute. |
7 | După repornirea nodului, conectați-vă din nou dacă este necesar, apoi deschideți pagina Prezentare generală pentru a verifica verificările de conectivitate pentru a vă asigura că toate sunt în stare verde. Verificarea conexiunii proxy testează numai un subdomeniu al webex.com. Dacă există probleme de conectivitate, o problemă comună este că unele dintre domeniile cloud enumerate în instrucțiunile de instalare sunt blocate la proxy. |
Înregistrați primul nod în cluster
Când vă înregistrați primul nod, creați un cluster căruia i se atribuie nodul. Un cluster conține unul sau mai multe noduri implementate pentru a oferi redundanță.
Înainte de a începe
Odată ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți.
Asigurați-vă că orice blocare pop-up din browser-ul dvs. este dezactivată sau că permiteți o excepție pentru admin.webex.com.
1 | Conectați-vă la https://admin.webex.com. |
2 | Din meniul din partea stângă a ecranului, selectați Servicii. |
3 | În secțiunea Servicii hibride, găsiți Securitatea datelor hibride și faceți clic pe Configurare. Apare pagina Nod de securitate a datelor hibride de înregistrare.
|
4 | Selectați Da pentru a indica faptul că ați configurat nodul și sunteți gata să îl înregistrați, apoi faceți clic pe Înainte. |
5 | În primul câmp, introduceți un nume pentru clusterul la care doriți să alocați nodul dvs. de securitate a datelor hibride. Vă recomandăm să denumiți un cluster bazat pe locul în care nodurile clusterului sunt localizate geografic. Exemple: "San Francisco" sau "New York" sau "Dallas" |
6 | În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Înainte. Această adresă IP sau FQDN trebuie să corespundă adresei IP sau numelui gazdei și domeniului pe care l-ați utilizat în Configurarea VM-ului de securitate a datelor hibride. Apare un mesaj care indică faptul că vă puteți înregistra nodul la Webex.
|
7 | Faceți clic pe Du-te la Nod. |
8 | Faceți clic pe Continuare în mesajul de avertizare. După câteva momente, sunteți redirecționat către testele de conectivitate la noduri pentru serviciile Webex. Dacă toate testele au succes, apare pagina Permiteți accesul la nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați permisiuni organizației dvs. Webex pentru a accesa nodul dvs.
|
9 | Bifați caseta de selectare Permite accesul la nodul dvs. de securitate a datelor hibride , apoi faceți clic pe Continuare. Contul dvs. este validat, iar mesajul „Înscriere completă” indică faptul că nodul dvs. este acum înregistrat în cloudul Webex.
|
10 | Faceți clic pe link-ul sau închideți fila pentru a reveni la pagina de securitate a datelor hibride Control Hub. Pe pagina Securitate datelor hibride, este afișat noul cluster care conține nodul pe care l-ați înregistrat. Nodul va descărca automat cel mai recent software din cloud.
|
Creați și înregistrați mai multe noduri
În acest moment, VMs de rezervă pe care le-ați creat în Completați Condițiile prealabile pentru securitatea datelor hibride sunt gazde standby care sunt utilizate numai în caz de recuperare a dezastrelor; acestea nu sunt înregistrate la sistem până atunci. Pentru detalii, consultați Recuperarea dezastrelor utilizând Centrul de date standby. |
Înainte de a începe
Odată ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți.
Asigurați-vă că orice blocare pop-up din browser-ul dvs. este dezactivată sau că permiteți o excepție pentru admin.webex.com.
1 | Creați o nouă mașină virtuală din OVA, repetând pașii din Instalați gazda HDS OVA. |
2 | Configurați configurația inițială pe noul VM, repetând pașii din Configurați VM-ul de securitate a datelor hibride. |
3 | Pe noul VM, repetați pașii din Încărcați și montați ISO de configurare HDS. |
4 | Dacă configurați un proxy pentru implementarea dvs., repetați pașii din Configurați nodul HDS pentru Integrare proxy după cum este necesar pentru noul nod. |
5 | Înregistrați nodul. Nodul dvs. este înregistrat. Rețineți că până când începeți o încercare, nodurile dvs. generează o alarmă care indică faptul că serviciul dvs. nu este încă activat.
|
Ce este de făcut în continuare
Încercare la fluxul sarcinilor de producție
După ce ați configurat un cluster de securitate a datelor hibride, puteți iniția un pilot, puteți adăuga utilizatori la acesta și puteți începe să îl utilizați pentru testarea și verificarea implementării dvs. în vederea trecerii la producție.
Înainte de a începe
1 | Dacă este cazul, sincronizați Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați |
2 |
Începeți o încercare. Până când nu efectuați această sarcină, nodurile dvs. generează o alarmă care indică faptul că serviciul nu este încă activat. |
3 | Testați implementarea securității datelor hibride Verificați dacă solicitările cheie trec la implementarea securității datelor hibride. |
4 | Monitorizarea sănătății securității datelor hibride Verificați starea și configurați notificările prin e-mail pentru alarme. |
5 | |
6 | Finalizați faza de probă cu una dintre următoarele acțiuni: |
Activați procesul
Înainte de a începe
Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați HdsTrialGroup
obiectul de grup pentru sincronizare în cloud înainte de a putea iniția o încercare pentru organizația dvs. Pentru instrucțiuni, consultați Ghidul de implementare pentru Cisco Directory Connector.
1 | Conectați-vă la https://admin.webex.comși apoi selectați Servicii. |
2 | Sub Securitatea datelor hibride, faceți clic pe Setări. |
3 | În secțiunea Stare serviciu, faceți clic pe Inițiere încercare. Starea serviciului se modifică în modul de încercare.
|
4 | Faceți clic pe Adăugare utilizatori și introduceți adresa de e-mail a unuia sau mai multor utilizatori pentru a pilot utilizând nodurile dvs. de securitate a datelor hibride pentru serviciile de criptare și indexare. (Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory pentru a gestiona grupul de încercare, |
Testați implementarea securității datelor hibride
Înainte de a începe
Configurați implementarea securității datelor hibride.
Activați procesul și adăugați mai mulți utilizatori de proces.
Asigurați-vă că aveți acces la syslog pentru a verifica dacă solicitările cheie trec la implementarea securității datelor hibride.
1 | Tastele pentru un anumit spațiu sunt stabilite de creatorul spațiului. Conectați-vă la Aplicația Webex ca unul dintre utilizatorii pilot, apoi creați un spațiu și invitați cel puțin un utilizator pilot și un utilizator non-pilot.
| ||
2 | Trimiteți mesaje către noul spațiu. | ||
3 | Verificați ieșirea syslog pentru a verifica dacă solicitările cheie trec la implementarea securității datelor hibride. |
Monitorizarea sănătății securității datelor hibride
1 | În Control Hub, selectați Servicii din meniul din partea stângă a ecranului. |
2 | În secțiunea Servicii hibride, găsiți Securitatea datelor hibride și faceți clic pe Setări. Apare pagina Setări securitate date hibride.
|
3 | În secțiunea Notificări prin e-mail, tastați una sau mai multe adrese de e-mail separate prin virgule și apăsați Enter. |
Adăugați sau eliminați utilizatori din procesul dvs.
Dacă eliminați un utilizator din trial, clientul utilizatorului va solicita chei și crearea de taste din KMS cloud în loc de KMS dvs. Dacă clientul are nevoie de o cheie stocată pe KMS-ul dvs., KMS-ul cloud o va prelua în numele utilizatorului.
Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory (în loc de această procedură) pentru a gestiona grupul de încercare, HdsTrialGroup
; puteți vizualiza membrii grupului din Control Hub, dar nu îi puteți adăuga sau elimina.
1 | Conectați-vă la Control Hub, apoi selectați Servicii. |
2 | Sub Securitatea datelor hibride, faceți clic pe Setări. |
3 | În secțiunea Modul de încercare din zona de stare a serviciului, faceți clic pe Adăugare utilizatori sau faceți clic pe vizualizare și editare pentru a elimina utilizatorii din trial. |
4 | Introduceți adresa de e-mail a unuia sau mai multor utilizatori pentru a adăuga sau faceți clic pe X de către un ID de utilizator pentru a elimina utilizatorul din încercare. Apoi faceți clic Salvați . |
Mutați de la încercare la producție
1 | Conectați-vă la Control Hub, apoi selectați Servicii. |
2 | Sub Securitatea datelor hibride, faceți clic pe Setări. |
3 | În secțiunea Stare serviciu, faceți clic pe Mutare în producție. |
4 | Confirmați că doriți să mutați toți utilizatorii la producție. |
Încheiați procesul fără a trece la producție
1 | Conectați-vă la Control Hub, apoi selectați Servicii. |
2 | Sub Securitatea datelor hibride, faceți clic pe Setări. |
3 | În secțiunea Dezactivare, faceți clic pe Dezactivare. |
4 | Confirmați că doriți să dezactivați serviciul și să finalizați procesul. |
Gestionați implementarea HDS
Utilizați sarcinile descrise aici pentru a gestiona implementarea securității datelor hibride.
Setați programul de upgrade al clusterului
Pentru a seta programul de upgrade:
1 | Conectați-vă la Control Hub . |
2 | Pe pagina Prezentare generală, în secțiunea Servicii hibride, selectați Securitatea datelor hibride. |
3 | Pe pagina Resurse de securitate a datelor hibride, selectați clusterul. |
4 | În panoul Prezentare generală din dreapta, în secțiunea Setări cluster, selectați numele clusterului. |
5 | Pe pagina Setări, în secțiunea Upgrade, selectați ora și fusul orar pentru programul de upgrade. Notă: În cadrul fusului orar, se afișează următoarea dată și oră de upgrade disponibile. Puteți amâna upgrade-ul până în ziua următoare, dacă este necesar, făcând clic pe Amânare. |
Modificarea configurației nodului
Modificarea certificatelor x.509 din cauza expirării sau din alte motive.
Nu acceptăm schimbarea nume domeniu CN al unui certificat. Domeniul trebuie să corespundă domeniului inițial utilizat pentru înregistrarea clusterului.
Actualizarea setărilor bazei de date pentru a trece la o replică a bazei de date PostgreSQL sau Microsoft SQL Server.
Nu acceptăm migrarea datelor de la PostgreSQL la Microsoft SQL Server sau invers. Pentru a comuta mediul bazei de date, începeți o nouă implementare a Hybrid Data Security.
Crearea unei noi configurații pentru pregătirea unui nou centru de date.
De asemenea, din motive de securitate, Hybrid Data Security utilizează parole ale cont al serviciului care au o durată de viață de nouă luni. După ce instrumentul de configurare HDS generează aceste parole, le implementați în fiecare dintre nodurile HDS din fișierul de configurare ISO . Când parolele organizației dvs. se apropie de expirare, primiți o notificare de la echipa Webex prin care vă rugăm să resetați parola pentru contul computerului dvs. (E-mailul include textul „Utilizați API -ul contului de computer pentru a actualiza parola.”) Dacă parolele nu au expirat încă, instrumentul vă oferă două opțiuni:
Resetare soft —Parolele vechi și noi sunt valabile până la 10 zile. Utilizați această perioadă pentru a înlocui treptat fișierul ISO pe noduri.
Resetare hardware — Parolele vechi nu mai funcționează imediat.
Dacă parolele expiră fără resetare, acest lucru afectează serviciul HDS, necesitând o resetare hardware imediată și înlocuirea fișierului ISO pe toate nodurile.
Utilizați această procedură pentru a genera un nou fișier ISO de configurare și a-l aplica clusterului dvs.
Înainte de a începe
Instrumentul de configurare HDS rulează ca container Docker pe un computer local. Pentru a-l accesa, rulați Docker pe acel computer. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi complete de administrator pentru organizația dvs.
Dacă instrumentul de configurare HDS rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin variabilele de mediu Docker atunci când ridicați containerul Docker în 1.e. Acest tabel oferă câteva variabile de mediu posibile:
Descriere
Variabilă
Proxy HTTP fără autentificare
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS fără autentificare
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP cu autentificare
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS cu autentificare
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Aveți nevoie de o copie a fișierului ISO de configurare curentă pentru a genera o nouă configurație. ISO conține cheia principală de criptare a bazei de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de ISO când efectuați modificări de configurare, inclusiv date de autentificare în baza de date, actualizări de certificate sau modificări ale politicii de autorizare.
1 | Utilizând Docker pe un computer local, rulați Instrumentul de configurare HDS. |
2 | Dacă aveți un singur nod HDS care rulează , creați un nou VM nod Hybrid Data Security și înregistrați-l utilizând noul fișier ISO de configurare. Pentru instrucțiuni mai detaliate, consultați Creați și înregistrați mai multe noduri. |
3 | Pentru nodurile HDS existente care rulează fișierul de fișier de configurare mai vechi , montați fișierul ISO . Efectuați următoarea procedură pe fiecare nod pe rând, actualizând fiecare nod înainte de a opri următorul nod: |
4 | Repetați pasul 3 pentru a înlocui configurația pe fiecare nod rămas care rulează configurația veche. |
Dezactivați Modul De Rezoluție DNS Externă Blocat
Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează aspectul DNS și conectivitatea la cloudul Cisco Webex. Dacă serverul DNS al nodului nu poate rezolva numele DNS publice, nodul intră automat în modul de Rezoluție DNS Externă Blocată.
Dacă nodurile dvs. sunt capabile să rezolve numele DNS publice prin intermediul serverelor DNS interne, puteți dezactiva acest mod prin reactivarea testului de conexiune proxy pe fiecare nod.
Înainte de a începe
1 | Într-un browser web, deschideți interfața nodului de securitate a datelor hibride (adresă IP/configurare, de exemplu, https://192.0.2.0/setup), introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare. |
2 | Accesați Prezentare generală (pagina implicită). Când este activat, Rezoluție DNS externă blocată este setat la Da . |
3 | Accesați pagina Trust Store & Proxy . |
4 | Faceți clic pe Verificare conexiune proxy. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a avut succes, nodul nu a putut ajunge la serverul DNS și va rămâne în acest mod. În caz contrar, după ce reporniți nodul și reveniți la pagina Prezentare generală , Rezoluția DNS externă blocată trebuie setată la nr. |
Ce este de făcut în continuare
Eliminați un nod
1 | Utilizați clientul VMware vSphere de pe computer pentru a vă conecta la gazda virtuală ESXi și pentru a dezactiva mașina virtuală. |
2 | Eliminați nodul: |
3 | În clientul vSphere, ștergeți VM. (În panoul de navigare din stânga, faceți clic dreapta pe VM și faceți clic pe Ștergere.) Dacă nu ștergeți VM, nu uitați să dezasamblați fișierul de configurare ISO. Fără fișierul ISO, nu puteți utiliza VM pentru a accesa datele de securitate. |
Recuperare dezastre utilizând Centrul de date standby
Cel mai important serviciu pe care îl oferă clusterul de securitate a datelor hibride este crearea și stocarea de taste utilizate pentru criptarea mesajelor și a altor conținuturi stocate în cloudul Webex. Pentru fiecare utilizator din cadrul organizației care este atribuit securității datelor hibride, noile solicitări de creare a cheii sunt direcționate către cluster. Clusterul este, de asemenea, responsabil pentru returnarea cheilor pe care le-a creat oricărui utilizator autorizat să le recupereze, de exemplu, membrii unui spațiu de conversație.
Deoarece clusterul îndeplinește funcția critică de furnizare a acestor chei, este imperativ ca clusterul să rămână în funcțiune și să fie menținute backup-uri corespunzătoare. Pierderea bazei de date Hybrid Data Security sau a configurației ISO utilizate pentru schemă va duce la PIERDEREA INRECUPERABILĂ a conținutului clientului. Următoarele practici sunt obligatorii pentru a preveni o astfel de pierdere:
Dacă un dezastru face ca implementarea HDS în centrul de date principal să devină indisponibilă, urmați această procedură pentru a eșua manual la centrul de date standby.
1 | Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS. | ||
2 | După configurarea serverului Syslogd, faceți clic pe Setări avansate | ||
3 | Pe pagina Setări avansate, adăugați configurația de mai jos sau eliminați
| ||
4 | Completați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit. | ||
5 | Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare. | ||
6 | În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări.. | ||
7 | Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Fișier ISO Datastore.
| ||
8 | Activați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute. | ||
9 | Repetați procesul pentru fiecare nod din centrul de date standby.
|
Ce este de făcut în continuare
(Opțional) Dezasamblare ISO După configurarea HDS
Configurația standard HDS rulează cu ISO montat. Dar, unii clienți preferă să nu lase fișierele ISO montate în mod continuu. Puteți demonta fișierul ISO după ce toate nodurile HDS preiau noua configurație.
Utilizați în continuare fișierele ISO pentru a face modificări de configurare. Când creați un nou ISO sau actualizați un ISO prin Instrumentul de configurare, trebuie să montați ISO actualizat pe toate nodurile HDS. După ce toate nodurile dvs. au preluat modificările de configurare, puteți demonta din nou ISO cu această procedură.
Înainte de a începe
Actualizați toate nodurile HDS la versiunea 2021.01.22.4720 sau o versiune ulterioară.
1 | Închideți unul dintre nodurile HDS. |
2 | În dispozitivul server vCenter, selectați nodul HDS. |
3 | Alegeți ISO Datastore. și debifați fișierul |
4 | Alimentați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 20 de minute. |
5 | Repetați pentru fiecare nod HDS la rândul său. |
Vizualizare alerte și depanare
O implementare a securității datelor hibride este considerată indisponibilă dacă toate nodurile din cluster sunt inaccesibile sau clusterul funcționează atât de lent încât solicită timp de excludere. Dacă utilizatorii nu pot ajunge la clusterul dvs. de securitate a datelor hibride, aceștia experimentează următoarele simptome:
Nu se pot crea spații noi (nu se pot crea chei noi)
Mesajele și titlurile spațiului nu pot fi decriptate pentru:
Utilizatori noi adăugați într-un spațiu (nu se pot prelua tastele)
Utilizatorii existenți dintr-un spațiu care utilizează un client nou (nu pot prelua tastele)
Utilizatorii existenți într-un spațiu vor continua să ruleze cu succes atâta timp cât clienții lor au un cache al cheilor de criptare
Este important să monitorizați în mod corespunzător clusterul de securitate a datelor hibride și să adresați imediat orice alerte pentru a evita perturbarea serviciului.
Alerte
Dacă există o problemă cu configurarea securității datelor hibride, Control Hub afișează alerte administratorului organizației și trimite e-mailuri la adresa de e-mail configurată. Alertele acoperă multe scenarii comune.
Alerte | Acțiune |
---|---|
Eșecul accesului la baza de date locală. |
Verificați erorile bazei de date sau problemele de rețea locale. |
Eșecul conexiunii la baza de date locală. |
Verificați dacă serverul bazei de date este disponibil, iar acreditările contului de serviciu corespunzător au fost utilizate în configurația nodului. |
Eșecul accesului la servicii în cloud. |
Verificați dacă nodurile pot accesa serverele Webex astfel cum sunt specificate în cerințele de conectivitate externă. |
Reînnoirea înregistrării serviciului în cloud. |
S-a renunțat la înscrierea în serviciile cloud. Reînnoirea înregistrării este în curs. |
Înscrierea în serviciul Cloud a scăzut. |
Înscrierea la serviciile cloud s-a încheiat. Serviciul se închide. |
Serviciul nu este încă activat. |
Activați un proces sau finalizați mutarea procesului la producție. |
Domeniul configurat nu corespunde certificatului serverului. |
Asigurați-vă că certificatul serverului dvs. corespunde domeniului de activare a serviciului configurat. Cauza cea mai probabilă este că certificatul CN a fost modificat recent și este acum diferit de CN care a fost utilizat în timpul configurării inițiale. |
Nu s-a reușit autentificarea la serviciile cloud. |
Verificați acuratețea și posibila expirare a acreditărilor contului de serviciu. |
Nu s-a reușit deschiderea fișierului local de keystore. |
Verificați integritatea și precizia parolei în fișierul de keystore local. |
Certificatul serverului local este nevalid. |
Verificați data de expirare a certificatului serverului și confirmați că acesta a fost eliberat de o autoritate de certificare de încredere. |
Nu se pot posta măsurători. |
Verificați accesul la rețeaua locală la serviciile cloud externe. |
directorul /media/configdrive/hds nu există. |
Verificați configurația de montare ISO pe gazda virtuală. Verificați dacă fișierul ISO există, dacă este configurat să fie montat pe repornire și dacă se montează cu succes. |
Depanarea securității datelor hibride
1 | Revizuiți Control Hub pentru orice alerte și remediați orice elemente pe care le găsiți acolo. |
2 | Revizuiți ieșirea serverului syslog pentru activitatea din implementarea securității datelor hibride. |
3 | Contactați asistența Cisco. |
Probleme cunoscute pentru securitatea datelor hibride
Dacă închideți clusterul de securitate a datelor hibride (prin ștergerea acestuia în Control Hub sau prin închiderea tuturor nodurilor), pierdeți fișierul ISO de configurare sau pierdeți accesul la baza de date Keystore, utilizatorii aplicației Webex nu mai pot utiliza spații din lista lor de persoane care au fost create cu tastele din KMS. Acest lucru este valabil atât pentru operațiunile de încercare, cât și pentru operațiunile de producție. În prezent, nu avem un loc de muncă sau o soluție pentru această problemă și vă solicităm să nu închideți serviciile HDS odată ce acestea gestionează conturile de utilizator active.
Un client care are o conexiune ECDH existentă la un KMS menține acea conexiune pentru o perioadă de timp (probabil o oră). Atunci când un utilizator devine membru al unui proces de securitate a datelor hibride, clientul utilizatorului continuă să utilizeze conexiunea ECDH existentă până la expirarea acesteia. Alternativ, utilizatorul se poate deconecta și reconecta la aplicația Aplicației Webex pentru a actualiza locația pe care aplicația o contactează pentru cheile de criptare.
Același comportament apare atunci când mutați un proces la producție pentru organizație. Toți utilizatorii non-trial cu conexiuni ECDH existente la serviciile anterioare de securitate a datelor vor continua să utilizeze aceste servicii până când conexiunea ECDH este renegociată (prin expirare sau prin deconectare și reconectare).
Utilizați OpenSSL pentru a genera un fișier PKCS12
Înainte de a începe
OpenSSL este un instrument care poate fi folosit pentru a face fișierul PKCS12 în formatul adecvat pentru încărcare în instrumentul de configurare HDS. Există alte modalități de a face acest lucru, și nu sprijinim sau promovăm un mod peste altul.
Dacă alegeți să utilizați OpenSSL, oferim această procedură ca ghid pentru a vă ajuta să creați un fișier care îndeplinește cerințele certificatului X.509 din X.509 Cerințe de certificat. Înțelegeți aceste cerințe înainte de a continua.
Instalați OpenSSL într-un mediu acceptat. Consultați https://www.openssl.org pentru software și documentație.
Creați o tastă privată.
Începeți această procedură atunci când primiți certificatul de server de la Autoritatea dvs. de certificare (CA).
1 | Când primiți certificatul de server de la CA, salvați-l ca |
2 | Afișați certificatul ca text și verificați detaliile.
|
3 | Utilizați un editor de text pentru a crea un fișier de pachet de certificate numit
|
4 | Creați fișierul .p12 cu numele prietenos
|
5 | Verificați detaliile certificatului serverului. |
Ce este de făcut în continuare
Reveniți la Completarea Condițiilor prealabile pentru securitatea datelor hibride. Veţi utiliza hdsnode.p12
fișier și parola pe care ați setat-o pentru acesta, în Creați un ISO de configurare pentru gazdele HDS.
Puteți reutiliza aceste fișiere pentru a solicita un nou certificat atunci când certificatul original expiră. |
Trafic între nodurile HDS și cloud
Trafic colecție metrică de ieșire
Nodurile de securitate a datelor hibride trimit anumite măsurători în cloudul Webex. Acestea includ măsurători de sistem pentru înălțimea maximă, înălțimea utilizată, sarcina CPU și numărul de fire; măsurători pe fire sincrone și asincronice; măsurători pe alerte care implică un prag de conexiuni de criptare, latență sau o lungime a cozii de solicitare; măsurători pe placa de date; și măsurători de conexiune de criptare. Nodurile trimit material cheie criptat printr-un canal în afara benzii (separat de solicitare).
Trafic de intrare
Nodurile de securitate a datelor hibride primesc următoarele tipuri de trafic de intrare din cloudul Webex:
Cereri de criptare de la clienți, care sunt rutate de serviciul de criptare
Actualizări la software-ul nodului
Configurați proxy-urile Squid pentru securitatea datelor hibride
Șoseta web nu se poate Conecta Prin Proxy Squid
Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea websocket ( wss:
) conexiuni care necesită Securitatea datelor hibride. Aceste secțiuni oferă îndrumări cu privire la modul de configurare a diferitelor versiuni de Squid pentru a ignora wss:
trafic pentru buna funcționare a serviciilor.
Squid 4 și 5
Adăugați on_unsupported_protocol
directivă privind squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Am testat cu succes Securitatea datelor hibride cu următoarele reguli adăugate la squid.conf
. Aceste reguli se pot modifica pe măsură ce dezvoltăm caracteristici și actualizăm cloudul Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Informații noi și modificate
Dată | Modificări efectuate | ||
---|---|---|---|
20 octombrie 2023 |
| ||
07 august 2023 |
| ||
23 mai 2023 |
| ||
06 decembrie 2022 |
| ||
23 noiembrie 2022 |
| ||
13 octombrie 2021 | Docker Desktop trebuie să ruleze un program de configurare înainte de a putea instala noduri HDS. Consultați Cerințele de desktop ale Docker. | ||
24 iunie 2021 | Rețineți că puteți reutiliza fișierul cu tastatură privată și CSR pentru a solicita un alt certificat. Consultați Utilizarea OpenSSL pentru a genera un fișier PKCS12 pentru detalii. | ||
30 aprilie 2021 | A schimbat cerința VM pentru spațiul local pe hard disk la 30 GB. Consultați Cerințele Gazdei Virtuale pentru detalii. | ||
24 februarie 2021 | Instrumentul de configurare HDS poate rula acum în spatele unui proxy. Consultați Creați un ISO de configurare pentru gazdele HDS pentru detalii. | ||
2 februarie 2021 | HDS poate rula acum fără un fișier ISO montat. Consultați (Opțional) Dezasamblarea ISO după configurarea HDS pentru detalii. | ||
11 ianuarie 2021 | Au fost adăugate informații despre instrumentul de configurare HDS și proxy-uri pentru a crea un ISO de configurare pentru gazdele HDS. | ||
13 octombrie 2020 | Fișiere de instalare Descărcare actualizate. | ||
8 octombrie 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS și modificați configurația nodului cu comenzi pentru mediile FedRAMP. | ||
14 august 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS și modificați configurația nodului cu modificări ale procesului de conectare. | ||
5 august 2020 | Actualizat Testați implementarea securității datelor hibride pentru modificări ale mesajelor jurnal. S-au actualizat Cerințele Gazdei Virtuale pentru a elimina numărul maxim de gazde. | ||
16 iunie 2020 | Actualizat Eliminați un nod pentru modificările din interfața cu utilizatorul Control Hub. | ||
4 iunie 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS pentru modificările din Setările avansate pe care le-ați putea seta. | ||
29 mai 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS pentru a afișa puteți utiliza, de asemenea, TLS cu baze de date SQL Server, modificări de interfață de utilizator și alte clarificări. | ||
5 mai 2020 | Actualizat Cerințele Gazdei Virtuale pentru a afișa noua cerință a ESXi 6.5. | ||
21 aprilie 2020 | Actualizat Cerințe de conectivitate externă cu noi gazde CI din America. | ||
Aprilie 1, 2020 | Actualizat Cerințele de conectivitate externă cu informații despre gazdele regionale CI. | ||
20 februarie 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS cu informații despre noul ecran opțional de setări avansate din instrumentul de configurare HDS. | ||
4 februarie 2020 | Cerințe server proxy actualizate. | ||
16 decembrie 2019 | A clarificat cerința ca modul de rezoluție DNS extern blocat să funcționeze în cerințele serverului proxy. | ||
19 noiembrie 2019 | Au fost adăugate informații despre modul de rezoluție DNS extern blocat în următoarele secțiuni: | ||
8 noiembrie 2019 | Acum puteți configura setările de rețea pentru un nod în timp ce implementați OVA, mai degrabă decât ulterior. Actualizat în consecință următoarele secțiuni:
| ||
6 septembrie 2019 | S-a adăugat standardul SQL Server la cerințele serverului bazei de date. | ||
august 29, 2019 | A fost adăugată Configurarea proxy-urilor Squid pentru securitatea datelor hibride , cu îndrumări privind configurarea proxy-urilor Squid pentru a ignora traficul websocket pentru funcționarea corespunzătoare. | ||
20 august 2019 | Secțiuni adăugate și actualizate pentru a acoperi asistența proxy pentru comunicațiile nodului de securitate a datelor hibride în cloudul Webex. Pentru a accesa doar conținutul de asistență proxy pentru o implementare existentă, consultați Asistența proxy pentru securitatea datelor hibride și articolul de ajutor Webex Video Mesh . | ||
13 iunie 2019 | A fost actualizat Fluxul de activități de producție cu un memento pentru a sincroniza HdsTrialGroup obiectul de grup înainte de a începe un trial dacă organizația dvs. utilizează sincronizarea directorului. | ||
6 martie 2019 |
| ||
februarie 28, 2019 |
| ||
26 februarie 2019 |
| ||
24 ianuarie 2019 |
| ||
noiembrie 5, 2018 |
| ||
19 octombrie 2018 |
| ||
31 iulie 2018 |
| ||
21 mai 2018 | Terminologia modificată pentru a reflecta rebranding-ul Cisco Spark:
| ||
11 aprilie 2018 |
| ||
22 februarie 2018 |
| ||
februarie 15, 2018 |
| ||
ianuarie 18, 2018 |
| ||
noiembrie 2, 2017 |
| ||
18 august 2017 | Prima publicare |
Prezentare generală a securității datelor hibride
Începând cu prima zi, securitatea datelor a fost accentul principal în proiectarea Aplicației Webex. Piatra de temelie a acestei securități este criptarea conținutului end-to-end, activată de clienții aplicației Webex care interacționează cu Serviciul de gestionare a cheilor (KMS). KMS este responsabil pentru crearea și gestionarea cheilor criptografice pe care clienții le utilizează pentru a cripta și decripta în mod dinamic mesajele și fișierele.
În mod implicit, toți clienții Aplicației Webex primesc criptare end-to-end cu chei dinamice stocate în KMS cloud, în domeniul de securitate al Cisco. Hybrid Data Security mută KMS și alte funcții legate de securitate în centrul de date la nivel de întreprindere dvs., astfel încât nimeni în afară de dvs. să nu dețină cheile conținutului dvs. criptat.
Arhitectură Realm de securitate
Arhitectura cloud Webex separă diferite tipuri de servicii în domenii separate sau domenii de încredere, după cum este descris mai jos.
Pentru a înțelege în continuare securitatea datelor hibride, să ne uităm mai întâi la acest caz cloud pur, în care Cisco oferă toate funcțiile din domeniile sale cloud. Serviciul de identitate, singurul loc în care utilizatorii pot fi direct corelați cu informațiile lor personale, cum ar fi adresa de e-mail, este separat în mod logic și fizic de domeniul de securitate din centrul de date B. Ambele sunt, la rândul lor, separate de domeniul în care conținutul criptat este stocat în cele din urmă, în centrul de date C.
În această diagramă, clientul este aplicația Webex care rulează pe laptopul unui utilizator și s-a autentificat cu serviciul de identitate. Când utilizatorul compune un mesaj pentru a trimite într-un spațiu, au loc următorii pași:
Clientul stabilește o conexiune securizată cu serviciul de gestionare a cheilor (KMS), apoi solicită o cheie pentru a cripta mesajul. Conexiunea securizată utilizează ECDH, iar KMS criptează cheia utilizând o cheie principală AES-256.
Mesajul este criptat înainte de a părăsi clientul. Clientul îl trimite la serviciul de indexare, care creează indexuri de căutare criptate pentru a ajuta în căutările viitoare pentru conținut.
Mesajul criptat este trimis serviciului de conformitate pentru verificări de conformitate.
Mesajul criptat este stocat în domeniul de stocare.
Când implementați Securitatea datelor hibride, mutați funcțiile domeniului de securitate (KMS, indexare și conformitate) în centrul dvs. de date local. Celelalte servicii cloud care alcătuiesc Webex (inclusiv stocarea identității și a conținutului) rămân în domeniile Cisco.
Colaborarea cu Alte Organizații
Utilizatorii din organizația dvs. pot utiliza în mod regulat Aplicația Webex pentru a colabora cu participanți externi din alte organizații. Când unul dintre utilizatorii dvs. solicită o cheie pentru un spațiu care este deținut de organizația dvs. (deoarece a fost creat de unul dintre utilizatorii dvs.), KMS trimite cheia către client printr-un canal ECDH securizat. Cu toate acestea, atunci când o altă organizație deține cheia pentru spațiu, KMS-ul direcționează cererea către cloudul Webex printr-un canal ECDH separat pentru a obține cheia de la KMS-ul corespunzător și apoi returnează cheia către utilizatorul dvs. pe canalul original.
Serviciul KMS care rulează pe Org A validează conexiunile la KMS în alte organizații utilizând x.509 certificate PKI. Consultați Pregătiți-vă mediul pentru detalii despre generarea unui certificat x.509 pe care să-l utilizați cu implementarea securității datelor hibride.
Așteptări pentru implementarea securității datelor hibride
O implementare a securității datelor hibride necesită un angajament semnificativ din partea clienților și o conștientizare a riscurilor pe care le implică deținerea cheilor de criptare.
Pentru a implementa securitatea datelor hibride, trebuie să furnizați:
Un centru de date securizat într-o țară care este o locație acceptată pentru planurile Cisco Webex Teams.
Echipamentul, software-ul și accesul la rețea descrise în Pregătirea Mediului.
Pierderea completă a configurației ISO pe care o construiți pentru securitatea datelor hibride sau a bazei de date pe care o furnizați va duce la pierderea tastelor. Pierderea tastelor împiedică utilizatorii să decripteze conținutul spațiului și alte date criptate în Aplicația Webex. Dacă se întâmplă acest lucru, puteți construi o nouă implementare, dar numai conținut nou va fi vizibil. Pentru a evita pierderea accesului la date, trebuie:
Gestionați backup-ul și recuperarea bazei de date și configurația ISO.
Fiți pregătiți să efectuați recuperarea rapidă a dezastrelor dacă apare o catastrofă, cum ar fi defectarea discului de bază de date sau dezastrul centrului de date.
Nu există niciun mecanism pentru a muta cheile înapoi în Cloud după o implementare HDS. |
Proces de configurare la nivel înalt
Acest document acoperă configurarea și gestionarea implementării securității datelor hibride:
Configurați securitatea datelor hibride—Aceasta include pregătirea infrastructurii necesare și instalarea software-ului de securitate a datelor hibride, testarea implementării dvs. cu un subset de utilizatori în modul de încercare și, odată ce testarea dvs. este finalizată, trecerea la producție. Aceasta convertește întreaga organizație pentru a utiliza clusterul dvs. de securitate a datelor hibride pentru funcțiile de securitate.
Fazele de configurare, încercare și producție sunt acoperite în detaliu în următoarele trei capitole.
Mențineți implementarea securității datelor hibride—cloud-ul Webex oferă automat upgrade-uri în curs. Departamentul dvs. IT poate oferi un singur nivel de asistență pentru această implementare și poate angaja asistență Cisco după cum este necesar. Puteți utiliza notificări pe ecran și puteți configura alerte pe bază de e-mail în Control Hub.
Înțelegerea alertelor comune, a pașilor de depanare și a problemelor cunoscute—Dacă întâmpinați probleme la implementarea sau utilizarea securității datelor hibride, ultimul capitol din acest ghid și apendicele Probleme cunoscute vă pot ajuta să determinați și să remediați problema.
Model de implementare a securității datelor hibride
În cadrul centrului dvs. de date al întreprinderii, implementați Securitatea datelor hibride ca un singur grup de noduri pe gazde virtuale separate. Nodurile comunică cu cloudul Webex prin prize web securizate și HTTP securizat.
În timpul procesului de instalare, vă oferim fișierul OVA pentru a configura dispozitivul virtual pe VMs pe care le furnizați. Utilizați instrumentul de configurare HDS pentru a crea un fișier ISO de configurare a clusterului personalizat pe care îl montați pe fiecare nod. Clusterul de securitate a datelor hibride utilizează serverul Syslogd furnizat și baza de date PostgreSQL sau Microsoft SQL Server. (Configurați detaliile conexiunii Syslogd și a bazei de date în Instrumentul de configurare HDS.)
Numărul minim de noduri pe care le puteți avea într-un cluster este de două. Vă recomandăm cel puțin trei, și puteți avea până la cinci. Existența mai multor noduri asigură faptul că serviciul nu este întrerupt în timpul unui upgrade de software sau al unei alte activități de întreținere pe un nod. (Cloudul Webex actualizează doar un nod la un moment dat.)
Toate nodurile dintr-un cluster accesează aceeași bază de date cu tastatură și înregistrează activitatea pe același server syslog. Nodurile în sine sunt apatride și se ocupă de solicitările cheie în modul rotund-robin, așa cum este direcționat de cloud.
Nodurile devin active atunci când le înregistrați în Control Hub. Pentru a scoate un nod individual din serviciu, îl puteți desînregistra și apoi îl puteți reînregistra, dacă este necesar.
Sprijinim doar un singur cluster per organizație.
Mod de încercare pentru securitatea datelor hibride
După configurarea unei implementări de securitate a datelor hibride, încercați mai întâi cu un set de utilizatori pilot. În timpul perioadei de încercare, acești utilizatori utilizează domeniul local de securitate a datelor hibride pentru cheile de criptare și alte servicii din domeniul de securitate. Ceilalți utilizatori continuă să utilizeze domeniul de securitate cloud.
Dacă decideți să nu continuați implementarea în timpul perioadei de încercare și să dezactivați serviciul, utilizatorii pilot și orice utilizatori cu care au interacționat prin crearea de spații noi în timpul perioadei de încercare vor pierde accesul la mesaje și conținut. Aceștia vor vedea „Acest mesaj nu poate fi decriptat” în aplicația Webex.
Dacă sunteți mulțumit că implementarea dvs. funcționează bine pentru utilizatorii de încercare și sunteți pregătit să extindeți Securitatea datelor hibride la toți utilizatorii dvs., mutați implementarea în producție. Utilizatorii pilot continuă să aibă acces la cheile care au fost utilizate în timpul încercării. Cu toate acestea, nu se poate muta înapoi și înainte între modul de producție și procesul inițial. Dacă trebuie să dezactivați serviciul, cum ar fi pentru a efectua recuperarea dezastrelor, atunci când reactivați, trebuie să începeți o nouă încercare și să configurați setul de utilizatori pilot pentru noua încercare înainte de a reveni la modul de producție. Dacă utilizatorii păstrează accesul la date în acest moment depinde de faptul dacă ați menținut cu succes copii de rezervă ale stocului de date cheie și ale fișierului de configurare ISO pentru nodurile de securitate a datelor hibride din cluster.
Centrul de date standby pentru recuperarea dezastrelor
În timpul implementării, ați configurat un centru de date standby securizat. În cazul unui dezastru al unui centru de date, puteți eșua manual implementarea în centrul de date standby.
Bazele de date ale centrelor de date active și standby sunt în sincronizare unele cu altele, ceea ce va reduce la minimum timpul necesar pentru a efectua eșecul. Fișierul ISO al centrului de date standby este actualizat cu configurații suplimentare care asigură că nodurile sunt înregistrate în organizație, dar nu vor gestiona traficul. Prin urmare, nodurile centrului de date standby rămân întotdeauna la zi cu cea mai recentă versiune de software HDS.
Nodurile active de securitate a datelor hibride trebuie să fie întotdeauna în același centru de date ca serverul de bază de date activă. |
Configurarea Centrului de date standby pentru recuperarea dezastrelor
Urmați pașii de mai jos pentru a configura fișierul ISO al centrului de date standby:
Înainte de a începe
Centrul de date standby trebuie să reflecte mediul de producție al VMs și o bază de date PostgreSQL sau Microsoft SQL Server de rezervă. De exemplu, dacă producția are 3 VMs care rulează noduri HDS, mediul de rezervă ar trebui să aibă 3 VMs. (Consultați Standby Data Center for Disaster Recovery pentru o prezentare generală a acestui model de eșec.)
Asigurați-vă că sincronizarea bazei de date este activată între baza de date a nodurilor de cluster active și pasive.
1 | Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.
| ||
2 | După configurarea serverului Syslogd, faceți clic pe Setări avansate | ||
3 | Pe pagina Setări avansate, adăugați configurația de mai jos pentru a plasa nodul în modul pasiv. În acest mod, nodul va fi înregistrat în organizație și conectat la cloud, dar nu va gestiona niciun trafic.
| ||
4 | Completați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit. | ||
5 | Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare. | ||
6 | În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări.. | ||
7 | Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Fișier ISO Datastore.
| ||
8 | Activați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute. | ||
9 | Repetați procesul pentru fiecare nod din centrul de date standby.
|
Ce este de făcut în continuare
După configurare passiveMode
în fișierul ISO și salvându-l, puteți crea o altă copie a fișierului ISO fără passiveMode
configurare și salvați-l într-o locație sigură. Această copie a fișierului ISO fără passiveMode
configurat poate ajuta într-un proces rapid de eșec în timpul recuperării dezastrelor. Consultați Recuperarea dezastrelor utilizând Centrul de date standby pentru procedura detaliată de nereușită.
Asistență proxy
Securitatea datelor hibride acceptă inspecții explicite, transparente și proxy-uri neinspectate. Puteți lega aceste proxy-uri de implementarea dvs., astfel încât să puteți securiza și monitoriza traficul de la întreprindere la cloud. Puteți utiliza o interfață de administrare a platformei pe noduri pentru gestionarea certificatelor și pentru a verifica starea generală a conectivității după ce ați configurat proxy-ul pe noduri.
Nodurile de securitate a datelor hibride acceptă următoarele opțiuni proxy:
Fără proxy—Implicit dacă nu utilizați configurația de configurare a nodului HDS Trust Store și proxy pentru a integra un proxy. Nu este necesară nicio actualizare a certificatului.
Proxy fără inspecție transparent—Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy și nu ar trebui să necesite nicio modificare pentru a lucra cu un proxy fără inspecție. Nu este necesară nicio actualizare a certificatului.
Tunelare transparentă sau inspecție proxy—Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy. Nu sunt necesare modificări ale configurației HTTP sau HTTPS pe noduri. Cu toate acestea, nodurile au nevoie de un certificat rădăcină, astfel încât să aibă încredere în proxy. De obicei, proxy-urile de inspecție sunt utilizate de IT pentru a pune în aplicare politicile pe care site-urile pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).
Proxy explicit—Cu proxy explicit, spuneți nodurilor HDS ce server proxy și sistem de autentificare să utilizați. Pentru a configura un proxy explicit, trebuie să introduceți următoarele informații pe fiecare nod:
IP proxy/FQDN—Adresă care poate fi utilizată pentru a ajunge la utilajul proxy.
Portul proxy—Un număr de port pe care proxy-ul îl folosește pentru a asculta traficul proxy.
Proxy Protocol—În funcție de ce acceptă serverul dvs. proxy, alegeți între următoarele protocoale:
HTTP—Vizualizează și controlează toate solicitările pe care clientul le trimite.
HTTPS—Oferă un canal serverului. Clientul primește și validează certificatul serverului.
Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:
Niciuna – Nu este necesară autentificarea suplimentară.
Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
De bază—Utilizat pentru un agent de utilizator HTTP pentru a furniza un nume de utilizator și o parolă atunci când efectuați o solicitare. Utilizează codificarea Base64.
Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
Vă cere să introduceți numele de utilizator și parola pe fiecare nod.
Digest—Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite în rețea.
Disponibil numai dacă selectați HTTPS ca protocol proxy.
Vă cere să introduceți numele de utilizator și parola pe fiecare nod.
Exemplu de noduri hibride de securitate a datelor și proxy
Această diagramă arată o conexiune de exemplu între securitatea datelor hibride, rețea și un proxy. Pentru inspectarea transparentă și opțiunile HTTPS de inspecție explicită a proxy-urilor, trebuie instalat același certificat rădăcină pe proxy și pe nodurile de securitate a datelor hibride.
Modul de rezoluție DNS extern blocat (configurații proxy explicite)
Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează aspectul DNS și conectivitatea la cloudul Cisco Webex. În implementările cu configurații proxy explicite care nu permit rezoluția DNS externă pentru clienții interni, dacă nodul nu poate interoga serverele DNS, acesta intră automat în modul de Rezoluție DNS Externă Blocată. În acest mod, pot continua testele de înregistrare a nodurilor și alte teste de conectivitate proxy.
Cerințe privind securitatea datelor hibride
Cerințe de licență Cisco Webex
Pentru implementarea securității datelor hibride:
Trebuie să aveți un pachet Pro pentru Cisco Webex Control Hub. (Consultați https://www.cisco.com/go/pro-pack.)
Cerințe Docker Desktop
Înainte de a instala nodurile HDS, aveți nevoie de Docker Desktop pentru a rula un program de configurare. Docker și-a actualizat recent modelul de licențiere. Este posibil ca organizația dvs. să necesite un abonament cu plată pentru Docker Desktop. Pentru detalii, consultați postarea de pe blogul Docker, " Docker actualizează și extinde abonamentele noastre la produse ".
X.509 Cerințe privind certificatul
Lanțul certificatului trebuie să îndeplinească următoarele cerințe:
Obligatoriu | Detalii |
---|---|
| În mod implicit, avem încredere în CA-urile din lista Mozilla (cu excepția WoSign și StartCom) la https://wiki.mozilla.org/CA:IncludedCAs. |
| CN-ul nu trebuie să fie accesibil sau o gazdă live. Vă recomandăm să utilizați un nume care reflectă organizația dvs., de exemplu, CN nu trebuie să conțină un * (wildcard). CN este utilizat pentru a verifica nodurile de securitate a datelor hibride pentru clienții Aplicației Webex. Toate nodurile de securitate a datelor hibride din clusterul dvs. utilizează același certificat. KMS-ul se identifică utilizând domeniul CN, nu orice domeniu care este definit în câmpurile SAN x.509v3. După ce ați înregistrat un nod cu acest certificat, nu acceptăm schimbarea numelui domeniului CN. Alegeți un domeniu care se poate aplica atât implementărilor de încercare, cât și implementărilor de producție. |
| Software-ul KMS nu acceptă semnăturile SHA1 pentru validarea conexiunilor la KMSs ale altor organizații. |
| Puteți utiliza un convertor, cum ar fi OpenSSL pentru a schimba formatul certificatului. Va trebui să introduceți parola atunci când rulați Instrumentul de configurare HDS. |
Software-ul KMS nu impune utilizarea cheii sau restricții extinse de utilizare a cheii. Unele autorități de certificare impun aplicarea unor restricții extinse de utilizare a cheilor pentru fiecare certificat, cum ar fi autentificarea serverului. Este în regulă să utilizați autentificarea serverului sau alte setări.
Cerințe Gazdă virtuală
Gazdele virtuale pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. au următoarele cerințe:
Cel puțin două gazde separate (3 recomandate) plasate în același centru de date securizat
VMware ESXi 6.5 (sau mai târziu) instalat și rulează.
Trebuie să faceți upgrade dacă aveți o versiune anterioară a ESXi.
Minim 4 vCPU-uri, 8-GB memorie principală, 30-GB spațiu pe hard disk local pe server
Cerințe server bază de date
Creați o nouă bază de date pentru stocarea cheilor. Nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date. |
Există două opțiuni pentru serverul de baze de date. Cerințele pentru fiecare sunt după cum urmează:
PostgreSQL | Server Microsoft SQL | ||
---|---|---|---|
|
| ||
Minim 8 vCPU-uri, 16-GB de memorie principală, suficient spațiu pe hard disk și monitorizare pentru a se asigura că nu este depășit (2-TB recomandat dacă doriți să rulați baza de date pentru o lungă perioadă de timp, fără a fi nevoie de a crește spațiul de stocare) | Minim 8 vCPU-uri, 16-GB de memorie principală, suficient spațiu pe hard disk și monitorizare pentru a se asigura că nu este depășit (2-TB recomandat dacă doriți să rulați baza de date pentru o lungă perioadă de timp, fără a fi nevoie de a crește spațiul de stocare) |
Software-ul HDS instalează în prezent următoarele versiuni de drivere pentru comunicarea cu serverul bazei de date:
PostgreSQL | Server Microsoft SQL |
---|---|
Șofer JDBC Postgres 42.2.5 | Driver JDBC SQL Server 4.6 Această versiune a driverului acceptă SQL Server întotdeauna activat (întotdeauna pe instanțe de cluster nereușite și întotdeauna pe grupuri de disponibilitate). |
Cerințe suplimentare pentru autentificarea Windows împotriva Microsoft SQL Server
Dacă doriți ca nodurile HDS să utilizeze autentificarea Windows pentru a obține acces la baza dvs. de date Keystore pe Microsoft SQL Server, atunci aveți nevoie de următoarea configurație în mediul dvs.:
Nodurile HDS, infrastructura Active Directory și serverul MS SQL trebuie sincronizate cu NTP.
Contul Windows pe care îl furnizați nodurilor HDS trebuie să aibă acces citit/scris la baza de date.
Serverele DNS pe care le furnizați nodurilor HDS trebuie să poată rezolva Centrul dvs. de distribuție a cheilor (KDC).
Puteți înregistra instanța bazei de date HDS pe serverul dvs. Microsoft SQL ca nume principal al serviciului (SPN) în directorul dvs. activ. Consultați Înregistrarea unui nume principal de serviciu pentru conexiunile Kerberos.
Instrumentul de configurare HDS, lansatorul HDS și KMS local trebuie să utilizeze autentificarea Windows pentru a accesa baza de date Keystore. Ei folosesc detaliile din configurația ISO pentru a construi SPN atunci când solicită acces cu autentificarea Kerberos.
Cerințe de conectivitate externă
Configurați firewall-ul pentru a permite următoarea conectivitate pentru aplicațiile HDS:
Aplicație | Protocol | Port | Direcție din aplicație | Destinație |
---|---|---|---|---|
Noduri de securitate a datelor hibride | TCP | 443 | HTTPS de ieșire și WSS |
|
Instrument de configurare HDS | TCP | 443 | HTTPS de ieșire |
|
Nodurile de securitate a datelor hibride funcționează cu traducerea accesului la rețea (NAT) sau în spatele unui firewall, atâta timp cât NAT sau firewall permite conexiunile de ieșire necesare la destinațiile de domeniu din tabelul precedent. Pentru conexiunile care intră în nodurile de securitate a datelor hibride, niciun port nu trebuie să fie vizibil de pe internet. În cadrul centrului dvs. de date, clienții au nevoie de acces la nodurile de securitate a datelor hibride din porturile TCP 443 și 22, în scopuri administrative. |
URL-urile gazdelor pentru identitatea comună (CI) sunt specifice regiunii. Acestea sunt gazdele actuale CI:
Regiune | URL-uri comune ale gazdei pentru identitate |
---|---|
Țările din America |
|
Uniunea Europeană |
|
Canada |
|
Cerințe server proxy
Sprijinim oficial următoarele soluții proxy care se pot integra cu nodurile dvs. de securitate a datelor hibride.
Proxy transparent – Dispozitiv de securitate web Cisco (WSA).
Proxy explicit – Squid.
Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea websocket (wss:) conexiuni. Pentru a lucra la această problemă, consultați Configurarea proxy-urilor Squid pentru securitatea datelor hibride.
Acceptăm următoarele combinații de tip autentificare pentru proxy-uri explicite:
Nicio autentificare cu HTTP sau HTTPS
Autentificare de bază cu HTTP sau HTTPS
Autentificare Digest numai cu HTTPS
Pentru un proxy de inspecție transparent sau un proxy explicit HTTPS, trebuie să aveți o copie a certificatului rădăcină al proxy-ului. Instrucțiunile de implementare din acest ghid vă spun cum să încărcați copia în magazinele de încredere ale nodurilor de securitate a datelor hibride.
Rețeaua care găzduiește nodurile HDS trebuie să fie configurată pentru a forța traficul TCP de ieșire în portul 443 să se deplaseze prin proxy.
Proxy-urile care inspectează traficul web pot interfera cu conexiunile socket-urilor web. Dacă apare această problemă, ocolirea (nu inspectarea) traficului la
wbx2.com
șiciscospark.com
va rezolva problema.
Completați cerințele preliminare pentru securitatea datelor hibride
1 | Asigurați-vă că organizația dvs. Webex este activată pentru pachetul Pro pentru Cisco Webex Control Hub și obțineți acreditările unui cont cu drepturi depline de administrator al organizației. Contactați-vă partenerul Cisco sau managerul de cont pentru ajutor în acest proces. | ||
2 | Alegeți un nume de domeniu pentru implementarea HDS (de exemplu, | ||
3 | Pregătiți gazdele virtuale identice pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. Aveți nevoie de cel puțin două gazde separate (3 recomandate) plasate în același centru de date securizat, care îndeplinesc cerințele din Cerințele Gazdei Virtuale. | ||
4 | Pregătiți serverul bazei de date care va acționa ca un magazin de date cheie pentru cluster, în conformitate cu cerințele serverului bazei de date. Serverul bazei de date trebuie să fie plasat în centrul de date securizat cu gazdele virtuale. | ||
5 | Pentru recuperarea rapidă a dezastrelor, configurați un mediu de rezervă într-un alt centru de date. Mediul de rezervă reflectă mediul de producție al VMs și un server de baze de date de rezervă. De exemplu, dacă producția are 3 VMs care rulează noduri HDS, mediul de rezervă ar trebui să aibă 3 VMs. | ||
6 | Configurați o gazdă syslog pentru a colecta jurnale de la nodurile din cluster. Aduna adresa de rețea și portul syslog (implicit este UDP 514). | ||
7 | Creați o politică de rezervă securizată pentru nodurile de securitate a datelor hibride, serverul bazei de date și gazda syslog. Cel puțin, pentru a preveni pierderea de date nerecuperabile, trebuie să salvați baza de date și fișierul ISO de configurare generat pentru nodurile de securitate a datelor hibride.
Clienții Aplicației Webex își ascund cheile, astfel încât este posibil ca o întrerupere să nu fie vizibilă imediat, dar va deveni evidentă în timp. În timp ce ieșirile temporare sunt imposibil de prevenit, acestea sunt recuperabile. Cu toate acestea, pierderea completă (fără backup-uri disponibile) a bazei de date sau a fișierului ISO de configurare va duce la date client nerecuperabile. Operatorii nodurilor de securitate a datelor hibride se așteaptă să mențină backup-uri frecvente ale bazei de date și ale fișierului ISO de configurare și să fie pregătiți să reconstruiască centrul de date de securitate a datelor hibride în cazul în care apare un eșec catastrofal. | ||
8 | Asigurați-vă că configurația firewall-ului dvs. permite conectivitatea pentru nodurile dvs. de securitate a datelor hibride, astfel cum sunt prezentate în cerințele de conectivitate externă. | ||
9 | Instalați Docker ( https://www.docker.com) pe orice mașină locală care rulează un sistem de operare acceptat (Microsoft Windows 10 Professional sau Enterprise pe 64 de biți sau Mac OSX Yosemite 10.10.3 sau mai sus) cu un browser web care îl poate accesa la http://127.0.0.1:8080. Utilizați instanța Docker pentru a descărca și rula Instrumentul de configurare HDS, care construiește informațiile de configurare locale pentru toate nodurile de securitate a datelor hibride. Este posibil ca organizația dvs. să aibă nevoie de o licență Docker Desktop. Consultați Cerințele Docker Desktop pentru mai multe informații. Pentru a instala și rula Instrumentul de configurare HDS, utilajul local trebuie să aibă conectivitatea descrisă în Cerințele de conectivitate externă. | ||
10 | Dacă integrați un proxy cu securitatea datelor hibride, asigurați-vă că îndeplinește Cerințele serverului proxy. | ||
11 | Dacă organizația dvs. utilizează sincronizarea directorului, creați un grup în Active Directory numit
|
Flux sarcină de implementare a securității datelor hibride
Înainte de a începe
1 | Descărcați fișierele de instalare Descărcați fișierul OVA la utilajul local pentru utilizare ulterioară. | ||
2 | Creați un ISO de configurare pentru gazdele HDS Utilizați instrumentul de configurare HDS pentru a crea un fișier de configurare ISO pentru nodurile de securitate a datelor hibride. | ||
3 |
Creați o mașină virtuală din fișierul OVA și efectuați configurația inițială, cum ar fi setările de rețea.
| ||
4 | Configurați VM-ul de securitate a datelor hibride Conectați-vă la consola VM și setați acreditările de conectare. Configurați setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA. | ||
5 | Încărcați și montați ISO de configurare HDS Configurați VM din fișierul de configurare ISO pe care l-ați creat cu instrumentul de configurare HDS. | ||
6 | Configurați nodul HDS pentru integrarea proxy Dacă mediul de rețea necesită configurare proxy, specificați tipul de proxy pe care îl veți utiliza pentru nod și adăugați certificatul proxy la magazinul de încredere, dacă este necesar. | ||
7 | Înregistrați primul nod în cluster Înregistrați VM cu cloudul Cisco Webex ca nod de securitate a datelor hibrid. | ||
8 | Creați și înregistrați mai multe noduri Finalizați configurarea clusterului. | ||
9 | Efectuați un proces și mutați-vă la producție (capitolul următor) Până când începeți o încercare, nodurile dvs. generează o alarmă care indică faptul că serviciul dvs. nu este încă activat. |
Descărcați fișierele de instalare
1 | Conectați-vă la https://admin.webex.comși apoi faceți clic pe Servicii. | ||||
2 | În secțiunea Servicii hibride, găsiți cardul de securitate a datelor hibride, apoi faceți clic pe Configurare. Dacă cardul este dezactivat sau nu îl vedeți, contactați echipa de cont sau organizația parteneră. Dați-le numărul contului dvs. și solicitați să activați organizația dvs. pentru securitatea datelor hibride. Pentru a găsi numărul contului, faceți clic pe dispozitivul din dreapta sus, lângă numele organizației dvs.
| ||||
3 | Selectați Nu pentru a indica faptul că nu ați configurat încă nodul, apoi faceți clic pe Înainte. Fișierul OVA începe automat să se descarce. Salvați fișierul într-o locație de pe utilajul dvs.
| ||||
4 | Opțional, faceți clic pe Deschidere Ghid de implementare pentru a verifica dacă există o versiune ulterioară a acestui ghid disponibil. |
Creați un ISO de configurare pentru gazdele HDS
Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi utilizați ISO pentru a configura gazda dvs. de securitate a datelor hibride.
Înainte de a începe
Instrumentul de configurare HDS rulează ca container Docker pe un computer local. Pentru a-l accesa, rulați Docker pe acel computer. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi complete de administrator pentru organizația dvs.
Dacă instrumentul de configurare HDS rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin variabilele de mediu Docker atunci când ridicați containerul Docker în pasul 5. Acest tabel oferă câteva variabile de mediu posibile:
Descriere
Variabilă
Proxy HTTP fără autentificare
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS fără autentificare
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP cu autentificare
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS cu autentificare
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Fișierul de configurare ISO pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier oricând efectuați modificări de configurare, cum ar fi acestea:
Informații bază de date
Actualizări certificat
Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile la baza de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.
1 | În linia de comandă a computerului dvs., introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite:
În mediile FedRAMP:
| ||||||||||||
2 | Pentru a vă conecta la registry de imagini Docker, introduceți următoarele:
| ||||||||||||
3 | La solicitarea parolei, introduceți acest hash:
| ||||||||||||
4 | Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite:
În mediile FedRAMP:
| ||||||||||||
5 | Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.:
Când containerul rulează, veți vedea „Serverul Express ascultând pe portul 8080”. | ||||||||||||
6 |
Utilizați un browser web pentru a merge la gazda locală, Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul adecvat pentru acel cont. Instrumentul afișează apoi apelul standard de conectare. | ||||||||||||
7 | Când vi se solicită, introduceți acreditările de conectare ale administratorului clientului Control Hub, apoi faceți clic pe Conectare pentru a permite accesul la serviciile necesare pentru securitatea datelor hibride. | ||||||||||||
8 | Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Get Started. | ||||||||||||
9 | Pe pagina ISO Import aveți aceste opțiuni:
| ||||||||||||
10 | Verificați dacă certificatul dvs. X.509 îndeplinește cerințele din Cerințele de certificare X.509.
| ||||||||||||
11 | Introduceți adresa bazei de date și contul HDS pentru a accesa baza de date cu tastatură: | ||||||||||||
12 | Selectați un mod de conectare la baza de date TLS:
Când încărcați certificatul rădăcină (dacă este necesar) și faceți clic pe Continuare, instrumentul de configurare HDS testează conexiunea TLS la serverul bazei de date. Instrumentul verifică, de asemenea, semnatarul certificatului și numele gazdei, dacă este cazul. Dacă un test eșuează, instrumentul afișează un mesaj de eroare care descrie problema. Puteți alege să ignorați eroarea și să continuați configurarea. (Din cauza diferențelor de conectivitate, nodurile HDS ar putea fi capabile să stabilească conexiunea TLS, chiar dacă utilajul Instrumentului de configurare HDS nu o poate testa cu succes.) | ||||||||||||
13 | Pe pagina Jurnale de sistem, configurați serverul Syslogd: | ||||||||||||
14 | (Opțional) Puteți modifica valoarea implicită a unor parametri de conexiune la baza de date în Setări avansate. În general, acest parametru este singurul pe care s-ar putea dori să-l modificați:
| ||||||||||||
15 | Faceți clic pe Continuare pe ecranul Resetare Conturi serviciu Parolă . Parolele contului de serviciu au o durată de viață de nouă luni. Utilizați acest ecran atunci când parolele dvs. se apropie de expirare sau doriți să le resetați pentru a dezactiva fișierele ISO anterioare. | ||||||||||||
16 | Faceți clic pe Descărcați fișierul ISO. Salvați fișierul într-o locație ușor de găsit. | ||||||||||||
17 | Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare. | ||||||||||||
18 | Pentru a închide instrumentul de configurare, tastați |
Ce este de făcut în continuare
Backup fișierul ISO de configurare. Aveți nevoie de ea pentru a crea mai multe noduri pentru recuperare, sau pentru a face modificări de configurare. Dacă pierdeți toate copiile fișierului ISO, ați pierdut, de asemenea, cheia principală. Recuperarea tastelor din baza de date PostgreSQL sau Microsoft SQL Server nu este posibilă.
Nu avem niciodată o copie a acestei chei și nu poate ajuta dacă îl pierzi. |
Instalați gazda HDS OVA
1 | Utilizați clientul VMware vSphere de pe computer pentru a vă conecta la gazda virtuală ESXi. | ||||||
2 | Selectați Fișier > Implementați șablonul OVF. | ||||||
3 | În expert, specificați locația fișierului OVA pe care l-ați descărcat mai devreme, apoi faceți clic pe În continuare. | ||||||
4 | Pe Selectați un nume și un folder pagină , introduceți o Nume mașină virtuală pentru nod (de exemplu, „HDS_Node_1”), alegeți o locație în care se poate afla implementarea nodului mașinii virtuale, apoi faceți clic pe În continuare. | ||||||
5 | Pe Selectați o resursă de calcul pagină , alegeți resursa de calcul destinație, apoi faceți clic pe În continuare. O verificare de validare se execută. După ce se termină, apar detaliile șablonului. | ||||||
6 | Verificați detaliile șablonului și apoi faceți clic pe Înainte. | ||||||
7 | Dacă vi se solicită să alegeți configurația de resurse de pe Configurare pagină , faceți clic pe 4 CPU apoi faceți clic pe În continuare. | ||||||
8 | Pe Selectați spațiul de stocare pagină , faceți clic pe În continuare pentru a accepta formatul implicit al discului și politica de stocare VM. | ||||||
9 | Pe Selectați rețelele pagină, alege opțiunea de rețea din lista de intrări pentru a oferi conexiunea dorită la VM. | ||||||
10 | Pe pagina Personalizați șablonul , configurați următoarele setări ale rețelei:
Dacă preferați, puteți sări peste configurația de setare a rețelei și puteți urma pașii din Configurați VM-ul de securitate a datelor hibride pentru a configura setările din consola nodului.
| ||||||
11 | Faceți clic dreapta pe nodul VM, apoi alegeți .Software-ul de securitate a datelor hibride este instalat ca invitat pe Gazda VM. Acum sunteți gata să vă conectați la consolă și să configurați nodul. Sfaturi pentru depanare Este posibil să aveți o întârziere de câteva minute înainte de apariția containerelor de nod. Un mesaj de firewall de legătură apare pe consolă în timpul primei boot-ări, în timpul căreia nu vă puteți conecta. |
Configurați VM-ul de securitate a datelor hibride
Utilizați această procedură pentru a vă conecta pentru prima dată la consola VM a nodului de securitate a datelor hibride și pentru a seta acreditările de conectare. De asemenea, puteți utiliza consola pentru a configura setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.
1 | În clientul VMware vSphere, selectați nodul de securitate a datelor hibride VM și selectați fila Console . VM pornește în sus și apare un prompt de conectare. Dacă mesajul de conectare nu se afișează, apăsați Enter.
|
2 | Utilizați următoarea conectare implicită și parola pentru a vă conecta și a modifica datele de autentificare: Deoarece vă conectați pentru prima dată la VM, trebuie să schimbați parola de administrator. |
3 | Dacă ați configurat deja setările de rețea în Instalați gazda HDS OVA, omiteți restul acestei proceduri. În caz contrar, în meniul principal, selectați opțiunea Editare configurație . |
4 | Configurați o configurație statică cu adresă IP, Mască, Gateway și informații DNS. Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat. |
5 | (Opțional) Modificați numele gazdei, domeniul sau serverul (serverele) NTP, dacă este necesar pentru a se potrivi cu politica de rețea. Nu este necesar să setați domeniul pentru a se potrivi domeniului pe care l-ați utilizat pentru a obține certificatul X.509. |
6 | Salvați configurația de rețea și reporniți VM, astfel încât modificările să aibă efect. |
Încărcați și montați ISO de configurare HDS
Înainte de a începe
Deoarece fișierul ISO deține cheia principală, acesta ar trebui să fie expus numai pe o bază „trebuie să știe”, pentru a fi accesat de către VM-urile de securitate a datelor hibride și de orice administratori care ar putea avea nevoie să facă modificări. Asigurați-vă că numai acei administratori pot accesa stația de date.
1 | Încărcați fișierul ISO de pe computer: |
2 | Montați fișierul ISO: |
Ce este de făcut în continuare
Dacă politica dvs. IT necesită, puteți dezinstala opțional fișierul ISO după ce toate nodurile dvs. preiau modificările de configurare. Consultați (Opțional) Dezasamblarea ISO după configurarea HDS pentru detalii.
Configurați nodul HDS pentru integrarea proxy
Dacă mediul de rețea necesită un proxy, utilizați această procedură pentru a specifica tipul de proxy pe care doriți să îl integrați cu securitatea datelor hibride. Dacă alegeți un proxy de inspecție transparent sau un proxy explicit HTTPS, puteți utiliza interfața nodului pentru a încărca și instala certificatul rădăcină. De asemenea, puteți verifica conexiunea proxy din interfață și puteți rezolva orice probleme potențiale.
Înainte de a începe
Consultați Asistența proxy pentru o prezentare generală a opțiunilor proxy acceptate.
1 | Introduceți URL-ul de configurare a nodului HDS |
2 | Accesați Trust Store & Proxy, apoi alegeți o opțiune:
Urmați pașii următori pentru un proxy de inspecție transparent, un proxy explicit HTTP cu autentificare de bază sau un proxy explicit HTTPS. |
3 | Faceți clic pe Încărcați un certificat rădăcină sau un certificat de entitate finalizată, apoi navigați la o alegere a certificatului rădăcină pentru proxy. Certificatul este încărcat, dar nu este încă instalat, deoarece trebuie să reporniți nodul pentru a instala certificatul. Faceți clic pe săgeata chevron după numele emitentului certificatului pentru a obține mai multe detalii sau faceți clic pe Ștergere dacă ați făcut o greșeală și doriți să reîncărcați fișierul. |
4 | Faceți clic pe Verificare conexiune proxy pentru a testa conectivitatea la rețea între nod și proxy. Dacă testul conexiunii eșuează, veți vedea un mesaj de eroare care arată motivul și modul în care puteți corecta problema. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a reușit, nodul nu a putut ajunge la serverul DNS. Această condiție este de așteptat în multe configurații proxy explicite. Puteți continua cu configurarea, iar nodul va funcționa în modul de Rezoluție DNS Externă Blocată. Dacă credeți că aceasta este o eroare, completați acești pași și apoi consultați Dezactivarea modului de rezoluție DNS extern blocat. |
5 | După ce testul conexiunii trece, pentru proxy explicit setat numai la https, activați comutatorul pentru a Ruta toate solicitările de port 443/444 https din acest nod prin proxy explicit. Această setare necesită 15 secunde pentru a intra în vigoare. |
6 | Faceți clic pe Instalare toate certificatele în magazinul de încredere (apare pentru un proxy explicit HTTPS sau un proxy de inspecție transparent) sau Reporniți (apare pentru un proxy explicit HTTP), citiți mesajul și apoi faceți clic pe Instalare dacă sunteți pregătit. Nodul repornește în câteva minute. |
7 | După repornirea nodului, conectați-vă din nou dacă este necesar, apoi deschideți pagina Prezentare generală pentru a verifica verificările de conectivitate pentru a vă asigura că toate sunt în stare verde. Verificarea conexiunii proxy testează numai un subdomeniu al webex.com. Dacă există probleme de conectivitate, o problemă comună este că unele dintre domeniile cloud enumerate în instrucțiunile de instalare sunt blocate la proxy. |
Înregistrați primul nod în cluster
Când vă înregistrați primul nod, creați un cluster căruia i se atribuie nodul. Un cluster conține unul sau mai multe noduri implementate pentru a oferi redundanță.
Înainte de a începe
Odată ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți.
Asigurați-vă că orice blocare pop-up din browser-ul dvs. este dezactivată sau că permiteți o excepție pentru admin.webex.com.
1 | Conectați-vă la https://admin.webex.com. |
2 | Din meniul din partea stângă a ecranului, selectați Servicii. |
3 | În secțiunea Servicii hibride, găsiți Securitatea datelor hibride și faceți clic pe Configurare. Apare pagina Nod de securitate a datelor hibride de înregistrare.
|
4 | Selectați Da pentru a indica faptul că ați configurat nodul și sunteți gata să îl înregistrați, apoi faceți clic pe Înainte. |
5 | În primul câmp, introduceți un nume pentru clusterul la care doriți să alocați nodul dvs. de securitate a datelor hibride. Vă recomandăm să denumiți un cluster bazat pe locul în care nodurile clusterului sunt localizate geografic. Exemple: "San Francisco" sau "New York" sau "Dallas" |
6 | În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Înainte. Această adresă IP sau FQDN trebuie să corespundă adresei IP sau numelui gazdei și domeniului pe care l-ați utilizat în Configurarea VM-ului de securitate a datelor hibride. Apare un mesaj care indică faptul că vă puteți înregistra nodul la Webex.
|
7 | Faceți clic pe Du-te la Nod. |
8 | Faceți clic pe Continuare în mesajul de avertizare. După câteva momente, sunteți redirecționat către testele de conectivitate la noduri pentru serviciile Webex. Dacă toate testele au succes, apare pagina Permiteți accesul la nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați permisiuni organizației dvs. Webex pentru a accesa nodul dvs.
|
9 | Bifați caseta de selectare Permite accesul la nodul dvs. de securitate a datelor hibride , apoi faceți clic pe Continuare. Contul dvs. este validat, iar mesajul „Înscriere completă” indică faptul că nodul dvs. este acum înregistrat în cloudul Webex.
|
10 | Faceți clic pe link-ul sau închideți fila pentru a reveni la pagina de securitate a datelor hibride Control Hub. Pe pagina Securitate datelor hibride, este afișat noul cluster care conține nodul pe care l-ați înregistrat. Nodul va descărca automat cel mai recent software din cloud.
|
Creați și înregistrați mai multe noduri
În acest moment, VMs de rezervă pe care le-ați creat în Completați Condițiile prealabile pentru securitatea datelor hibride sunt gazde standby care sunt utilizate numai în caz de recuperare a dezastrelor; acestea nu sunt înregistrate la sistem până atunci. Pentru detalii, consultați Recuperarea dezastrelor utilizând Centrul de date standby. |
Înainte de a începe
Odată ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți.
Asigurați-vă că orice blocare pop-up din browser-ul dvs. este dezactivată sau că permiteți o excepție pentru admin.webex.com.
1 | Creați o nouă mașină virtuală din OVA, repetând pașii din Instalați gazda HDS OVA. |
2 | Configurați configurația inițială pe noul VM, repetând pașii din Configurați VM-ul de securitate a datelor hibride. |
3 | Pe noul VM, repetați pașii din Încărcați și montați ISO de configurare HDS. |
4 | Dacă configurați un proxy pentru implementarea dvs., repetați pașii din Configurați nodul HDS pentru Integrare proxy după cum este necesar pentru noul nod. |
5 | Înregistrați nodul. Nodul dvs. este înregistrat. Rețineți că până când începeți o încercare, nodurile dvs. generează o alarmă care indică faptul că serviciul dvs. nu este încă activat.
|
Ce este de făcut în continuare
Încercare la fluxul sarcinilor de producție
După ce ați configurat un cluster de securitate a datelor hibride, puteți iniția un pilot, puteți adăuga utilizatori la acesta și puteți începe să îl utilizați pentru testarea și verificarea implementării dvs. în vederea trecerii la producție.
Înainte de a începe
1 | Dacă este cazul, sincronizați Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați |
2 |
Începeți o încercare. Până când nu efectuați această sarcină, nodurile dvs. generează o alarmă care indică faptul că serviciul nu este încă activat. |
3 | Testați implementarea securității datelor hibride Verificați dacă solicitările cheie trec la implementarea securității datelor hibride. |
4 | Monitorizarea sănătății securității datelor hibride Verificați starea și configurați notificările prin e-mail pentru alarme. |
5 | |
6 | Finalizați faza de probă cu una dintre următoarele acțiuni: |
Activați procesul
Înainte de a începe
Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați HdsTrialGroup
obiectul de grup pentru sincronizare în cloud înainte de a putea iniția o încercare pentru organizația dvs. Pentru instrucțiuni, consultați Ghidul de implementare pentru Cisco Directory Connector.
1 | Conectați-vă la https://admin.webex.comși apoi selectați Servicii. |
2 | Sub Securitatea datelor hibride, faceți clic pe Setări. |
3 | În secțiunea Stare serviciu, faceți clic pe Inițiere încercare. Starea serviciului se modifică în modul de încercare.
|
4 | Faceți clic pe Adăugare utilizatori și introduceți adresa de e-mail a unuia sau mai multor utilizatori pentru a pilot utilizând nodurile dvs. de securitate a datelor hibride pentru serviciile de criptare și indexare. (Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory pentru a gestiona grupul de încercare, |
Testați implementarea securității datelor hibride
Înainte de a începe
Configurați implementarea securității datelor hibride.
Activați procesul și adăugați mai mulți utilizatori de proces.
Asigurați-vă că aveți acces la syslog pentru a verifica dacă solicitările cheie trec la implementarea securității datelor hibride.
1 | Tastele pentru un anumit spațiu sunt stabilite de creatorul spațiului. Conectați-vă la Aplicația Webex ca unul dintre utilizatorii pilot, apoi creați un spațiu și invitați cel puțin un utilizator pilot și un utilizator non-pilot.
| ||
2 | Trimiteți mesaje către noul spațiu. | ||
3 | Verificați ieșirea syslog pentru a verifica dacă solicitările cheie trec la implementarea securității datelor hibride. |
Monitorizarea sănătății securității datelor hibride
1 | În Control Hub, selectați Servicii din meniul din partea stângă a ecranului. |
2 | În secțiunea Servicii hibride, găsiți Securitatea datelor hibride și faceți clic pe Setări. Apare pagina Setări securitate date hibride.
|
3 | În secțiunea Notificări prin e-mail, tastați una sau mai multe adrese de e-mail separate prin virgule și apăsați Enter. |
Adăugați sau eliminați utilizatori din procesul dvs.
Dacă eliminați un utilizator din trial, clientul utilizatorului va solicita chei și crearea de taste din KMS cloud în loc de KMS dvs. Dacă clientul are nevoie de o cheie stocată pe KMS-ul dvs., KMS-ul cloud o va prelua în numele utilizatorului.
Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory (în loc de această procedură) pentru a gestiona grupul de încercare, HdsTrialGroup
; puteți vizualiza membrii grupului din Control Hub, dar nu îi puteți adăuga sau elimina.
1 | Conectați-vă la Control Hub, apoi selectați Servicii. |
2 | Sub Securitatea datelor hibride, faceți clic pe Setări. |
3 | În secțiunea Modul de încercare din zona de stare a serviciului, faceți clic pe Adăugare utilizatori sau faceți clic pe vizualizare și editare pentru a elimina utilizatorii din trial. |
4 | Introduceți adresa de e-mail a unuia sau mai multor utilizatori pentru a adăuga sau faceți clic pe X de către un ID de utilizator pentru a elimina utilizatorul din încercare. Apoi faceți clic Salvați . |
Mutați de la încercare la producție
1 | Conectați-vă la Control Hub, apoi selectați Servicii. |
2 | Sub Securitatea datelor hibride, faceți clic pe Setări. |
3 | În secțiunea Stare serviciu, faceți clic pe Mutare în producție. |
4 | Confirmați că doriți să mutați toți utilizatorii la producție. |
Încheiați procesul fără a trece la producție
1 | Conectați-vă la Control Hub, apoi selectați Servicii. |
2 | Sub Securitatea datelor hibride, faceți clic pe Setări. |
3 | În secțiunea Dezactivare, faceți clic pe Dezactivare. |
4 | Confirmați că doriți să dezactivați serviciul și să finalizați procesul. |
Gestionați implementarea HDS
Utilizați sarcinile descrise aici pentru a gestiona implementarea securității datelor hibride.
Setați programul de upgrade al clusterului
Pentru a seta programul de upgrade:
1 | Conectați-vă la Control Hub . |
2 | Pe pagina Prezentare generală, în secțiunea Servicii hibride, selectați Securitatea datelor hibride. |
3 | Pe pagina Resurse de securitate a datelor hibride, selectați clusterul. |
4 | În panoul Prezentare generală din dreapta, în secțiunea Setări cluster, selectați numele clusterului. |
5 | Pe pagina Setări, în secțiunea Upgrade, selectați ora și fusul orar pentru programul de upgrade. Notă: În cadrul fusului orar, se afișează următoarea dată și oră de upgrade disponibile. Puteți amâna upgrade-ul până în ziua următoare, dacă este necesar, făcând clic pe Amânare. |
Modificarea configurației nodului
Modificarea certificatelor x.509 din cauza expirării sau din alte motive.
Nu acceptăm schimbarea nume domeniu CN al unui certificat. Domeniul trebuie să corespundă domeniului inițial utilizat pentru înregistrarea clusterului.
Actualizarea setărilor bazei de date pentru a trece la o replică a bazei de date PostgreSQL sau Microsoft SQL Server.
Nu acceptăm migrarea datelor de la PostgreSQL la Microsoft SQL Server sau invers. Pentru a comuta mediul bazei de date, începeți o nouă implementare a Hybrid Data Security.
Crearea unei noi configurații pentru pregătirea unui nou centru de date.
De asemenea, din motive de securitate, Hybrid Data Security utilizează parole ale cont al serviciului care au o durată de viață de nouă luni. După ce instrumentul de configurare HDS generează aceste parole, le implementați în fiecare dintre nodurile HDS din fișierul de configurare ISO . Când parolele organizației dvs. se apropie de expirare, primiți o notificare de la echipa Webex prin care vă rugăm să resetați parola pentru contul computerului dvs. (E-mailul include textul „Utilizați API -ul contului de computer pentru a actualiza parola.”) Dacă parolele nu au expirat încă, instrumentul vă oferă două opțiuni:
Resetare soft —Parolele vechi și noi sunt valabile până la 10 zile. Utilizați această perioadă pentru a înlocui treptat fișierul ISO pe noduri.
Resetare hardware — Parolele vechi nu mai funcționează imediat.
Dacă parolele expiră fără resetare, acest lucru afectează serviciul HDS, necesitând o resetare hardware imediată și înlocuirea fișierului ISO pe toate nodurile.
Utilizați această procedură pentru a genera un nou fișier ISO de configurare și a-l aplica clusterului dvs.
Înainte de a începe
Instrumentul de configurare HDS rulează ca container Docker pe un computer local. Pentru a-l accesa, rulați Docker pe acel computer. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi complete de administrator pentru organizația dvs.
Dacă instrumentul de configurare HDS rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin variabilele de mediu Docker atunci când ridicați containerul Docker în 1.e. Acest tabel oferă câteva variabile de mediu posibile:
Descriere
Variabilă
Proxy HTTP fără autentificare
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS fără autentificare
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP cu autentificare
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS cu autentificare
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Aveți nevoie de o copie a fișierului ISO de configurare curentă pentru a genera o nouă configurație. ISO conține cheia principală de criptare a bazei de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de ISO când efectuați modificări de configurare, inclusiv date de autentificare în baza de date, actualizări de certificate sau modificări ale politicii de autorizare.
1 | Utilizând Docker pe un computer local, rulați Instrumentul de configurare HDS. |
2 | Dacă aveți un singur nod HDS care rulează , creați un nou VM nod Hybrid Data Security și înregistrați-l utilizând noul fișier ISO de configurare. Pentru instrucțiuni mai detaliate, consultați Creați și înregistrați mai multe noduri. |
3 | Pentru nodurile HDS existente care rulează fișierul de fișier de configurare mai vechi , montați fișierul ISO . Efectuați următoarea procedură pe fiecare nod pe rând, actualizând fiecare nod înainte de a opri următorul nod: |
4 | Repetați pasul 3 pentru a înlocui configurația pe fiecare nod rămas care rulează configurația veche. |
Dezactivați Modul De Rezoluție DNS Externă Blocat
Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează aspectul DNS și conectivitatea la cloudul Cisco Webex. Dacă serverul DNS al nodului nu poate rezolva numele DNS publice, nodul intră automat în modul de Rezoluție DNS Externă Blocată.
Dacă nodurile dvs. sunt capabile să rezolve numele DNS publice prin intermediul serverelor DNS interne, puteți dezactiva acest mod prin reactivarea testului de conexiune proxy pe fiecare nod.
Înainte de a începe
1 | Într-un browser web, deschideți interfața nodului de securitate a datelor hibride (adresă IP/configurare, de exemplu, https://192.0.2.0/setup), introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare. |
2 | Accesați Prezentare generală (pagina implicită). Când este activat, Rezoluție DNS externă blocată este setat la Da . |
3 | Accesați pagina Trust Store & Proxy . |
4 | Faceți clic pe Verificare conexiune proxy. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a avut succes, nodul nu a putut ajunge la serverul DNS și va rămâne în acest mod. În caz contrar, după ce reporniți nodul și reveniți la pagina Prezentare generală , Rezoluția DNS externă blocată trebuie setată la nr. |
Ce este de făcut în continuare
Eliminați un nod
1 | Utilizați clientul VMware vSphere de pe computer pentru a vă conecta la gazda virtuală ESXi și pentru a dezactiva mașina virtuală. |
2 | Eliminați nodul: |
3 | În clientul vSphere, ștergeți VM. (În panoul de navigare din stânga, faceți clic dreapta pe VM și faceți clic pe Ștergere.) Dacă nu ștergeți VM, nu uitați să dezasamblați fișierul de configurare ISO. Fără fișierul ISO, nu puteți utiliza VM pentru a accesa datele de securitate. |
Recuperare dezastre utilizând Centrul de date standby
Cel mai important serviciu pe care îl oferă clusterul de securitate a datelor hibride este crearea și stocarea de taste utilizate pentru criptarea mesajelor și a altor conținuturi stocate în cloudul Webex. Pentru fiecare utilizator din cadrul organizației care este atribuit securității datelor hibride, noile solicitări de creare a cheii sunt direcționate către cluster. Clusterul este, de asemenea, responsabil pentru returnarea cheilor pe care le-a creat oricărui utilizator autorizat să le recupereze, de exemplu, membrii unui spațiu de conversație.
Deoarece clusterul îndeplinește funcția critică de furnizare a acestor chei, este imperativ ca clusterul să rămână în funcțiune și să fie menținute backup-uri corespunzătoare. Pierderea bazei de date Hybrid Data Security sau a configurației ISO utilizate pentru schemă va duce la PIERDEREA INRECUPERABILĂ a conținutului clientului. Următoarele practici sunt obligatorii pentru a preveni o astfel de pierdere:
Dacă un dezastru face ca implementarea HDS în centrul de date principal să devină indisponibilă, urmați această procedură pentru a eșua manual la centrul de date standby.
1 | Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS. | ||
2 | După configurarea serverului Syslogd, faceți clic pe Setări avansate | ||
3 | Pe pagina Setări avansate, adăugați configurația de mai jos sau eliminați
| ||
4 | Completați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit. | ||
5 | Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare. | ||
6 | În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări.. | ||
7 | Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Fișier ISO Datastore.
| ||
8 | Activați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute. | ||
9 | Repetați procesul pentru fiecare nod din centrul de date standby.
|
Ce este de făcut în continuare
(Opțional) Dezasamblare ISO După configurarea HDS
Configurația standard HDS rulează cu ISO montat. Dar, unii clienți preferă să nu lase fișierele ISO montate în mod continuu. Puteți demonta fișierul ISO după ce toate nodurile HDS preiau noua configurație.
Utilizați în continuare fișierele ISO pentru a face modificări de configurare. Când creați un nou ISO sau actualizați un ISO prin Instrumentul de configurare, trebuie să montați ISO actualizat pe toate nodurile HDS. După ce toate nodurile dvs. au preluat modificările de configurare, puteți demonta din nou ISO cu această procedură.
Înainte de a începe
Actualizați toate nodurile HDS la versiunea 2021.01.22.4720 sau o versiune ulterioară.
1 | Închideți unul dintre nodurile HDS. |
2 | În dispozitivul server vCenter, selectați nodul HDS. |
3 | Alegeți ISO Datastore. și debifați fișierul |
4 | Alimentați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 20 de minute. |
5 | Repetați pentru fiecare nod HDS la rândul său. |
Vizualizare alerte și depanare
O implementare a securității datelor hibride este considerată indisponibilă dacă toate nodurile din cluster sunt inaccesibile sau clusterul funcționează atât de lent încât solicită timp de excludere. Dacă utilizatorii nu pot ajunge la clusterul dvs. de securitate a datelor hibride, aceștia experimentează următoarele simptome:
Nu se pot crea spații noi (nu se pot crea chei noi)
Mesajele și titlurile spațiului nu pot fi decriptate pentru:
Utilizatori noi adăugați într-un spațiu (nu se pot prelua tastele)
Utilizatorii existenți dintr-un spațiu care utilizează un client nou (nu pot prelua tastele)
Utilizatorii existenți într-un spațiu vor continua să ruleze cu succes atâta timp cât clienții lor au un cache al cheilor de criptare
Este important să monitorizați în mod corespunzător clusterul de securitate a datelor hibride și să adresați imediat orice alerte pentru a evita perturbarea serviciului.
Alerte
Dacă există o problemă cu configurarea securității datelor hibride, Control Hub afișează alerte administratorului organizației și trimite e-mailuri la adresa de e-mail configurată. Alertele acoperă multe scenarii comune.
Alerte | Acțiune |
---|---|
Eșecul accesului la baza de date locală. |
Verificați erorile bazei de date sau problemele de rețea locale. |
Eșecul conexiunii la baza de date locală. |
Verificați dacă serverul bazei de date este disponibil, iar acreditările contului de serviciu corespunzător au fost utilizate în configurația nodului. |
Eșecul accesului la servicii în cloud. |
Verificați dacă nodurile pot accesa serverele Webex astfel cum sunt specificate în cerințele de conectivitate externă. |
Reînnoirea înregistrării serviciului în cloud. |
S-a renunțat la înscrierea în serviciile cloud. Reînnoirea înregistrării este în curs. |
Înscrierea în serviciul Cloud a scăzut. |
Înscrierea la serviciile cloud s-a încheiat. Serviciul se închide. |
Serviciul nu este încă activat. |
Activați un proces sau finalizați mutarea procesului la producție. |
Domeniul configurat nu corespunde certificatului serverului. |
Asigurați-vă că certificatul serverului dvs. corespunde domeniului de activare a serviciului configurat. Cauza cea mai probabilă este că certificatul CN a fost modificat recent și este acum diferit de CN care a fost utilizat în timpul configurării inițiale. |
Nu s-a reușit autentificarea la serviciile cloud. |
Verificați acuratețea și posibila expirare a acreditărilor contului de serviciu. |
Nu s-a reușit deschiderea fișierului local de keystore. |
Verificați integritatea și precizia parolei în fișierul de keystore local. |
Certificatul serverului local este nevalid. |
Verificați data de expirare a certificatului serverului și confirmați că acesta a fost eliberat de o autoritate de certificare de încredere. |
Nu se pot posta măsurători. |
Verificați accesul la rețeaua locală la serviciile cloud externe. |
directorul /media/configdrive/hds nu există. |
Verificați configurația de montare ISO pe gazda virtuală. Verificați dacă fișierul ISO există, dacă este configurat să fie montat pe repornire și dacă se montează cu succes. |
Depanarea securității datelor hibride
1 | Revizuiți Control Hub pentru orice alerte și remediați orice elemente pe care le găsiți acolo. |
2 | Revizuiți ieșirea serverului syslog pentru activitatea din implementarea securității datelor hibride. |
3 | Contactați asistența Cisco. |
Probleme cunoscute pentru securitatea datelor hibride
Dacă închideți clusterul de securitate a datelor hibride (prin ștergerea acestuia în Control Hub sau prin închiderea tuturor nodurilor), pierdeți fișierul ISO de configurare sau pierdeți accesul la baza de date Keystore, utilizatorii aplicației Webex nu mai pot utiliza spații din lista lor de persoane care au fost create cu tastele din KMS. Acest lucru este valabil atât pentru operațiunile de încercare, cât și pentru operațiunile de producție. În prezent, nu avem un loc de muncă sau o soluție pentru această problemă și vă solicităm să nu închideți serviciile HDS odată ce acestea gestionează conturile de utilizator active.
Un client care are o conexiune ECDH existentă la un KMS menține acea conexiune pentru o perioadă de timp (probabil o oră). Atunci când un utilizator devine membru al unui proces de securitate a datelor hibride, clientul utilizatorului continuă să utilizeze conexiunea ECDH existentă până la expirarea acesteia. Alternativ, utilizatorul se poate deconecta și reconecta la aplicația Aplicației Webex pentru a actualiza locația pe care aplicația o contactează pentru cheile de criptare.
Același comportament apare atunci când mutați un proces la producție pentru organizație. Toți utilizatorii non-trial cu conexiuni ECDH existente la serviciile anterioare de securitate a datelor vor continua să utilizeze aceste servicii până când conexiunea ECDH este renegociată (prin expirare sau prin deconectare și reconectare).
Utilizați OpenSSL pentru a genera un fișier PKCS12
Înainte de a începe
OpenSSL este un instrument care poate fi folosit pentru a face fișierul PKCS12 în formatul adecvat pentru încărcare în instrumentul de configurare HDS. Există alte modalități de a face acest lucru, și nu sprijinim sau promovăm un mod peste altul.
Dacă alegeți să utilizați OpenSSL, oferim această procedură ca ghid pentru a vă ajuta să creați un fișier care îndeplinește cerințele certificatului X.509 din X.509 Cerințe de certificat. Înțelegeți aceste cerințe înainte de a continua.
Instalați OpenSSL într-un mediu acceptat. Consultați https://www.openssl.org pentru software și documentație.
Creați o tastă privată.
Începeți această procedură atunci când primiți certificatul de server de la Autoritatea dvs. de certificare (CA).
1 | Când primiți certificatul de server de la CA, salvați-l ca |
2 | Afișați certificatul ca text și verificați detaliile.
|
3 | Utilizați un editor de text pentru a crea un fișier de pachet de certificate numit
|
4 | Creați fișierul .p12 cu numele prietenos
|
5 | Verificați detaliile certificatului serverului. |
Ce este de făcut în continuare
Reveniți la Completarea Condițiilor prealabile pentru securitatea datelor hibride. Veţi utiliza hdsnode.p12
fișier și parola pe care ați setat-o pentru acesta, în Creați un ISO de configurare pentru gazdele HDS.
Puteți reutiliza aceste fișiere pentru a solicita un nou certificat atunci când certificatul original expiră. |
Trafic între nodurile HDS și cloud
Trafic colecție metrică de ieșire
Nodurile de securitate a datelor hibride trimit anumite măsurători în cloudul Webex. Acestea includ măsurători de sistem pentru înălțimea maximă, înălțimea utilizată, sarcina CPU și numărul de fire; măsurători pe fire sincrone și asincronice; măsurători pe alerte care implică un prag de conexiuni de criptare, latență sau o lungime a cozii de solicitare; măsurători pe placa de date; și măsurători de conexiune de criptare. Nodurile trimit material cheie criptat printr-un canal în afara benzii (separat de solicitare).
Trafic de intrare
Nodurile de securitate a datelor hibride primesc următoarele tipuri de trafic de intrare din cloudul Webex:
Cereri de criptare de la clienți, care sunt rutate de serviciul de criptare
Actualizări la software-ul nodului
Configurați proxy-urile Squid pentru securitatea datelor hibride
Șoseta web nu se poate Conecta Prin Proxy Squid
Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea websocket ( wss:
) conexiuni care necesită Securitatea datelor hibride. Aceste secțiuni oferă îndrumări cu privire la modul de configurare a diferitelor versiuni de Squid pentru a ignora wss:
trafic pentru buna funcționare a serviciilor.
Squid 4 și 5
Adăugați on_unsupported_protocol
directivă privind squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Am testat cu succes Securitatea datelor hibride cu următoarele reguli adăugate la squid.conf
. Aceste reguli se pot modifica pe măsură ce dezvoltăm caracteristici și actualizăm cloudul Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Informații noi și modificate
Dată | Modificări efectuate | ||
---|---|---|---|
20 octombrie 2023 |
| ||
07 august 2023 |
| ||
23 mai 2023 |
| ||
06 decembrie 2022 |
| ||
23 noiembrie 2022 |
| ||
13 octombrie 2021 | Docker Desktop trebuie să ruleze un program de configurare înainte de a putea instala noduri HDS. Consultați Cerințele de desktop ale Docker. | ||
24 iunie 2021 | Rețineți că puteți reutiliza fișierul cu tastatură privată și CSR pentru a solicita un alt certificat. Consultați Utilizarea OpenSSL pentru a genera un fișier PKCS12 pentru detalii. | ||
30 aprilie 2021 | A schimbat cerința VM pentru spațiul local pe hard disk la 30 GB. Consultați Cerințele Gazdei Virtuale pentru detalii. | ||
24 februarie 2021 | Instrumentul de configurare HDS poate rula acum în spatele unui proxy. Consultați Creați un ISO de configurare pentru gazdele HDS pentru detalii. | ||
2 februarie 2021 | HDS poate rula acum fără un fișier ISO montat. Consultați (Opțional) Dezasamblarea ISO după configurarea HDS pentru detalii. | ||
11 ianuarie 2021 | Au fost adăugate informații despre instrumentul de configurare HDS și proxy-uri pentru a crea un ISO de configurare pentru gazdele HDS. | ||
13 octombrie 2020 | Fișiere de instalare Descărcare actualizate. | ||
8 octombrie 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS și modificați configurația nodului cu comenzi pentru mediile FedRAMP. | ||
14 august 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS și modificați configurația nodului cu modificări ale procesului de conectare. | ||
5 august 2020 | Actualizat Testați implementarea securității datelor hibride pentru modificări ale mesajelor jurnal. S-au actualizat Cerințele Gazdei Virtuale pentru a elimina numărul maxim de gazde. | ||
16 iunie 2020 | Actualizat Eliminați un nod pentru modificările din interfața cu utilizatorul Control Hub. | ||
4 iunie 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS pentru modificările din Setările avansate pe care le-ați putea seta. | ||
29 mai 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS pentru a afișa puteți utiliza, de asemenea, TLS cu baze de date SQL Server, modificări de interfață de utilizator și alte clarificări. | ||
5 mai 2020 | Actualizat Cerințele Gazdei Virtuale pentru a afișa noua cerință a ESXi 6.5. | ||
21 aprilie 2020 | Actualizat Cerințe de conectivitate externă cu noi gazde CI din America. | ||
Aprilie 1, 2020 | Actualizat Cerințele de conectivitate externă cu informații despre gazdele regionale CI. | ||
20 februarie 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS cu informații despre noul ecran opțional de setări avansate din instrumentul de configurare HDS. | ||
4 februarie 2020 | Cerințe server proxy actualizate. | ||
16 decembrie 2019 | A clarificat cerința ca modul de rezoluție DNS extern blocat să funcționeze în cerințele serverului proxy. | ||
19 noiembrie 2019 | Au fost adăugate informații despre modul de rezoluție DNS extern blocat în următoarele secțiuni: | ||
8 noiembrie 2019 | Acum puteți configura setările de rețea pentru un nod în timp ce implementați OVA, mai degrabă decât ulterior. Actualizat în consecință următoarele secțiuni:
| ||
6 septembrie 2019 | S-a adăugat standardul SQL Server la cerințele serverului bazei de date. | ||
august 29, 2019 | A fost adăugată Configurarea proxy-urilor Squid pentru securitatea datelor hibride , cu îndrumări privind configurarea proxy-urilor Squid pentru a ignora traficul websocket pentru funcționarea corespunzătoare. | ||
20 august 2019 | Secțiuni adăugate și actualizate pentru a acoperi asistența proxy pentru comunicațiile nodului de securitate a datelor hibride în cloudul Webex. Pentru a accesa doar conținutul de asistență proxy pentru o implementare existentă, consultați Asistența proxy pentru securitatea datelor hibride și articolul de ajutor Webex Video Mesh . | ||
13 iunie 2019 | A fost actualizat Fluxul de activități de producție cu un memento pentru a sincroniza HdsTrialGroup obiectul de grup înainte de a începe un trial dacă organizația dvs. utilizează sincronizarea directorului. | ||
6 martie 2019 |
| ||
februarie 28, 2019 |
| ||
26 februarie 2019 |
| ||
24 ianuarie 2019 |
| ||
noiembrie 5, 2018 |
| ||
19 octombrie 2018 |
| ||
31 iulie 2018 |
| ||
21 mai 2018 | Terminologia modificată pentru a reflecta rebranding-ul Cisco Spark:
| ||
11 aprilie 2018 |
| ||
22 februarie 2018 |
| ||
februarie 15, 2018 |
| ||
ianuarie 18, 2018 |
| ||
noiembrie 2, 2017 |
| ||
18 august 2017 | Prima publicare |
Prezentare generală a securității datelor hibride
Începând cu prima zi, securitatea datelor a fost accentul principal în proiectarea Aplicației Webex. Piatra de temelie a acestei securități este criptarea conținutului end-to-end, activată de clienții aplicației Webex care interacționează cu Serviciul de gestionare a cheilor (KMS). KMS este responsabil pentru crearea și gestionarea cheilor criptografice pe care clienții le utilizează pentru a cripta și decripta în mod dinamic mesajele și fișierele.
În mod implicit, toți clienții Aplicației Webex primesc criptare end-to-end cu chei dinamice stocate în KMS cloud, în domeniul de securitate al Cisco. Hybrid Data Security mută KMS și alte funcții legate de securitate în centrul de date la nivel de întreprindere dvs., astfel încât nimeni în afară de dvs. să nu dețină cheile conținutului dvs. criptat.
Arhitectură Realm de securitate
Arhitectura cloud Webex separă diferite tipuri de servicii în domenii separate sau domenii de încredere, după cum este descris mai jos.
Pentru a înțelege în continuare securitatea datelor hibride, să ne uităm mai întâi la acest caz cloud pur, în care Cisco oferă toate funcțiile din domeniile sale cloud. Serviciul de identitate, singurul loc în care utilizatorii pot fi direct corelați cu informațiile lor personale, cum ar fi adresa de e-mail, este separat în mod logic și fizic de domeniul de securitate din centrul de date B. Ambele sunt, la rândul lor, separate de domeniul în care conținutul criptat este stocat în cele din urmă, în centrul de date C.
În această diagramă, clientul este aplicația Webex care rulează pe laptopul unui utilizator și s-a autentificat cu serviciul de identitate. Când utilizatorul compune un mesaj pentru a trimite într-un spațiu, au loc următorii pași:
Clientul stabilește o conexiune securizată cu serviciul de gestionare a cheilor (KMS), apoi solicită o cheie pentru a cripta mesajul. Conexiunea securizată utilizează ECDH, iar KMS criptează cheia utilizând o cheie principală AES-256.
Mesajul este criptat înainte de a părăsi clientul. Clientul îl trimite la serviciul de indexare, care creează indexuri de căutare criptate pentru a ajuta în căutările viitoare pentru conținut.
Mesajul criptat este trimis serviciului de conformitate pentru verificări de conformitate.
Mesajul criptat este stocat în domeniul de stocare.
Când implementați Securitatea datelor hibride, mutați funcțiile domeniului de securitate (KMS, indexare și conformitate) în centrul dvs. de date local. Celelalte servicii cloud care alcătuiesc Webex (inclusiv stocarea identității și a conținutului) rămân în domeniile Cisco.
Colaborarea cu Alte Organizații
Utilizatorii din organizația dvs. pot utiliza în mod regulat Aplicația Webex pentru a colabora cu participanți externi din alte organizații. Când unul dintre utilizatorii dvs. solicită o cheie pentru un spațiu care este deținut de organizația dvs. (deoarece a fost creat de unul dintre utilizatorii dvs.), KMS trimite cheia către client printr-un canal ECDH securizat. Cu toate acestea, atunci când o altă organizație deține cheia pentru spațiu, KMS-ul direcționează cererea către cloudul Webex printr-un canal ECDH separat pentru a obține cheia de la KMS-ul corespunzător și apoi returnează cheia către utilizatorul dvs. pe canalul original.
Serviciul KMS care rulează pe Org A validează conexiunile la KMS în alte organizații utilizând x.509 certificate PKI. Consultați Pregătiți-vă mediul pentru detalii despre generarea unui certificat x.509 pe care să-l utilizați cu implementarea securității datelor hibride.
Așteptări pentru implementarea securității datelor hibride
O implementare a securității datelor hibride necesită un angajament semnificativ din partea clienților și o conștientizare a riscurilor pe care le implică deținerea cheilor de criptare.
Pentru a implementa securitatea datelor hibride, trebuie să furnizați:
Un centru de date securizat într-o țară care este o locație acceptată pentru planurile Cisco Webex Teams.
Echipamentul, software-ul și accesul la rețea descrise în Pregătirea Mediului.
Pierderea completă a configurației ISO pe care o construiți pentru securitatea datelor hibride sau a bazei de date pe care o furnizați va duce la pierderea tastelor. Pierderea tastelor împiedică utilizatorii să decripteze conținutul spațiului și alte date criptate în Aplicația Webex. Dacă se întâmplă acest lucru, puteți construi o nouă implementare, dar numai conținut nou va fi vizibil. Pentru a evita pierderea accesului la date, trebuie:
Gestionați backup-ul și recuperarea bazei de date și configurația ISO.
Fiți pregătiți să efectuați recuperarea rapidă a dezastrelor dacă apare o catastrofă, cum ar fi defectarea discului de bază de date sau dezastrul centrului de date.
Nu există niciun mecanism pentru a muta cheile înapoi în Cloud după o implementare HDS. |
Proces de configurare la nivel înalt
Acest document acoperă configurarea și gestionarea implementării securității datelor hibride:
Configurați securitatea datelor hibride—Aceasta include pregătirea infrastructurii necesare și instalarea software-ului de securitate a datelor hibride, testarea implementării dvs. cu un subset de utilizatori în modul de încercare și, odată ce testarea dvs. este finalizată, trecerea la producție. Aceasta convertește întreaga organizație pentru a utiliza clusterul dvs. de securitate a datelor hibride pentru funcțiile de securitate.
Fazele de configurare, încercare și producție sunt acoperite în detaliu în următoarele trei capitole.
Mențineți implementarea securității datelor hibride—cloud-ul Webex oferă automat upgrade-uri în curs. Departamentul dvs. IT poate oferi un singur nivel de asistență pentru această implementare și poate angaja asistență Cisco după cum este necesar. Puteți utiliza notificări pe ecran și puteți configura alerte pe bază de e-mail în Control Hub.
Înțelegerea alertelor comune, a pașilor de depanare și a problemelor cunoscute—Dacă întâmpinați probleme la implementarea sau utilizarea securității datelor hibride, ultimul capitol din acest ghid și apendicele Probleme cunoscute vă pot ajuta să determinați și să remediați problema.
Model de implementare a securității datelor hibride
În cadrul centrului dvs. de date al întreprinderii, implementați Securitatea datelor hibride ca un singur grup de noduri pe gazde virtuale separate. Nodurile comunică cu cloudul Webex prin prize web securizate și HTTP securizat.
În timpul procesului de instalare, vă oferim fișierul OVA pentru a configura dispozitivul virtual pe VMs pe care le furnizați. Utilizați instrumentul de configurare HDS pentru a crea un fișier ISO de configurare a clusterului personalizat pe care îl montați pe fiecare nod. Clusterul de securitate a datelor hibride utilizează serverul Syslogd furnizat și baza de date PostgreSQL sau Microsoft SQL Server. (Configurați detaliile conexiunii Syslogd și a bazei de date în Instrumentul de configurare HDS.)
Numărul minim de noduri pe care le puteți avea într-un cluster este de două. Vă recomandăm cel puțin trei, și puteți avea până la cinci. Existența mai multor noduri asigură faptul că serviciul nu este întrerupt în timpul unui upgrade de software sau al unei alte activități de întreținere pe un nod. (Cloudul Webex actualizează doar un nod la un moment dat.)
Toate nodurile dintr-un cluster accesează aceeași bază de date cu tastatură și înregistrează activitatea pe același server syslog. Nodurile în sine sunt apatride și se ocupă de solicitările cheie în modul rotund-robin, așa cum este direcționat de cloud.
Nodurile devin active atunci când le înregistrați în Control Hub. Pentru a scoate un nod individual din serviciu, îl puteți desînregistra și apoi îl puteți reînregistra, dacă este necesar.
Sprijinim doar un singur cluster per organizație.
Mod de încercare pentru securitatea datelor hibride
După configurarea unei implementări de securitate a datelor hibride, încercați mai întâi cu un set de utilizatori pilot. În timpul perioadei de încercare, acești utilizatori utilizează domeniul local de securitate a datelor hibride pentru cheile de criptare și alte servicii din domeniul de securitate. Ceilalți utilizatori continuă să utilizeze domeniul de securitate cloud.
Dacă decideți să nu continuați implementarea în timpul perioadei de încercare și să dezactivați serviciul, utilizatorii pilot și orice utilizatori cu care au interacționat prin crearea de spații noi în timpul perioadei de încercare vor pierde accesul la mesaje și conținut. Aceștia vor vedea „Acest mesaj nu poate fi decriptat” în aplicația Webex.
Dacă sunteți mulțumit că implementarea dvs. funcționează bine pentru utilizatorii de încercare și sunteți pregătit să extindeți Securitatea datelor hibride la toți utilizatorii dvs., mutați implementarea în producție. Utilizatorii pilot continuă să aibă acces la cheile care au fost utilizate în timpul încercării. Cu toate acestea, nu se poate muta înapoi și înainte între modul de producție și procesul inițial. Dacă trebuie să dezactivați serviciul, cum ar fi pentru a efectua recuperarea dezastrelor, atunci când reactivați, trebuie să începeți o nouă încercare și să configurați setul de utilizatori pilot pentru noua încercare înainte de a reveni la modul de producție. Dacă utilizatorii păstrează accesul la date în acest moment depinde de faptul dacă ați menținut cu succes copii de rezervă ale stocului de date cheie și ale fișierului de configurare ISO pentru nodurile de securitate a datelor hibride din cluster.
Centrul de date standby pentru recuperarea dezastrelor
În timpul implementării, ați configurat un centru de date standby securizat. În cazul unui dezastru al unui centru de date, puteți eșua manual implementarea în centrul de date standby.
Bazele de date ale centrelor de date active și standby sunt în sincronizare unele cu altele, ceea ce va reduce la minimum timpul necesar pentru a efectua eșecul. Fișierul ISO al centrului de date standby este actualizat cu configurații suplimentare care asigură că nodurile sunt înregistrate în organizație, dar nu vor gestiona traficul. Prin urmare, nodurile centrului de date standby rămân întotdeauna la zi cu cea mai recentă versiune de software HDS.
Nodurile active de securitate a datelor hibride trebuie să fie întotdeauna în același centru de date ca serverul de bază de date activă. |
Configurarea Centrului de date standby pentru recuperarea dezastrelor
Urmați pașii de mai jos pentru a configura fișierul ISO al centrului de date standby:
Înainte de a începe
Centrul de date standby trebuie să reflecte mediul de producție al VMs și o bază de date PostgreSQL sau Microsoft SQL Server de rezervă. De exemplu, dacă producția are 3 VMs care rulează noduri HDS, mediul de rezervă ar trebui să aibă 3 VMs. (Consultați Standby Data Center for Disaster Recovery pentru o prezentare generală a acestui model de eșec.)
Asigurați-vă că sincronizarea bazei de date este activată între baza de date a nodurilor de cluster active și pasive.
1 | Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.
| ||
2 | După configurarea serverului Syslogd, faceți clic pe Setări avansate | ||
3 | Pe pagina Setări avansate, adăugați configurația de mai jos pentru a plasa nodul în modul pasiv. În acest mod, nodul va fi înregistrat în organizație și conectat la cloud, dar nu va gestiona niciun trafic.
| ||
4 | Completați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit. | ||
5 | Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare. | ||
6 | În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări.. | ||
7 | Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Fișier ISO Datastore.
| ||
8 | Activați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute. | ||
9 | Repetați procesul pentru fiecare nod din centrul de date standby.
|
Ce este de făcut în continuare
După configurare passiveMode
în fișierul ISO și salvându-l, puteți crea o altă copie a fișierului ISO fără passiveMode
configurare și salvați-l într-o locație sigură. Această copie a fișierului ISO fără passiveMode
configurat poate ajuta într-un proces rapid de eșec în timpul recuperării dezastrelor. Consultați Recuperarea dezastrelor utilizând Centrul de date standby pentru procedura detaliată de nereușită.
Asistență proxy
Securitatea datelor hibride acceptă inspecții explicite, transparente și proxy-uri neinspectate. Puteți lega aceste proxy-uri de implementarea dvs., astfel încât să puteți securiza și monitoriza traficul de la întreprindere la cloud. Puteți utiliza o interfață de administrare a platformei pe noduri pentru gestionarea certificatelor și pentru a verifica starea generală a conectivității după ce ați configurat proxy-ul pe noduri.
Nodurile de securitate a datelor hibride acceptă următoarele opțiuni proxy:
Fără proxy—Implicit dacă nu utilizați configurația de configurare a nodului HDS Trust Store și proxy pentru a integra un proxy. Nu este necesară nicio actualizare a certificatului.
Proxy fără inspecție transparent—Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy și nu ar trebui să necesite nicio modificare pentru a lucra cu un proxy fără inspecție. Nu este necesară nicio actualizare a certificatului.
Tunelare transparentă sau inspecție proxy—Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy. Nu sunt necesare modificări ale configurației HTTP sau HTTPS pe noduri. Cu toate acestea, nodurile au nevoie de un certificat rădăcină, astfel încât să aibă încredere în proxy. De obicei, proxy-urile de inspecție sunt utilizate de IT pentru a pune în aplicare politicile pe care site-urile pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).
Proxy explicit—Cu proxy explicit, spuneți nodurilor HDS ce server proxy și sistem de autentificare să utilizați. Pentru a configura un proxy explicit, trebuie să introduceți următoarele informații pe fiecare nod:
IP proxy/FQDN—Adresă care poate fi utilizată pentru a ajunge la utilajul proxy.
Portul proxy—Un număr de port pe care proxy-ul îl folosește pentru a asculta traficul proxy.
Proxy Protocol—În funcție de ce acceptă serverul dvs. proxy, alegeți între următoarele protocoale:
HTTP—Vizualizează și controlează toate solicitările pe care clientul le trimite.
HTTPS—Oferă un canal serverului. Clientul primește și validează certificatul serverului.
Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:
Niciuna – Nu este necesară autentificarea suplimentară.
Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
De bază—Utilizat pentru un agent de utilizator HTTP pentru a furniza un nume de utilizator și o parolă atunci când efectuați o solicitare. Utilizează codificarea Base64.
Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
Vă cere să introduceți numele de utilizator și parola pe fiecare nod.
Digest—Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite în rețea.
Disponibil numai dacă selectați HTTPS ca protocol proxy.
Vă cere să introduceți numele de utilizator și parola pe fiecare nod.
Exemplu de noduri hibride de securitate a datelor și proxy
Această diagramă arată o conexiune de exemplu între securitatea datelor hibride, rețea și un proxy. Pentru inspectarea transparentă și opțiunile HTTPS de inspecție explicită a proxy-urilor, trebuie instalat același certificat rădăcină pe proxy și pe nodurile de securitate a datelor hibride.
Modul de rezoluție DNS extern blocat (configurații proxy explicite)
Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează aspectul DNS și conectivitatea la cloudul Cisco Webex. În implementările cu configurații proxy explicite care nu permit rezoluția DNS externă pentru clienții interni, dacă nodul nu poate interoga serverele DNS, acesta intră automat în modul de Rezoluție DNS Externă Blocată. În acest mod, pot continua testele de înregistrare a nodurilor și alte teste de conectivitate proxy.
Cerințe privind securitatea datelor hibride
Cerințe de licență Cisco Webex
Pentru implementarea securității datelor hibride:
Trebuie să aveți un pachet Pro pentru Cisco Webex Control Hub. (Consultați https://www.cisco.com/go/pro-pack.)
Cerințe Docker Desktop
Înainte de a instala nodurile HDS, aveți nevoie de Docker Desktop pentru a rula un program de configurare. Docker și-a actualizat recent modelul de licențiere. Este posibil ca organizația dvs. să necesite un abonament cu plată pentru Docker Desktop. Pentru detalii, consultați postarea de pe blogul Docker, " Docker actualizează și extinde abonamentele noastre la produse ".
X.509 Cerințe privind certificatul
Lanțul certificatului trebuie să îndeplinească următoarele cerințe:
Obligatoriu | Detalii |
---|---|
| În mod implicit, avem încredere în CA-urile din lista Mozilla (cu excepția WoSign și StartCom) la https://wiki.mozilla.org/CA:IncludedCAs. |
| CN-ul nu trebuie să fie accesibil sau o gazdă live. Vă recomandăm să utilizați un nume care reflectă organizația dvs., de exemplu, CN nu trebuie să conțină un * (wildcard). CN este utilizat pentru a verifica nodurile de securitate a datelor hibride pentru clienții Aplicației Webex. Toate nodurile de securitate a datelor hibride din clusterul dvs. utilizează același certificat. KMS-ul se identifică utilizând domeniul CN, nu orice domeniu care este definit în câmpurile SAN x.509v3. După ce ați înregistrat un nod cu acest certificat, nu acceptăm schimbarea numelui domeniului CN. Alegeți un domeniu care se poate aplica atât implementărilor de încercare, cât și implementărilor de producție. |
| Software-ul KMS nu acceptă semnăturile SHA1 pentru validarea conexiunilor la KMSs ale altor organizații. |
| Puteți utiliza un convertor, cum ar fi OpenSSL pentru a schimba formatul certificatului. Va trebui să introduceți parola atunci când rulați Instrumentul de configurare HDS. |
Software-ul KMS nu impune utilizarea cheii sau restricții extinse de utilizare a cheii. Unele autorități de certificare impun aplicarea unor restricții extinse de utilizare a cheilor pentru fiecare certificat, cum ar fi autentificarea serverului. Este în regulă să utilizați autentificarea serverului sau alte setări.
Cerințe Gazdă virtuală
Gazdele virtuale pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. au următoarele cerințe:
Cel puțin două gazde separate (3 recomandate) plasate în același centru de date securizat
VMware ESXi 6.5 (sau mai târziu) instalat și rulează.
Trebuie să faceți upgrade dacă aveți o versiune anterioară a ESXi.
Minim 4 vCPU-uri, 8-GB memorie principală, 30-GB spațiu pe hard disk local pe server
Cerințe server bază de date
Creați o nouă bază de date pentru stocarea cheilor. Nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date. |
Există două opțiuni pentru serverul de baze de date. Cerințele pentru fiecare sunt după cum urmează:
PostgreSQL | Server Microsoft SQL | ||
---|---|---|---|
|
| ||
Minim 8 vCPU-uri, 16-GB de memorie principală, suficient spațiu pe hard disk și monitorizare pentru a se asigura că nu este depășit (2-TB recomandat dacă doriți să rulați baza de date pentru o lungă perioadă de timp, fără a fi nevoie de a crește spațiul de stocare) | Minim 8 vCPU-uri, 16-GB de memorie principală, suficient spațiu pe hard disk și monitorizare pentru a se asigura că nu este depășit (2-TB recomandat dacă doriți să rulați baza de date pentru o lungă perioadă de timp, fără a fi nevoie de a crește spațiul de stocare) |
Software-ul HDS instalează în prezent următoarele versiuni de drivere pentru comunicarea cu serverul bazei de date:
PostgreSQL | Server Microsoft SQL |
---|---|
Șofer JDBC Postgres 42.2.5 | Driver JDBC SQL Server 4.6 Această versiune a driverului acceptă SQL Server întotdeauna activat (întotdeauna pe instanțe de cluster nereușite și întotdeauna pe grupuri de disponibilitate). |
Cerințe suplimentare pentru autentificarea Windows împotriva Microsoft SQL Server
Dacă doriți ca nodurile HDS să utilizeze autentificarea Windows pentru a obține acces la baza dvs. de date Keystore pe Microsoft SQL Server, atunci aveți nevoie de următoarea configurație în mediul dvs.:
Nodurile HDS, infrastructura Active Directory și serverul MS SQL trebuie sincronizate cu NTP.
Contul Windows pe care îl furnizați nodurilor HDS trebuie să aibă acces citit/scris la baza de date.
Serverele DNS pe care le furnizați nodurilor HDS trebuie să poată rezolva Centrul dvs. de distribuție a cheilor (KDC).
Puteți înregistra instanța bazei de date HDS pe serverul dvs. Microsoft SQL ca nume principal al serviciului (SPN) în directorul dvs. activ. Consultați Înregistrarea unui nume principal de serviciu pentru conexiunile Kerberos.
Instrumentul de configurare HDS, lansatorul HDS și KMS local trebuie să utilizeze autentificarea Windows pentru a accesa baza de date Keystore. Ei folosesc detaliile din configurația ISO pentru a construi SPN atunci când solicită acces cu autentificarea Kerberos.
Cerințe de conectivitate externă
Configurați firewall-ul pentru a permite următoarea conectivitate pentru aplicațiile HDS:
Aplicație | Protocol | Port | Direcție din aplicație | Destinație |
---|---|---|---|---|
Noduri de securitate a datelor hibride | TCP | 443 | HTTPS de ieșire și WSS |
|
Instrument de configurare HDS | TCP | 443 | HTTPS de ieșire |
|
Nodurile de securitate a datelor hibride funcționează cu traducerea accesului la rețea (NAT) sau în spatele unui firewall, atâta timp cât NAT sau firewall permite conexiunile de ieșire necesare la destinațiile de domeniu din tabelul precedent. Pentru conexiunile care intră în nodurile de securitate a datelor hibride, niciun port nu trebuie să fie vizibil de pe internet. În cadrul centrului dvs. de date, clienții au nevoie de acces la nodurile de securitate a datelor hibride din porturile TCP 443 și 22, în scopuri administrative. |
URL-urile gazdelor pentru identitatea comună (CI) sunt specifice regiunii. Acestea sunt gazdele actuale CI:
Regiune | URL-uri comune ale gazdei pentru identitate |
---|---|
Țările din America |
|
Uniunea Europeană |
|
Canada |
|
Cerințe server proxy
Sprijinim oficial următoarele soluții proxy care se pot integra cu nodurile dvs. de securitate a datelor hibride.
Proxy transparent – Dispozitiv de securitate web Cisco (WSA).
Proxy explicit – Squid.
Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea websocket (wss:) conexiuni. Pentru a lucra la această problemă, consultați Configurarea proxy-urilor Squid pentru securitatea datelor hibride.
Acceptăm următoarele combinații de tip autentificare pentru proxy-uri explicite:
Nicio autentificare cu HTTP sau HTTPS
Autentificare de bază cu HTTP sau HTTPS
Autentificare Digest numai cu HTTPS
Pentru un proxy de inspecție transparent sau un proxy explicit HTTPS, trebuie să aveți o copie a certificatului rădăcină al proxy-ului. Instrucțiunile de implementare din acest ghid vă spun cum să încărcați copia în magazinele de încredere ale nodurilor de securitate a datelor hibride.
Rețeaua care găzduiește nodurile HDS trebuie să fie configurată pentru a forța traficul TCP de ieșire în portul 443 să se deplaseze prin proxy.
Proxy-urile care inspectează traficul web pot interfera cu conexiunile socket-urilor web. Dacă apare această problemă, ocolirea (nu inspectarea) traficului la
wbx2.com
șiciscospark.com
va rezolva problema.
Completați cerințele preliminare pentru securitatea datelor hibride
1 | Asigurați-vă că organizația dvs. Webex este activată pentru pachetul Pro pentru Cisco Webex Control Hub și obțineți acreditările unui cont cu drepturi depline de administrator al organizației. Contactați-vă partenerul Cisco sau managerul de cont pentru ajutor în acest proces. | ||
2 | Alegeți un nume de domeniu pentru implementarea HDS (de exemplu, | ||
3 | Pregătiți gazdele virtuale identice pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. Aveți nevoie de cel puțin două gazde separate (3 recomandate) plasate în același centru de date securizat, care îndeplinesc cerințele din Cerințele Gazdei Virtuale. | ||
4 | Pregătiți serverul bazei de date care va acționa ca un magazin de date cheie pentru cluster, în conformitate cu cerințele serverului bazei de date. Serverul bazei de date trebuie să fie plasat în centrul de date securizat cu gazdele virtuale. | ||
5 | Pentru recuperarea rapidă a dezastrelor, configurați un mediu de rezervă într-un alt centru de date. Mediul de rezervă reflectă mediul de producție al VMs și un server de baze de date de rezervă. De exemplu, dacă producția are 3 VMs care rulează noduri HDS, mediul de rezervă ar trebui să aibă 3 VMs. | ||
6 | Configurați o gazdă syslog pentru a colecta jurnale de la nodurile din cluster. Aduna adresa de rețea și portul syslog (implicit este UDP 514). | ||
7 | Creați o politică de rezervă securizată pentru nodurile de securitate a datelor hibride, serverul bazei de date și gazda syslog. Cel puțin, pentru a preveni pierderea de date nerecuperabile, trebuie să salvați baza de date și fișierul ISO de configurare generat pentru nodurile de securitate a datelor hibride.
Clienții Aplicației Webex își ascund cheile, astfel încât este posibil ca o întrerupere să nu fie vizibilă imediat, dar va deveni evidentă în timp. În timp ce ieșirile temporare sunt imposibil de prevenit, acestea sunt recuperabile. Cu toate acestea, pierderea completă (fără backup-uri disponibile) a bazei de date sau a fișierului ISO de configurare va duce la date client nerecuperabile. Operatorii nodurilor de securitate a datelor hibride se așteaptă să mențină backup-uri frecvente ale bazei de date și ale fișierului ISO de configurare și să fie pregătiți să reconstruiască centrul de date de securitate a datelor hibride în cazul în care apare un eșec catastrofal. | ||
8 | Asigurați-vă că configurația firewall-ului dvs. permite conectivitatea pentru nodurile dvs. de securitate a datelor hibride, astfel cum sunt prezentate în cerințele de conectivitate externă. | ||
9 | Instalați Docker ( https://www.docker.com) pe orice mașină locală care rulează un sistem de operare acceptat (Microsoft Windows 10 Professional sau Enterprise pe 64 de biți sau Mac OSX Yosemite 10.10.3 sau mai sus) cu un browser web care îl poate accesa la http://127.0.0.1:8080. Utilizați instanța Docker pentru a descărca și rula Instrumentul de configurare HDS, care construiește informațiile de configurare locale pentru toate nodurile de securitate a datelor hibride. Este posibil ca organizația dvs. să aibă nevoie de o licență Docker Desktop. Consultați Cerințele Docker Desktop pentru mai multe informații. Pentru a instala și rula Instrumentul de configurare HDS, utilajul local trebuie să aibă conectivitatea descrisă în Cerințele de conectivitate externă. | ||
10 | Dacă integrați un proxy cu securitatea datelor hibride, asigurați-vă că îndeplinește Cerințele serverului proxy. | ||
11 | Dacă organizația dvs. utilizează sincronizarea directorului, creați un grup în Active Directory numit
|
Flux sarcină de implementare a securității datelor hibride
Înainte de a începe
1 | Descărcați fișierele de instalare Descărcați fișierul OVA la utilajul local pentru utilizare ulterioară. | ||
2 | Creați un ISO de configurare pentru gazdele HDS Utilizați instrumentul de configurare HDS pentru a crea un fișier de configurare ISO pentru nodurile de securitate a datelor hibride. | ||
3 |
Creați o mașină virtuală din fișierul OVA și efectuați configurația inițială, cum ar fi setările de rețea.
| ||
4 | Configurați VM-ul de securitate a datelor hibride Conectați-vă la consola VM și setați acreditările de conectare. Configurați setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA. | ||
5 | Încărcați și montați ISO de configurare HDS Configurați VM din fișierul de configurare ISO pe care l-ați creat cu instrumentul de configurare HDS. | ||
6 | Configurați nodul HDS pentru integrarea proxy Dacă mediul de rețea necesită configurare proxy, specificați tipul de proxy pe care îl veți utiliza pentru nod și adăugați certificatul proxy la magazinul de încredere, dacă este necesar. | ||
7 | Înregistrați primul nod în cluster Înregistrați VM cu cloudul Cisco Webex ca nod de securitate a datelor hibrid. | ||
8 | Creați și înregistrați mai multe noduri Finalizați configurarea clusterului. | ||
9 | Efectuați un proces și mutați-vă la producție (capitolul următor) Până când începeți o încercare, nodurile dvs. generează o alarmă care indică faptul că serviciul dvs. nu este încă activat. |
Descărcați fișierele de instalare
1 | Conectați-vă la https://admin.webex.comși apoi faceți clic pe Servicii. | ||||
2 | În secțiunea Servicii hibride, găsiți cardul de securitate a datelor hibride, apoi faceți clic pe Configurare. Dacă cardul este dezactivat sau nu îl vedeți, contactați echipa de cont sau organizația parteneră. Dați-le numărul contului dvs. și solicitați să activați organizația dvs. pentru securitatea datelor hibride. Pentru a găsi numărul contului, faceți clic pe dispozitivul din dreapta sus, lângă numele organizației dvs.
| ||||
3 | Selectați Nu pentru a indica faptul că nu ați configurat încă nodul, apoi faceți clic pe Înainte. Fișierul OVA începe automat să se descarce. Salvați fișierul într-o locație de pe utilajul dvs.
| ||||
4 | Opțional, faceți clic pe Deschidere Ghid de implementare pentru a verifica dacă există o versiune ulterioară a acestui ghid disponibil. |
Creați un ISO de configurare pentru gazdele HDS
Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi utilizați ISO pentru a configura gazda dvs. de securitate a datelor hibride.
Înainte de a începe
Instrumentul de configurare HDS rulează ca container Docker pe un computer local. Pentru a-l accesa, rulați Docker pe acel computer. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi complete de administrator pentru organizația dvs.
Dacă instrumentul de configurare HDS rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin variabilele de mediu Docker atunci când ridicați containerul Docker în pasul 5. Acest tabel oferă câteva variabile de mediu posibile:
Descriere
Variabilă
Proxy HTTP fără autentificare
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS fără autentificare
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP cu autentificare
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS cu autentificare
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Fișierul de configurare ISO pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier oricând efectuați modificări de configurare, cum ar fi acestea:
Informații bază de date
Actualizări certificat
Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile la baza de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.
1 | În linia de comandă a computerului dvs., introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite:
În mediile FedRAMP:
| ||||||||||||
2 | Pentru a vă conecta la registry de imagini Docker, introduceți următoarele:
| ||||||||||||
3 | La solicitarea parolei, introduceți acest hash:
| ||||||||||||
4 | Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite:
În mediile FedRAMP:
| ||||||||||||
5 | Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.:
Când containerul rulează, veți vedea „Serverul Express ascultând pe portul 8080”. | ||||||||||||
6 |
Utilizați un browser web pentru a merge la gazda locală, Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul adecvat pentru acel cont. Instrumentul afișează apoi apelul standard de conectare. | ||||||||||||
7 | Când vi se solicită, introduceți acreditările de conectare ale administratorului clientului Control Hub, apoi faceți clic pe Conectare pentru a permite accesul la serviciile necesare pentru securitatea datelor hibride. | ||||||||||||
8 | Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Get Started. | ||||||||||||
9 | Pe pagina ISO Import aveți aceste opțiuni:
| ||||||||||||
10 | Verificați dacă certificatul dvs. X.509 îndeplinește cerințele din Cerințele de certificare X.509.
| ||||||||||||
11 | Introduceți adresa bazei de date și contul HDS pentru a accesa baza de date cu tastatură: | ||||||||||||
12 | Selectați un mod de conectare la baza de date TLS:
Când încărcați certificatul rădăcină (dacă este necesar) și faceți clic pe Continuare, instrumentul de configurare HDS testează conexiunea TLS la serverul bazei de date. Instrumentul verifică, de asemenea, semnatarul certificatului și numele gazdei, dacă este cazul. Dacă un test eșuează, instrumentul afișează un mesaj de eroare care descrie problema. Puteți alege să ignorați eroarea și să continuați configurarea. (Din cauza diferențelor de conectivitate, nodurile HDS ar putea fi capabile să stabilească conexiunea TLS, chiar dacă utilajul Instrumentului de configurare HDS nu o poate testa cu succes.) | ||||||||||||
13 | Pe pagina Jurnale de sistem, configurați serverul Syslogd: | ||||||||||||
14 | (Opțional) Puteți modifica valoarea implicită a unor parametri de conexiune la baza de date în Setări avansate. În general, acest parametru este singurul pe care s-ar putea dori să-l modificați:
| ||||||||||||
15 | Faceți clic pe Continuare pe ecranul Resetare Conturi serviciu Parolă . Parolele contului de serviciu au o durată de viață de nouă luni. Utilizați acest ecran atunci când parolele dvs. se apropie de expirare sau doriți să le resetați pentru a dezactiva fișierele ISO anterioare. | ||||||||||||
16 | Faceți clic pe Descărcați fișierul ISO. Salvați fișierul într-o locație ușor de găsit. | ||||||||||||
17 | Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare. | ||||||||||||
18 | Pentru a închide instrumentul de configurare, tastați |
Ce este de făcut în continuare
Backup fișierul ISO de configurare. Aveți nevoie de ea pentru a crea mai multe noduri pentru recuperare, sau pentru a face modificări de configurare. Dacă pierdeți toate copiile fișierului ISO, ați pierdut, de asemenea, cheia principală. Recuperarea tastelor din baza de date PostgreSQL sau Microsoft SQL Server nu este posibilă.
Nu avem niciodată o copie a acestei chei și nu poate ajuta dacă îl pierzi. |
Instalați gazda HDS OVA
1 | Utilizați clientul VMware vSphere de pe computer pentru a vă conecta la gazda virtuală ESXi. | ||||||
2 | Selectați Fișier > Implementați șablonul OVF. | ||||||
3 | În expert, specificați locația fișierului OVA pe care l-ați descărcat mai devreme, apoi faceți clic pe În continuare. | ||||||
4 | Pe Selectați un nume și un folder pagină , introduceți o Nume mașină virtuală pentru nod (de exemplu, „HDS_Node_1”), alegeți o locație în care se poate afla implementarea nodului mașinii virtuale, apoi faceți clic pe În continuare. | ||||||
5 | Pe Selectați o resursă de calcul pagină , alegeți resursa de calcul destinație, apoi faceți clic pe În continuare. O verificare de validare se execută. După ce se termină, apar detaliile șablonului. | ||||||
6 | Verificați detaliile șablonului și apoi faceți clic pe Înainte. | ||||||
7 | Dacă vi se solicită să alegeți configurația de resurse de pe Configurare pagină , faceți clic pe 4 CPU apoi faceți clic pe În continuare. | ||||||
8 | Pe Selectați spațiul de stocare pagină , faceți clic pe În continuare pentru a accepta formatul implicit al discului și politica de stocare VM. | ||||||
9 | Pe Selectați rețelele pagină, alege opțiunea de rețea din lista de intrări pentru a oferi conexiunea dorită la VM. | ||||||
10 | Pe pagina Personalizați șablonul , configurați următoarele setări ale rețelei:
Dacă preferați, puteți sări peste configurația de setare a rețelei și puteți urma pașii din Configurați VM-ul de securitate a datelor hibride pentru a configura setările din consola nodului.
| ||||||
11 | Faceți clic dreapta pe nodul VM, apoi alegeți .Software-ul de securitate a datelor hibride este instalat ca invitat pe Gazda VM. Acum sunteți gata să vă conectați la consolă și să configurați nodul. Sfaturi pentru depanare Este posibil să aveți o întârziere de câteva minute înainte de apariția containerelor de nod. Un mesaj de firewall de legătură apare pe consolă în timpul primei boot-ări, în timpul căreia nu vă puteți conecta. |
Configurați VM-ul de securitate a datelor hibride
Utilizați această procedură pentru a vă conecta pentru prima dată la consola VM a nodului de securitate a datelor hibride și pentru a seta acreditările de conectare. De asemenea, puteți utiliza consola pentru a configura setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.
1 | În clientul VMware vSphere, selectați nodul de securitate a datelor hibride VM și selectați fila Console . VM pornește în sus și apare un prompt de conectare. Dacă mesajul de conectare nu se afișează, apăsați Enter.
|
2 | Utilizați următoarea conectare implicită și parola pentru a vă conecta și a modifica datele de autentificare: Deoarece vă conectați pentru prima dată la VM, trebuie să schimbați parola de administrator. |
3 | Dacă ați configurat deja setările de rețea în Instalați gazda HDS OVA, omiteți restul acestei proceduri. În caz contrar, în meniul principal, selectați opțiunea Editare configurație . |
4 | Configurați o configurație statică cu adresă IP, Mască, Gateway și informații DNS. Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat. |
5 | (Opțional) Modificați numele gazdei, domeniul sau serverul (serverele) NTP, dacă este necesar pentru a se potrivi cu politica de rețea. Nu este necesar să setați domeniul pentru a se potrivi domeniului pe care l-ați utilizat pentru a obține certificatul X.509. |
6 | Salvați configurația de rețea și reporniți VM, astfel încât modificările să aibă efect. |
Încărcați și montați ISO de configurare HDS
Înainte de a începe
Deoarece fișierul ISO deține cheia principală, acesta ar trebui să fie expus numai pe o bază „trebuie să știe”, pentru a fi accesat de către VM-urile de securitate a datelor hibride și de orice administratori care ar putea avea nevoie să facă modificări. Asigurați-vă că numai acei administratori pot accesa stația de date.
1 | Încărcați fișierul ISO de pe computer: |
2 | Montați fișierul ISO: |
Ce este de făcut în continuare
Dacă politica dvs. IT necesită, puteți dezinstala opțional fișierul ISO după ce toate nodurile dvs. preiau modificările de configurare. Consultați (Opțional) Dezasamblarea ISO după configurarea HDS pentru detalii.
Configurați nodul HDS pentru integrarea proxy
Dacă mediul de rețea necesită un proxy, utilizați această procedură pentru a specifica tipul de proxy pe care doriți să îl integrați cu securitatea datelor hibride. Dacă alegeți un proxy de inspecție transparent sau un proxy explicit HTTPS, puteți utiliza interfața nodului pentru a încărca și instala certificatul rădăcină. De asemenea, puteți verifica conexiunea proxy din interfață și puteți rezolva orice probleme potențiale.
Înainte de a începe
Consultați Asistența proxy pentru o prezentare generală a opțiunilor proxy acceptate.
1 | Introduceți URL-ul de configurare a nodului HDS |
2 | Accesați Trust Store & Proxy, apoi alegeți o opțiune:
Urmați pașii următori pentru un proxy de inspecție transparent, un proxy explicit HTTP cu autentificare de bază sau un proxy explicit HTTPS. |
3 | Faceți clic pe Încărcați un certificat rădăcină sau un certificat de entitate finalizată, apoi navigați la o alegere a certificatului rădăcină pentru proxy. Certificatul este încărcat, dar nu este încă instalat, deoarece trebuie să reporniți nodul pentru a instala certificatul. Faceți clic pe săgeata chevron după numele emitentului certificatului pentru a obține mai multe detalii sau faceți clic pe Ștergere dacă ați făcut o greșeală și doriți să reîncărcați fișierul. |
4 | Faceți clic pe Verificare conexiune proxy pentru a testa conectivitatea la rețea între nod și proxy. Dacă testul conexiunii eșuează, veți vedea un mesaj de eroare care arată motivul și modul în care puteți corecta problema. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a reușit, nodul nu a putut ajunge la serverul DNS. Această condiție este de așteptat în multe configurații proxy explicite. Puteți continua cu configurarea, iar nodul va funcționa în modul de Rezoluție DNS Externă Blocată. Dacă credeți că aceasta este o eroare, completați acești pași și apoi consultați Dezactivarea modului de rezoluție DNS extern blocat. |
5 | După ce testul conexiunii trece, pentru proxy explicit setat numai la https, activați comutatorul pentru a Ruta toate solicitările de port 443/444 https din acest nod prin proxy explicit. Această setare necesită 15 secunde pentru a intra în vigoare. |
6 | Faceți clic pe Instalare toate certificatele în magazinul de încredere (apare pentru un proxy explicit HTTPS sau un proxy de inspecție transparent) sau Reporniți (apare pentru un proxy explicit HTTP), citiți mesajul și apoi faceți clic pe Instalare dacă sunteți pregătit. Nodul repornește în câteva minute. |
7 | După repornirea nodului, conectați-vă din nou dacă este necesar, apoi deschideți pagina Prezentare generală pentru a verifica verificările de conectivitate pentru a vă asigura că toate sunt în stare verde. Verificarea conexiunii proxy testează numai un subdomeniu al webex.com. Dacă există probleme de conectivitate, o problemă comună este că unele dintre domeniile cloud enumerate în instrucțiunile de instalare sunt blocate la proxy. |
Înregistrați primul nod în cluster
Când vă înregistrați primul nod, creați un cluster căruia i se atribuie nodul. Un cluster conține unul sau mai multe noduri implementate pentru a oferi redundanță.
Înainte de a începe
Odată ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți.
Asigurați-vă că orice blocare pop-up din browser-ul dvs. este dezactivată sau că permiteți o excepție pentru admin.webex.com.
1 | Conectați-vă la https://admin.webex.com. |
2 | Din meniul din partea stângă a ecranului, selectați Servicii. |
3 | În secțiunea Servicii hibride, găsiți Securitatea datelor hibride și faceți clic pe Configurare. Apare pagina Nod de securitate a datelor hibride de înregistrare.
|
4 | Selectați Da pentru a indica faptul că ați configurat nodul și sunteți gata să îl înregistrați, apoi faceți clic pe Înainte. |
5 | În primul câmp, introduceți un nume pentru clusterul la care doriți să alocați nodul dvs. de securitate a datelor hibride. Vă recomandăm să denumiți un cluster bazat pe locul în care nodurile clusterului sunt localizate geografic. Exemple: "San Francisco" sau "New York" sau "Dallas" |
6 | În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Înainte. Această adresă IP sau FQDN trebuie să corespundă adresei IP sau numelui gazdei și domeniului pe care l-ați utilizat în Configurarea VM-ului de securitate a datelor hibride. Apare un mesaj care indică faptul că vă puteți înregistra nodul la Webex.
|
7 | Faceți clic pe Du-te la Nod. |
8 | Faceți clic pe Continuare în mesajul de avertizare. După câteva momente, sunteți redirecționat către testele de conectivitate la noduri pentru serviciile Webex. Dacă toate testele au succes, apare pagina Permiteți accesul la nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați permisiuni organizației dvs. Webex pentru a accesa nodul dvs.
|
9 | Bifați caseta de selectare Permite accesul la nodul dvs. de securitate a datelor hibride , apoi faceți clic pe Continuare. Contul dvs. este validat, iar mesajul „Înscriere completă” indică faptul că nodul dvs. este acum înregistrat în cloudul Webex.
|
10 | Faceți clic pe link-ul sau închideți fila pentru a reveni la pagina de securitate a datelor hibride Control Hub. Pe pagina Securitate datelor hibride, este afișat noul cluster care conține nodul pe care l-ați înregistrat. Nodul va descărca automat cel mai recent software din cloud.
|
Creați și înregistrați mai multe noduri
În acest moment, VMs de rezervă pe care le-ați creat în Completați Condițiile prealabile pentru securitatea datelor hibride sunt gazde standby care sunt utilizate numai în caz de recuperare a dezastrelor; acestea nu sunt înregistrate la sistem până atunci. Pentru detalii, consultați Recuperarea dezastrelor utilizând Centrul de date standby. |
Înainte de a începe
Odată ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți.
Asigurați-vă că orice blocare pop-up din browser-ul dvs. este dezactivată sau că permiteți o excepție pentru admin.webex.com.
1 | Creați o nouă mașină virtuală din OVA, repetând pașii din Instalați gazda HDS OVA. |
2 | Configurați configurația inițială pe noul VM, repetând pașii din Configurați VM-ul de securitate a datelor hibride. |
3 | Pe noul VM, repetați pașii din Încărcați și montați ISO de configurare HDS. |
4 | Dacă configurați un proxy pentru implementarea dvs., repetați pașii din Configurați nodul HDS pentru Integrare proxy după cum este necesar pentru noul nod. |
5 | Înregistrați nodul. Nodul dvs. este înregistrat. Rețineți că până când începeți o încercare, nodurile dvs. generează o alarmă care indică faptul că serviciul dvs. nu este încă activat.
|
Ce este de făcut în continuare
Încercare la fluxul sarcinilor de producție
După ce ați configurat un cluster de securitate a datelor hibride, puteți iniția un pilot, puteți adăuga utilizatori la acesta și puteți începe să îl utilizați pentru testarea și verificarea implementării dvs. în vederea trecerii la producție.
Înainte de a începe
1 | Dacă este cazul, sincronizați Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați |
2 |
Începeți o încercare. Până când nu efectuați această sarcină, nodurile dvs. generează o alarmă care indică faptul că serviciul nu este încă activat. |
3 | Testați implementarea securității datelor hibride Verificați dacă solicitările cheie trec la implementarea securității datelor hibride. |
4 | Monitorizarea sănătății securității datelor hibride Verificați starea și configurați notificările prin e-mail pentru alarme. |
5 | |
6 | Finalizați faza de probă cu una dintre următoarele acțiuni: |
Activați procesul
Înainte de a începe
Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați HdsTrialGroup
obiectul de grup pentru sincronizare în cloud înainte de a putea iniția o încercare pentru organizația dvs. Pentru instrucțiuni, consultați Ghidul de implementare pentru Cisco Directory Connector.
1 | Conectați-vă la https://admin.webex.comși apoi selectați Servicii. |
2 | Sub Securitatea datelor hibride, faceți clic pe Setări. |
3 | În secțiunea Stare serviciu, faceți clic pe Inițiere încercare. Starea serviciului se modifică în modul de încercare.
|
4 | Faceți clic pe Adăugare utilizatori și introduceți adresa de e-mail a unuia sau mai multor utilizatori pentru a pilot utilizând nodurile dvs. de securitate a datelor hibride pentru serviciile de criptare și indexare. (Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory pentru a gestiona grupul de încercare, |
Testați implementarea securității datelor hibride
Înainte de a începe
Configurați implementarea securității datelor hibride.
Activați procesul și adăugați mai mulți utilizatori de proces.
Asigurați-vă că aveți acces la syslog pentru a verifica dacă solicitările cheie trec la implementarea securității datelor hibride.
1 | Tastele pentru un anumit spațiu sunt stabilite de creatorul spațiului. Conectați-vă la Aplicația Webex ca unul dintre utilizatorii pilot, apoi creați un spațiu și invitați cel puțin un utilizator pilot și un utilizator non-pilot.
| ||
2 | Trimiteți mesaje către noul spațiu. | ||
3 | Verificați ieșirea syslog pentru a verifica dacă solicitările cheie trec la implementarea securității datelor hibride. |
Monitorizarea sănătății securității datelor hibride
1 | În Control Hub, selectați Servicii din meniul din partea stângă a ecranului. |
2 | În secțiunea Servicii hibride, găsiți Securitatea datelor hibride și faceți clic pe Setări. Apare pagina Setări securitate date hibride.
|
3 | În secțiunea Notificări prin e-mail, tastați una sau mai multe adrese de e-mail separate prin virgule și apăsați Enter. |
Adăugați sau eliminați utilizatori din procesul dvs.
Dacă eliminați un utilizator din trial, clientul utilizatorului va solicita chei și crearea de taste din KMS cloud în loc de KMS dvs. Dacă clientul are nevoie de o cheie stocată pe KMS-ul dvs., KMS-ul cloud o va prelua în numele utilizatorului.
Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory (în loc de această procedură) pentru a gestiona grupul de încercare, HdsTrialGroup
; puteți vizualiza membrii grupului din Control Hub, dar nu îi puteți adăuga sau elimina.
1 | Conectați-vă la Control Hub, apoi selectați Servicii. |
2 | Sub Securitatea datelor hibride, faceți clic pe Setări. |
3 | În secțiunea Modul de încercare din zona de stare a serviciului, faceți clic pe Adăugare utilizatori sau faceți clic pe vizualizare și editare pentru a elimina utilizatorii din trial. |
4 | Introduceți adresa de e-mail a unuia sau mai multor utilizatori pentru a adăuga sau faceți clic pe X de către un ID de utilizator pentru a elimina utilizatorul din încercare. Apoi faceți clic Salvați . |
Mutați de la încercare la producție
1 | Conectați-vă la Control Hub, apoi selectați Servicii. |
2 | Sub Securitatea datelor hibride, faceți clic pe Setări. |
3 | În secțiunea Stare serviciu, faceți clic pe Mutare în producție. |
4 | Confirmați că doriți să mutați toți utilizatorii la producție. |
Încheiați procesul fără a trece la producție
1 | Conectați-vă la Control Hub, apoi selectați Servicii. |
2 | Sub Securitatea datelor hibride, faceți clic pe Setări. |
3 | În secțiunea Dezactivare, faceți clic pe Dezactivare. |
4 | Confirmați că doriți să dezactivați serviciul și să finalizați procesul. |
Gestionați implementarea HDS
Utilizați sarcinile descrise aici pentru a gestiona implementarea securității datelor hibride.
Setați programul de upgrade al clusterului
Pentru a seta programul de upgrade:
1 | Conectați-vă la Control Hub . |
2 | Pe pagina Prezentare generală, în secțiunea Servicii hibride, selectați Securitatea datelor hibride. |
3 | Pe pagina Resurse de securitate a datelor hibride, selectați clusterul. |
4 | În panoul Prezentare generală din dreapta, în secțiunea Setări cluster, selectați numele clusterului. |
5 | Pe pagina Setări, în secțiunea Upgrade, selectați ora și fusul orar pentru programul de upgrade. Notă: În cadrul fusului orar, se afișează următoarea dată și oră de upgrade disponibile. Puteți amâna upgrade-ul până în ziua următoare, dacă este necesar, făcând clic pe Amânare. |
Modificarea configurației nodului
Modificarea certificatelor x.509 din cauza expirării sau din alte motive.
Nu acceptăm schimbarea nume domeniu CN al unui certificat. Domeniul trebuie să corespundă domeniului inițial utilizat pentru înregistrarea clusterului.
Actualizarea setărilor bazei de date pentru a trece la o replică a bazei de date PostgreSQL sau Microsoft SQL Server.
Nu acceptăm migrarea datelor de la PostgreSQL la Microsoft SQL Server sau invers. Pentru a comuta mediul bazei de date, începeți o nouă implementare a Hybrid Data Security.
Crearea unei noi configurații pentru pregătirea unui nou centru de date.
De asemenea, din motive de securitate, Hybrid Data Security utilizează parole ale cont al serviciului care au o durată de viață de nouă luni. După ce instrumentul de configurare HDS generează aceste parole, le implementați în fiecare dintre nodurile HDS din fișierul de configurare ISO . Când parolele organizației dvs. se apropie de expirare, primiți o notificare de la echipa Webex prin care vă rugăm să resetați parola pentru contul computerului dvs. (E-mailul include textul „Utilizați API -ul contului de computer pentru a actualiza parola.”) Dacă parolele nu au expirat încă, instrumentul vă oferă două opțiuni:
Resetare soft —Parolele vechi și noi sunt valabile până la 10 zile. Utilizați această perioadă pentru a înlocui treptat fișierul ISO pe noduri.
Resetare hardware — Parolele vechi nu mai funcționează imediat.
Dacă parolele expiră fără resetare, acest lucru afectează serviciul HDS, necesitând o resetare hardware imediată și înlocuirea fișierului ISO pe toate nodurile.
Utilizați această procedură pentru a genera un nou fișier ISO de configurare și a-l aplica clusterului dvs.
Înainte de a începe
Instrumentul de configurare HDS rulează ca container Docker pe un computer local. Pentru a-l accesa, rulați Docker pe acel computer. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi complete de administrator pentru organizația dvs.
Dacă instrumentul de configurare HDS rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin variabilele de mediu Docker atunci când ridicați containerul Docker în 1.e. Acest tabel oferă câteva variabile de mediu posibile:
Descriere
Variabilă
Proxy HTTP fără autentificare
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS fără autentificare
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP cu autentificare
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS cu autentificare
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Aveți nevoie de o copie a fișierului ISO de configurare curentă pentru a genera o nouă configurație. ISO conține cheia principală de criptare a bazei de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de ISO când efectuați modificări de configurare, inclusiv date de autentificare în baza de date, actualizări de certificate sau modificări ale politicii de autorizare.
1 | Utilizând Docker pe un computer local, rulați Instrumentul de configurare HDS. |
2 | Dacă aveți un singur nod HDS care rulează , creați un nou VM nod Hybrid Data Security și înregistrați-l utilizând noul fișier ISO de configurare. Pentru instrucțiuni mai detaliate, consultați Creați și înregistrați mai multe noduri. |
3 | Pentru nodurile HDS existente care rulează fișierul de fișier de configurare mai vechi , montați fișierul ISO . Efectuați următoarea procedură pe fiecare nod pe rând, actualizând fiecare nod înainte de a opri următorul nod: |
4 | Repetați pasul 3 pentru a înlocui configurația pe fiecare nod rămas care rulează configurația veche. |
Dezactivați Modul De Rezoluție DNS Externă Blocat
Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează aspectul DNS și conectivitatea la cloudul Cisco Webex. Dacă serverul DNS al nodului nu poate rezolva numele DNS publice, nodul intră automat în modul de Rezoluție DNS Externă Blocată.
Dacă nodurile dvs. sunt capabile să rezolve numele DNS publice prin intermediul serverelor DNS interne, puteți dezactiva acest mod prin reactivarea testului de conexiune proxy pe fiecare nod.
Înainte de a începe
1 | Într-un browser web, deschideți interfața nodului de securitate a datelor hibride (adresă IP/configurare, de exemplu, https://192.0.2.0/setup), introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare. |
2 | Accesați Prezentare generală (pagina implicită). Când este activat, Rezoluție DNS externă blocată este setat la Da . |
3 | Accesați pagina Trust Store & Proxy . |
4 | Faceți clic pe Verificare conexiune proxy. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a avut succes, nodul nu a putut ajunge la serverul DNS și va rămâne în acest mod. În caz contrar, după ce reporniți nodul și reveniți la pagina Prezentare generală , Rezoluția DNS externă blocată trebuie setată la nr. |
Ce este de făcut în continuare
Eliminați un nod
1 | Utilizați clientul VMware vSphere de pe computer pentru a vă conecta la gazda virtuală ESXi și pentru a dezactiva mașina virtuală. |
2 | Eliminați nodul: |
3 | În clientul vSphere, ștergeți VM. (În panoul de navigare din stânga, faceți clic dreapta pe VM și faceți clic pe Ștergere.) Dacă nu ștergeți VM, nu uitați să dezasamblați fișierul de configurare ISO. Fără fișierul ISO, nu puteți utiliza VM pentru a accesa datele de securitate. |
Recuperare dezastre utilizând Centrul de date standby
Cel mai important serviciu pe care îl oferă clusterul de securitate a datelor hibride este crearea și stocarea de taste utilizate pentru criptarea mesajelor și a altor conținuturi stocate în cloudul Webex. Pentru fiecare utilizator din cadrul organizației care este atribuit securității datelor hibride, noile solicitări de creare a cheii sunt direcționate către cluster. Clusterul este, de asemenea, responsabil pentru returnarea cheilor pe care le-a creat oricărui utilizator autorizat să le recupereze, de exemplu, membrii unui spațiu de conversație.
Deoarece clusterul îndeplinește funcția critică de furnizare a acestor chei, este imperativ ca clusterul să rămână în funcțiune și să fie menținute backup-uri corespunzătoare. Pierderea bazei de date Hybrid Data Security sau a configurației ISO utilizate pentru schemă va duce la PIERDEREA INRECUPERABILĂ a conținutului clientului. Următoarele practici sunt obligatorii pentru a preveni o astfel de pierdere:
Dacă un dezastru face ca implementarea HDS în centrul de date principal să devină indisponibilă, urmați această procedură pentru a eșua manual la centrul de date standby.
1 | Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS. | ||
2 | După configurarea serverului Syslogd, faceți clic pe Setări avansate | ||
3 | Pe pagina Setări avansate, adăugați configurația de mai jos sau eliminați
| ||
4 | Completați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit. | ||
5 | Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare. | ||
6 | În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări.. | ||
7 | Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Fișier ISO Datastore.
| ||
8 | Activați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute. | ||
9 | Repetați procesul pentru fiecare nod din centrul de date standby.
|
Ce este de făcut în continuare
(Opțional) Dezasamblare ISO După configurarea HDS
Configurația standard HDS rulează cu ISO montat. Dar, unii clienți preferă să nu lase fișierele ISO montate în mod continuu. Puteți demonta fișierul ISO după ce toate nodurile HDS preiau noua configurație.
Utilizați în continuare fișierele ISO pentru a face modificări de configurare. Când creați un nou ISO sau actualizați un ISO prin Instrumentul de configurare, trebuie să montați ISO actualizat pe toate nodurile HDS. După ce toate nodurile dvs. au preluat modificările de configurare, puteți demonta din nou ISO cu această procedură.
Înainte de a începe
Actualizați toate nodurile HDS la versiunea 2021.01.22.4720 sau o versiune ulterioară.
1 | Închideți unul dintre nodurile HDS. |
2 | În dispozitivul server vCenter, selectați nodul HDS. |
3 | Alegeți ISO Datastore. și debifați fișierul |
4 | Alimentați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 20 de minute. |
5 | Repetați pentru fiecare nod HDS la rândul său. |
Vizualizare alerte și depanare
O implementare a securității datelor hibride este considerată indisponibilă dacă toate nodurile din cluster sunt inaccesibile sau clusterul funcționează atât de lent încât solicită timp de excludere. Dacă utilizatorii nu pot ajunge la clusterul dvs. de securitate a datelor hibride, aceștia experimentează următoarele simptome:
Nu se pot crea spații noi (nu se pot crea chei noi)
Mesajele și titlurile spațiului nu pot fi decriptate pentru:
Utilizatori noi adăugați într-un spațiu (nu se pot prelua tastele)
Utilizatorii existenți dintr-un spațiu care utilizează un client nou (nu pot prelua tastele)
Utilizatorii existenți într-un spațiu vor continua să ruleze cu succes atâta timp cât clienții lor au un cache al cheilor de criptare
Este important să monitorizați în mod corespunzător clusterul de securitate a datelor hibride și să adresați imediat orice alerte pentru a evita perturbarea serviciului.
Alerte
Dacă există o problemă cu configurarea securității datelor hibride, Control Hub afișează alerte administratorului organizației și trimite e-mailuri la adresa de e-mail configurată. Alertele acoperă multe scenarii comune.
Alerte | Acțiune |
---|---|
Eșecul accesului la baza de date locală. |
Verificați erorile bazei de date sau problemele de rețea locale. |
Eșecul conexiunii la baza de date locală. |
Verificați dacă serverul bazei de date este disponibil, iar acreditările contului de serviciu corespunzător au fost utilizate în configurația nodului. |
Eșecul accesului la servicii în cloud. |
Verificați dacă nodurile pot accesa serverele Webex astfel cum sunt specificate în cerințele de conectivitate externă. |
Reînnoirea înregistrării serviciului în cloud. |
S-a renunțat la înscrierea în serviciile cloud. Reînnoirea înregistrării este în curs. |
Înscrierea în serviciul Cloud a scăzut. |
Înscrierea la serviciile cloud s-a încheiat. Serviciul se închide. |
Serviciul nu este încă activat. |
Activați un proces sau finalizați mutarea procesului la producție. |
Domeniul configurat nu corespunde certificatului serverului. |
Asigurați-vă că certificatul serverului dvs. corespunde domeniului de activare a serviciului configurat. Cauza cea mai probabilă este că certificatul CN a fost modificat recent și este acum diferit de CN care a fost utilizat în timpul configurării inițiale. |
Nu s-a reușit autentificarea la serviciile cloud. |
Verificați acuratețea și posibila expirare a acreditărilor contului de serviciu. |
Nu s-a reușit deschiderea fișierului local de keystore. |
Verificați integritatea și precizia parolei în fișierul de keystore local. |
Certificatul serverului local este nevalid. |
Verificați data de expirare a certificatului serverului și confirmați că acesta a fost eliberat de o autoritate de certificare de încredere. |
Nu se pot posta măsurători. |
Verificați accesul la rețeaua locală la serviciile cloud externe. |
directorul /media/configdrive/hds nu există. |
Verificați configurația de montare ISO pe gazda virtuală. Verificați dacă fișierul ISO există, dacă este configurat să fie montat pe repornire și dacă se montează cu succes. |
Depanarea securității datelor hibride
1 | Revizuiți Control Hub pentru orice alerte și remediați orice elemente pe care le găsiți acolo. |
2 | Revizuiți ieșirea serverului syslog pentru activitatea din implementarea securității datelor hibride. |
3 | Contactați asistența Cisco. |
Probleme cunoscute pentru securitatea datelor hibride
Dacă închideți clusterul de securitate a datelor hibride (prin ștergerea acestuia în Control Hub sau prin închiderea tuturor nodurilor), pierdeți fișierul ISO de configurare sau pierdeți accesul la baza de date Keystore, utilizatorii aplicației Webex nu mai pot utiliza spații din lista lor de persoane care au fost create cu tastele din KMS. Acest lucru este valabil atât pentru operațiunile de încercare, cât și pentru operațiunile de producție. În prezent, nu avem un loc de muncă sau o soluție pentru această problemă și vă solicităm să nu închideți serviciile HDS odată ce acestea gestionează conturile de utilizator active.
Un client care are o conexiune ECDH existentă la un KMS menține acea conexiune pentru o perioadă de timp (probabil o oră). Atunci când un utilizator devine membru al unui proces de securitate a datelor hibride, clientul utilizatorului continuă să utilizeze conexiunea ECDH existentă până la expirarea acesteia. Alternativ, utilizatorul se poate deconecta și reconecta la aplicația Aplicației Webex pentru a actualiza locația pe care aplicația o contactează pentru cheile de criptare.
Același comportament apare atunci când mutați un proces la producție pentru organizație. Toți utilizatorii non-trial cu conexiuni ECDH existente la serviciile anterioare de securitate a datelor vor continua să utilizeze aceste servicii până când conexiunea ECDH este renegociată (prin expirare sau prin deconectare și reconectare).
Utilizați OpenSSL pentru a genera un fișier PKCS12
Înainte de a începe
OpenSSL este un instrument care poate fi folosit pentru a face fișierul PKCS12 în formatul adecvat pentru încărcare în instrumentul de configurare HDS. Există alte modalități de a face acest lucru, și nu sprijinim sau promovăm un mod peste altul.
Dacă alegeți să utilizați OpenSSL, oferim această procedură ca ghid pentru a vă ajuta să creați un fișier care îndeplinește cerințele certificatului X.509 din X.509 Cerințe de certificat. Înțelegeți aceste cerințe înainte de a continua.
Instalați OpenSSL într-un mediu acceptat. Consultați https://www.openssl.org pentru software și documentație.
Creați o tastă privată.
Începeți această procedură atunci când primiți certificatul de server de la Autoritatea dvs. de certificare (CA).
1 | Când primiți certificatul de server de la CA, salvați-l ca |
2 | Afișați certificatul ca text și verificați detaliile.
|
3 | Utilizați un editor de text pentru a crea un fișier de pachet de certificate numit
|
4 | Creați fișierul .p12 cu numele prietenos
|
5 | Verificați detaliile certificatului serverului. |
Ce este de făcut în continuare
Reveniți la Completarea Condițiilor prealabile pentru securitatea datelor hibride. Veţi utiliza hdsnode.p12
fișier și parola pe care ați setat-o pentru acesta, în Creați un ISO de configurare pentru gazdele HDS.
Puteți reutiliza aceste fișiere pentru a solicita un nou certificat atunci când certificatul original expiră. |
Trafic între nodurile HDS și cloud
Trafic colecție metrică de ieșire
Nodurile de securitate a datelor hibride trimit anumite măsurători în cloudul Webex. Acestea includ măsurători de sistem pentru înălțimea maximă, înălțimea utilizată, sarcina CPU și numărul de fire; măsurători pe fire sincrone și asincronice; măsurători pe alerte care implică un prag de conexiuni de criptare, latență sau o lungime a cozii de solicitare; măsurători pe placa de date; și măsurători de conexiune de criptare. Nodurile trimit material cheie criptat printr-un canal în afara benzii (separat de solicitare).
Trafic de intrare
Nodurile de securitate a datelor hibride primesc următoarele tipuri de trafic de intrare din cloudul Webex:
Cereri de criptare de la clienți, care sunt rutate de serviciul de criptare
Actualizări la software-ul nodului
Configurați proxy-urile Squid pentru securitatea datelor hibride
Șoseta web nu se poate Conecta Prin Proxy Squid
Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea websocket ( wss:
) conexiuni care necesită Securitatea datelor hibride. Aceste secțiuni oferă îndrumări cu privire la modul de configurare a diferitelor versiuni de Squid pentru a ignora wss:
trafic pentru buna funcționare a serviciilor.
Squid 4 și 5
Adăugați on_unsupported_protocol
directivă privind squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Am testat cu succes Securitatea datelor hibride cu următoarele reguli adăugate la squid.conf
. Aceste reguli se pot modifica pe măsură ce dezvoltăm caracteristici și actualizăm cloudul Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Informații noi și modificate
Dată |
Modificări efectuate | ||
---|---|---|---|
20 octombrie 2023 |
| ||
07 august 2023 |
| ||
23 mai 2023 |
| ||
06 decembrie 2022 |
| ||
23 noiembrie 2022 |
| ||
octombrie 13, 2021 |
Docker Desktop trebuie să ruleze un program de configurare înainte de a putea instala noduri HDS. Consultați Cerințele de desktop ale Docker. | ||
iunie 24, 2021 |
Rețineți că puteți reutiliza fișierul cu tastatură privată și CSR pentru a solicita un alt certificat. Consultați Utilizarea OpenSSL pentru a genera un fișier PKCS12 pentru detalii. | ||
30 aprilie 2021 |
A schimbat cerința VM pentru spațiul local pe hard disk la 30 GB. Consultați Cerințele Gazdei Virtuale pentru detalii. | ||
februarie 24, 2021 |
Instrumentul de configurare HDS poate rula acum în spatele unui proxy. Consultați Creați un ISO de configurare pentru gazdele HDS pentru detalii. | ||
februarie 2, 2021 |
HDS poate rula acum fără un fișier ISO montat. Consultați (Opțional) Dezasamblarea ISO după configurarea HDS pentru detalii. | ||
11 ianuarie 2021 |
Au fost adăugate informații despre instrumentul de configurare HDS și proxy-uri pentru a crea un ISO de configurare pentru gazdele HDS. | ||
13 octombrie 2020 |
Fișiere de instalare Descărcare actualizate. | ||
8 octombrie 2020 |
Actualizat Creați un ISO de configurare pentru gazdele HDS și modificați configurația nodului cu comenzi pentru mediile FedRAMP. | ||
14 august 2020 |
Actualizat Creați un ISO de configurare pentru gazdele HDS și modificați configurația nodului cu modificări ale procesului de conectare. | ||
5 august 2020 |
Actualizat Testați implementarea securității datelor hibride pentru modificări ale mesajelor jurnal. S-au actualizat Cerințele Gazdei Virtuale pentru a elimina numărul maxim de gazde. | ||
16 iunie 2020 |
Actualizat Eliminați un nod pentru modificările din interfața cu utilizatorul Control Hub. | ||
4 iunie 2020 |
Actualizat Creați un ISO de configurare pentru gazdele HDS pentru modificările din Setările avansate pe care le-ați putea seta. | ||
29 mai 2020 |
Actualizat Creați un ISO de configurare pentru gazdele HDS pentru a afișa puteți utiliza, de asemenea, TLS cu baze de date SQL Server, modificări de interfață de utilizator și alte clarificări. | ||
5 mai 2020 |
Actualizat Cerințele Gazdei Virtuale pentru a afișa noua cerință a ESXi 6.5. | ||
21 aprilie 2020 |
Actualizat Cerințe de conectivitate externă cu noi gazde CI din America. | ||
Aprilie 1, 2020 |
Actualizat Cerințele de conectivitate externă cu informații despre gazdele regionale CI. | ||
20 februarie 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS cu informații despre noul ecran opțional de setări avansate din instrumentul de configurare HDS. | ||
4 februarie 2020 | Cerințe server proxy actualizate. | ||
16 decembrie 2019 | A clarificat cerința ca modul de rezoluție DNS extern blocat să funcționeze în cerințele serverului proxy. | ||
noiembrie 19, 2019 |
Au fost adăugate informații despre modul de rezoluție DNS extern blocat în următoarele secțiuni: | ||
8 noiembrie 2019 |
Acum puteți configura setările de rețea pentru un nod în timp ce implementați OVA mai degrabă decât ulterior. Actualizat în consecință următoarele secțiuni:
| ||
6 septembrie 2019 |
S-a adăugat standardul SQL Server la cerințele serverului bazei de date. | ||
august 29, 2019 | A fost adăugată Configurarea proxy-urilor Squid pentru securitatea datelor hibride , cu îndrumări privind configurarea proxy-urilor Squid pentru a ignora traficul websocket pentru funcționarea corespunzătoare. | ||
august 20, 2019 |
Secțiuni adăugate și actualizate pentru a acoperi asistența proxy pentru comunicațiile nodului de securitate a datelor hibride în cloudul Webex. Pentru a accesa doar conținutul de asistență proxy pentru o implementare existentă, consultați Asistența proxy pentru securitatea datelor hibride și articolul de ajutor Webex Video Mesh . | ||
13 iunie 2019 | S-a actualizat Trial to Production Task Flow cu un memento pentru a sincroniza obiectul grupului HdsTrialGroup înainte de a începe un trial dacă organizația dvs. utilizează sincronizarea directorului. | ||
6 martie 2019 |
| ||
februarie 28, 2019 |
| ||
26 februarie 2019 |
| ||
ianuarie 24, 2019 |
| ||
noiembrie 5, 2018 |
| ||
19 octombrie 2018 |
| ||
31 iulie 2018 |
| ||
21 mai 2018 |
Terminologia modificată pentru a reflecta rebranding-ul Cisco Spark:
| ||
11 aprilie 2018 |
| ||
22 februarie 2018 |
| ||
februarie 15, 2018 |
| ||
ianuarie 18, 2018 |
| ||
noiembrie 2, 2017 |
| ||
18 august 2017 |
Prima publicare |
Prezentare generală a securității datelor hibride
Începând cu prima zi, securitatea datelor a fost accentul principal în proiectarea Aplicației Webex. Piatra de temelie a acestei securități este criptarea integrală a conținutului, activată de clienții Aplicației Webex care interacționează cu Serviciul de gestionare a cheilor (KMS). KMS este responsabil pentru crearea și gestionarea cheilor criptografice pe care clienții le utilizează pentru a cripta și decripta dinamic mesajele și fișierele.
În mod implicit, toți clienții Aplicației Webex primesc criptare end-to-end cu chei dinamice stocate în KMS cloud, în domeniul de securitate al Cisco. Hybrid Data Security mută KMS și alte funcții legate de securitate în centrul de date al întreprinderii dvs., deci nimeni în afară de dvs. nu deține cheile conținutului dvs. criptat.
Arhitectură Realm de securitate
Arhitectura cloud Webex separă diferite tipuri de servicii în domenii separate sau domenii de încredere, după cum este descris mai jos.
Pentru a înțelege în continuare Securitatea datelor hibride, să ne uităm mai întâi la acest caz cloud pur, în care Cisco oferă toate funcțiile din domeniile sale cloud. Serviciul de identitate, singurul loc în care utilizatorii pot fi direct corelați cu informațiile lor personale, cum ar fi adresa de e-mail, este separat în mod logic și fizic de domeniul de securitate din centrul de date B. Ambele sunt, la rândul lor, separate de domeniul în care conținutul criptat este stocat în cele din urmă, în centrul de date C.
În această diagramă, clientul este aplicația Webex care rulează pe laptopul unui utilizator și s-a autentificat cu serviciul de identitate. Când utilizatorul compune un mesaj pentru a trimite într-un spațiu, au loc următorii pași:
-
Clientul stabilește o conexiune securizată cu serviciul de gestionare a cheilor (KMS), apoi solicită o cheie pentru a cripta mesajul. Conexiunea securizată utilizează ECDH, iar KMS criptează cheia utilizând o cheie principală AES-256.
-
Mesajul este criptat înainte de a părăsi clientul. Clientul îl trimite la serviciul de indexare, care creează indexuri de căutare criptate pentru a ajuta în căutările viitoare pentru conținut.
-
Mesajul criptat este trimis serviciului de conformitate pentru verificări de conformitate.
-
Mesajul criptat este stocat în domeniul de stocare.
Când implementați Securitatea datelor hibride, mutați funcțiile domeniului de securitate (KMS, indexare și conformitate) în centrul dvs. de date local. Celelalte servicii cloud care alcătuiesc Webex (inclusiv stocarea identității și a conținutului) rămân în domeniile Cisco.
Colaborarea cu Alte Organizații
Utilizatorii din organizația dvs. pot utiliza în mod regulat Aplicația Webex pentru a colabora cu participanți externi din alte organizații. Atunci când unul dintre utilizatorii dvs. solicită o cheie pentru un spațiu care este deținut de organizația dvs. (deoarece a fost creat de unul dintre utilizatorii dvs.), KMS trimite cheia către client printr-un canal ECDH securizat. Cu toate acestea, atunci când o altă organizație deține cheia pentru spațiu, KMS-ul direcționează cererea către cloudul Webex printr-un canal ECDH separat pentru a obține cheia de la KMS-ul corespunzător, apoi returnează cheia către utilizatorul dvs. pe canalul original.
Serviciul KMS care rulează pe Org A validează conexiunile la KMS în alte organizații utilizând x.509 certificate PKI. Consultați Pregătiți-vă mediul pentru detalii despre generarea unui certificat x.509 pe care să-l utilizați cu implementarea securității datelor hibride.
Așteptări pentru implementarea securității datelor hibride
O implementare a securității datelor hibride necesită un angajament semnificativ din partea clienților și o conștientizare a riscurilor pe care le implică deținerea cheilor de criptare.
Pentru a implementa securitatea datelor hibride, trebuie să furnizați:
-
Un centru de date securizat într-o țară care este o locație acceptată pentru planurile Cisco Webex Teams.
-
Echipamentul, software-ul și accesul la rețea descrise în Pregătirea Mediului.
Pierderea completă a configurației ISO pe care o construiți pentru securitatea datelor hibride sau a bazei de date pe care o furnizați va duce la pierderea tastelor. Pierderea tastelor împiedică utilizatorii să decripteze conținutul spațiului și alte date criptate în Aplicația Webex. Dacă se întâmplă acest lucru, puteți construi o nouă implementare, dar numai conținut nou va fi vizibil. Pentru a evita pierderea accesului la date, trebuie:
-
Gestionați backup-ul și recuperarea bazei de date și configurația ISO.
-
Fiți pregătiți să efectuați recuperarea rapidă a dezastrelor dacă apare o catastrofă, cum ar fi defectarea discului de bază de date sau dezastrul centrului de date.
Nu există niciun mecanism pentru a muta cheile înapoi în Cloud după o implementare HDS. |
Proces de configurare la nivel înalt
Acest document acoperă configurarea și gestionarea implementării securității datelor hibride:
Configurați securitatea datelor hibride—Aceasta include pregătirea infrastructurii necesare și instalarea software-ului de securitate a datelor hibride, testarea implementării dvs. cu un subset de utilizatori în modul de încercare și, odată ce testarea dvs. este finalizată, trecerea la producție. Aceasta convertește întreaga organizație pentru a utiliza clusterul dvs. de securitate a datelor hibride pentru funcțiile de securitate.
Fazele de configurare, încercare și producție sunt acoperite în detaliu în următoarele trei capitole.
-
Mențineți implementarea securității datelor hibride—cloud-ul Webex oferă automat upgrade-uri în curs. Departamentul dvs. IT poate oferi un singur nivel de asistență pentru această implementare și poate angaja asistență Cisco după cum este necesar. Puteți utiliza notificări pe ecran și puteți configura alerte pe bază de e-mail în Control Hub.
-
Înțelegeți alertele comune, pașii de depanare și problemele cunoscute—Dacă întâmpinați probleme la implementarea sau utilizarea securității datelor hibride, ultimul capitol al acestui ghid și apendicele Probleme cunoscute vă pot ajuta să determinați și să remediați problema.
Model de implementare a securității datelor hibride
În cadrul centrului dvs. de date al întreprinderii, implementați Securitatea datelor hibride ca un singur grup de noduri pe gazde virtuale separate. Nodurile comunică cu cloudul Webex prin intermediul unor prize web securizate și HTTP securizat.
În timpul procesului de instalare, vă oferim fișierul OVA pentru a configura dispozitivul virtual pe VMs pe care le furnizați. Utilizați instrumentul de configurare HDS pentru a crea un fișier ISO de configurare a clusterului personalizat pe care îl montați pe fiecare nod. Clusterul de securitate a datelor hibride utilizează serverul Syslogd furnizat și baza de date PostgreSQL sau Microsoft SQL Server. (Configurați detaliile conexiunii Syslogd și a bazei de date în Instrumentul de configurare HDS.)
Numărul minim de noduri pe care le puteți avea într-un cluster este de două. Vă recomandăm cel puțin trei, și puteți avea până la cinci. Având mai multe noduri asigură faptul că serviciul nu este întrerupt în timpul unui upgrade de software sau al unei alte activități de întreținere pe un nod. (Cloudul Webex actualizează un singur nod la un moment dat.)
Toate nodurile dintr-un cluster accesează aceeași bază de date cu tastatură și înregistrează activitatea pe același server syslog. Nodurile în sine sunt apatride și se ocupă de solicitările cheie în modul rotund-robin, așa cum este direcționat de cloud.
Nodurile devin active atunci când le înregistrați în Control Hub. Pentru a scoate un nod individual din serviciu, îl puteți desînregistra și apoi îl puteți reînregistra, dacă este necesar.
Sprijinim doar un singur cluster per organizație.
Mod de încercare pentru securitatea datelor hibride
După configurarea unei implementări de securitate a datelor hibride, încercați mai întâi cu un set de utilizatori pilot. În timpul perioadei de încercare, acești utilizatori utilizează domeniul local de securitate a datelor hibride pentru cheile de criptare și alte servicii din domeniul de securitate. Ceilalți utilizatori continuă să utilizeze domeniul de securitate cloud.
Dacă decideți să nu continuați implementarea în timpul perioadei de încercare și să dezactivați serviciul, utilizatorii-pilot și orice utilizatori cu care au interacționat prin crearea de spații noi în timpul perioadei de încercare vor pierde accesul la mesaje și conținut. Aceștia vor vedea „Acest mesaj nu poate fi decriptat” în aplicația Webex.
Dacă sunteți mulțumit că implementarea dvs. funcționează bine pentru utilizatorii de încercare și sunteți gata să extindeți Securitatea datelor hibride la toți utilizatorii dvs., mutați implementarea în producție. Utilizatorii pilot continuă să aibă acces la cheile care au fost utilizate în timpul încercării. Cu toate acestea, nu se poate muta înapoi și înainte între modul de producție și procesul inițial. Dacă trebuie să dezactivați serviciul, cum ar fi pentru a efectua recuperarea dezastrelor, atunci când reactivați, trebuie să începeți o nouă încercare și să configurați setul de utilizatori pilot pentru noua încercare înainte de a reveni la modul de producție. Dacă utilizatorii păstrează accesul la date în acest moment depinde de faptul dacă ați menținut cu succes copii de rezervă ale stocului de date cheie și ale fișierului de configurare ISO pentru nodurile de securitate a datelor hibride din cluster.
Centrul de date standby pentru recuperarea dezastrelor
În timpul implementării, ați configurat un centru de date standby securizat. În cazul unui dezastru al unui centru de date, puteți eșua manual implementarea în centrul de date standby.
Bazele de date ale centrelor de date active și standby sunt în sincronizare unele cu altele, ceea ce va reduce la minimum timpul necesar pentru a efectua eșecul. Fișierul ISO al centrului de date standby este actualizat cu configurații suplimentare care asigură că nodurile sunt înregistrate în organizație, dar nu vor gestiona traficul. Prin urmare, nodurile centrului de date standby rămân întotdeauna la zi cu cea mai recentă versiune de software HDS.
Nodurile active de securitate a datelor hibride trebuie să fie întotdeauna în același centru de date ca serverul de bază de date activă. |
Configurarea Centrului de date standby pentru recuperarea dezastrelor
Urmați pașii de mai jos pentru a configura fișierul ISO al centrului de date standby:
Înainte de a începe
-
Centrul de date standby trebuie să reflecte mediul de producție al VMs și o bază de date PostgreSQL sau Microsoft SQL Server de rezervă. De exemplu, dacă producția are 3 VMs care rulează noduri HDS, mediul de rezervă ar trebui să aibă 3 VMs. (Consultați Centrul de date standby pentru recuperarea dezastrelor pentru o prezentare generală a acestui model de eșec.)
-
Asigurați-vă că sincronizarea bazei de date este activată între baza de date a nodurilor de cluster active și pasive.
1 |
Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.
| ||
2 |
După configurarea serverului Syslogd, faceți clic pe Setări avansate | ||
3 |
Pe pagina Setări avansate , adăugați configurația de mai jos pentru a plasa nodul în modul pasiv. În acest mod, nodul va fi înregistrat în organizație și conectat la cloud, dar nu va gestiona niciun trafic.
| ||
4 |
Completați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit. | ||
5 |
Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare. | ||
6 |
În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări.. | ||
7 |
Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Fișier ISO Datastore.
| ||
8 |
Activați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute. | ||
9 |
Repetați procesul pentru fiecare nod din centrul de date standby.
|
Ce este de făcut în continuare
După configurarea pasiveMode
în fișierul ISO și salvarea acestuia, puteți crea o altă copie a fișierului ISO fără configurația pasiveMode
și salvați-l într-o locație sigură. Această copie a fișierului ISO fără pasiveMode
configurat poate ajuta într-un proces rapid de eșec în timpul recuperării dezastrelor. Consultați Recuperarea dezastrelor utilizând Centrul de date standby pentru procedura detaliată de nereușită.
Suport proxy
Hybrid Data Security acceptă inspectarea explicită, transparentă și proxy-uri care nu inspectează. Puteți lega aceste proxy-uri de implementare, astfel încât să puteți securiza și monitoriza traficul de la întreprindere în cloud. Puteți utiliza o interfață de administrator de platformă pe nodurile pentru gestionarea certificatelor și pentru a verifica starea generală a conectivității după ce ați configurat proxy-ul pe noduri.
Nodurile hibride de securitate a datelor acceptă următoarele opțiuni proxy:
-
Fără proxy—Implicit dacă nu utilizați configurația de configurare a nodului HDS Trust Store și proxy pentru a integra un proxy. Nu este necesară actualizarea certificatului.
-
Proxy transparent fără inspecție—Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy și nu trebuie să necesite nicio modificare pentru a lucra cu un proxy fără inspecție. Nu este necesară actualizarea certificatului.
-
Tunelare transparentă sau inspecție proxy—Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy. Nu sunt necesare modificări de configurare HTTP sau HTTPS pe noduri. Cu toate acestea, nodurile au nevoie de un certificat rădăcină, astfel încât să aibă încredere în proxy. Proxy-urile de inspectare sunt de obicei utilizate de IT pentru a aplica politici pe care site-urile web pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).
-
Proxy explicit—Cu proxy explicit, spuneți nodurilor HDS ce server proxy și sistem de autentificare trebuie să utilizați. Pentru a configura un proxy explicit, trebuie să introduceți următoarele informații pe fiecare nod:
-
IP proxy/FQDN—Adresă care poate fi utilizată pentru a ajunge la utilajul proxy.
-
Portul proxy—Un număr de port pe care proxy-ul îl folosește pentru a asculta traficul proxy.
-
Proxy Protocol—În funcție de ce acceptă serverul dvs. proxy, alegeți între următoarele protocoale:
-
HTTP - Vizualizează și controlează toate solicitările pe care le trimite clientul.
-
HTTPS - Oferă un canal serverului. Clientul primește și validează certificatul serverului.
-
-
Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:
-
Niciuna- Nu este necesară autentificarea suplimentară.
Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
-
De bază—Utilizat pentru un agent de utilizator HTTP pentru a furniza un nume de utilizator și o parolă atunci când efectuați o solicitare. Utilizează codificarea Base64.
Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
Vă solicită să introduceți numele de utilizator și parola pe fiecare nod.
-
Digest—Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite prin rețea.
Disponibil numai dacă selectați HTTPS ca protocol proxy.
Vă solicită să introduceți numele de utilizator și parola pe fiecare nod.
-
-
Exemplu de noduri hibride de securitate a datelor și proxy
Această diagramă afișează un exemplu de conexiune între securitatea datelor hibride, rețea și un proxy. Pentru opțiunile proxy de inspectare transparente și https explicit inspectare, același certificat rădăcină trebuie să fie instalat pe proxy și pe nodurile hibride de securitate a datelor.
Modul de rezolvare DNS extern blocat (configurații proxy explicite)
Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează căutarea DNS și conectivitatea la cloud-ul Cisco Webex. În implementările cu configurații proxy explicite care nu permit rezoluția DNS externă pentru clienții interni, dacă nodul nu poate interoga serverele DNS, acesta intră automat în modul Rezoluție DNS externă blocată. În acest mod, înregistrarea nodului și alte teste de conectivitate proxy pot continua.
Cerințe privind securitatea datelor hibride
Cerințe de licență Cisco Webex
Pentru implementarea securității datelor hibride:
-
Trebuie să aveți un pachet Pro pentru Cisco Webex Control Hub. (Vezi https://www.cisco.com/go/pro-pack.)
Cerințe Docker Desktop
Înainte de a instala nodurile HDS, aveți nevoie de Docker Desktop pentru a rula un program de configurare. Docker și-a actualizat recent modelul de licențiere. Este posibil ca organizația să necesite un abonament plătit pentru Docker Desktop. Pentru detalii, consultați postarea de pe blogul Docker, " Docker actualizează și extinde abonamentele noastre de produse".
X.509 Cerințe privind certificatul
Lanțul certificatului trebuie să îndeplinească următoarele cerințe:
Obligatoriu |
Detalii |
---|---|
|
În mod implicit, avem încredere în CA-urile din lista Mozilla (cu excepția WoSign și StartCom) la https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN-ul nu trebuie să fie accesibil sau o gazdă live. Vă recomandăm să utilizați un nume care să reflecte organizația dvs., de exemplu, CN nu trebuie să conțină un * (wildcard). CN este utilizat pentru a verifica nodurile de securitate a datelor hibride pentru clienții Aplicației Webex. Toate nodurile de securitate a datelor hibride din clusterul dvs. utilizează același certificat. KMS-ul se identifică utilizând domeniul CN, nu orice domeniu care este definit în câmpurile SAN x.509v3. După ce ați înregistrat un nod cu acest certificat, nu acceptăm schimbarea numelui domeniului CN. Alegeți un domeniu care se poate aplica atât implementărilor de încercare, cât și implementărilor de producție. |
|
Software-ul KMS nu acceptă semnăturile SHA1 pentru validarea conexiunilor la KMSs ale altor organizații. |
|
Puteți utiliza un convertor, cum ar fi OpenSSL pentru a schimba formatul certificatului. Va trebui să introduceți parola atunci când rulați Instrumentul de configurare HDS. |
Software-ul KMS nu impune utilizarea cheii sau restricții extinse de utilizare a cheii. Unele autorități de certificare impun aplicarea unor restricții extinse de utilizare a cheilor pentru fiecare certificat, cum ar fi autentificarea serverului. Este în regulă să utilizați autentificarea serverului sau alte setări.
Cerințe Gazdă virtuală
Gazdele virtuale pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. au următoarele cerințe:
-
Cel puțin două gazde separate (3 recomandate) plasate în același centru de date securizat
-
VMware ESXi 6.5 (sau mai târziu) instalat și rulează.
Trebuie să faceți upgrade dacă aveți o versiune anterioară a ESXi.
-
Minim 4 vCPU-uri, 8-GB memorie principală, 30-GB spațiu pe hard disk local pe server
Cerințe server bază de date
Creați o nouă bază de date pentru stocarea cheilor. Nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date. |
Există două opțiuni pentru serverul de baze de date. Cerințele pentru fiecare sunt după cum urmează:
PostgreSQL |
Server Microsoft SQL | ||
---|---|---|---|
|
| ||
Minim 8 vCPU-uri, 16-GB memorie principală, suficient spațiu pe hard disk și monitorizare pentru a se asigura că nu este depășit (2-TB recomandat dacă doriți să rulați baza de date pentru o lungă perioadă de timp, fără a fi nevoie de a crește spațiul de stocare) |
Minim 8 vCPU-uri, 16-GB memorie principală, suficient spațiu pe hard disk și monitorizare pentru a se asigura că nu este depășit (2-TB recomandat dacă doriți să rulați baza de date pentru o lungă perioadă de timp, fără a fi nevoie de a crește spațiul de stocare) |
Software-ul HDS instalează în prezent următoarele versiuni de drivere pentru comunicarea cu serverul bazei de date:
PostgreSQL |
Server Microsoft SQL |
---|---|
Șofer JDBC Postgres 42.2.5 |
Driver JDBC SQL Server 4.6 Această versiune a driverului acceptă SQL Server întotdeauna activat (întotdeauna pe instanțe de cluster nereușite și întotdeauna pe grupuri de disponibilitate). |
Cerințe suplimentare pentru autentificarea Windows împotriva Microsoft SQL Server
Dacă doriți ca nodurile HDS să utilizeze autentificarea Windows pentru a obține acces la baza dvs. de date Keystore pe Microsoft SQL Server, atunci aveți nevoie de următoarea configurație în mediul dvs.:
-
Nodurile HDS, infrastructura Active Directory și serverul MS SQL trebuie sincronizate cu NTP.
-
Contul Windows pe care îl furnizați nodurilor HDS trebuie să aibă acces la baza de date citită/scrisă.
-
Serverele DNS pe care le furnizați nodurilor HDS trebuie să poată rezolva Centrul dvs. de distribuție a cheilor (KDC).
-
Puteți înregistra instanța bazei de date HDS pe serverul dvs. Microsoft SQL ca nume principal al serviciului (SPN) în directorul dvs. activ. Consultați Înregistrarea unui nume principal de serviciu pentru conexiunile Kerberos.
Instrumentul de configurare HDS, lansatorul HDS și KMS local trebuie să utilizeze autentificarea Windows pentru a accesa baza de date Keystore. Ei folosesc detaliile din configurația ISO pentru a construi SPN atunci când solicită acces cu autentificarea Kerberos.
Cerințe de conectivitate externă
Configurați firewall-ul pentru a permite următoarea conectivitate pentru aplicațiile HDS:
Aplicație |
Protocol |
Port |
Direcție din aplicație |
Destinație |
---|---|---|---|---|
Noduri de securitate a datelor hibride |
TCP |
443 |
HTTPS de ieșire și WSS |
|
Instrument de configurare HDS |
TCP |
443 |
HTTPS de ieșire |
|
Nodurile de securitate a datelor hibride funcționează cu traducerea accesului la rețea (NAT) sau în spatele unui firewall, atâta timp cât NAT sau firewall permite conexiunile de ieșire necesare la destinațiile de domeniu din tabelul precedent. Pentru conexiunile care intră în nodurile de securitate a datelor hibride, niciun port nu trebuie să fie vizibil de pe internet. În cadrul centrului dvs. de date, clienții au nevoie de acces la nodurile de securitate a datelor hibride din porturile TCP 443 și 22, în scopuri administrative. |
URL-urile gazdelor pentru identitatea comună (CI) sunt specifice regiunii. Acestea sunt gazdele actuale CI:
Regiune |
URL-uri comune ale gazdei pentru identitate |
---|---|
Țările din America |
|
Uniunea Europeană |
|
Canada |
|
Cerințe server proxy
-
Acceptăm oficial următoarele soluții proxy care se pot integra cu nodurile hibride de securitate a datelor.
-
Proxy transparent - Cisco Web Security Appliance (WSA).
-
Proxy explicit - Calmar.
Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea conexiunilor websocket (wss:). Pentru a lucra la această problemă, consultați Configurarea proxy-urilor Squid pentru securitatea datelor hibride.
-
-
Acceptăm următoarele combinații de tip de autentificare pentru proxy-uri explicite:
-
Fără autentificare cu HTTP sau HTTPS
-
Autentificare de bază cu HTTP sau HTTPS
-
Autentificare digest numai cu HTTPS
-
-
Pentru un proxy de inspectare transparent sau un proxy explicit HTTPS, trebuie să aveți o copie a certificatului rădăcină al proxy-ului. Instrucțiunile de implementare din acest ghid vă spun cum să încărcați copia în depozitele de încredere ale nodurilor hibride de securitate a datelor.
-
Rețeaua care găzduiește nodurile HDS trebuie să fie configurată pentru a forța traficul TCP de ieșire pe portul 443 pentru a ruta prin proxy.
-
Proxy-urile care inspectează traficul web pot interfera cu conexiunile de soclu web. Dacă apare această problemă, ocolirea (nu inspectarea) traficului către
wbx2.com și ciscospark.com va rezolva
problema.
Completați cerințele preliminare pentru securitatea datelor hibride
1 |
Asigurați-vă că organizația dvs. Webex este activată pentru pachetul Pro pentru Cisco Webex Control Hub și obțineți acreditările unui cont cu drepturi depline de administrator al organizației. Contactați-vă partenerul Cisco sau managerul de cont pentru ajutor în acest proces. | ||
2 |
Alegeți un nume de domeniu pentru implementarea HDS (de exemplu, | ||
3 |
Pregătiți gazdele virtuale identice pe care le veți configura ca noduri de securitate a datelor hibride în cluster. Aveți nevoie de cel puțin două gazde separate (3 recomandate) plasate în același centru de date securizat, care îndeplinesc cerințele din Cerințele Gazdei Virtuale. | ||
4 |
Pregătiți serverul bazei de date care va acționa ca un magazin de date cheie pentru cluster, în conformitate cu cerințele serverului bazei de date. Serverul bazei de date trebuie să fie plasat în centrul de date securizat cu gazdele virtuale. | ||
5 |
Pentru recuperarea rapidă a dezastrelor, configurați un mediu de rezervă într-un alt centru de date. Mediul de rezervă reflectă mediul de producție al VMs și un server de baze de date de rezervă. De exemplu, dacă producția are 3 VMs care rulează noduri HDS, mediul de rezervă ar trebui să aibă 3 VMs. | ||
6 |
Configurați o gazdă syslog pentru a colecta jurnale de la nodurile din cluster. Aduna adresa de rețea și portul syslog (implicit este UDP 514). | ||
7 |
Creați o politică de rezervă securizată pentru nodurile de securitate a datelor hibride, serverul bazei de date și gazda syslog. Cel puțin, pentru a preveni pierderea de date nerecuperabile, trebuie să salvați baza de date și fișierul ISO de configurare generat pentru nodurile de securitate a datelor hibride.
Clienții Aplicației Webex își ascund cheile, astfel încât este posibil ca o întrerupere să nu fie vizibilă imediat, dar va deveni evidentă în timp. În timp ce ieșirile temporare sunt imposibil de prevenit, acestea sunt recuperabile. Cu toate acestea, pierderea completă (fără backup-uri disponibile) a bazei de date sau a fișierului ISO de configurare va duce la date client nerecuperabile. Operatorii nodurilor de securitate a datelor hibride se așteaptă să mențină backup-uri frecvente ale bazei de date și ale fișierului ISO de configurare și să fie pregătiți să reconstruiască centrul de date de securitate a datelor hibride în cazul în care apare un eșec catastrofal. | ||
8 |
Asigurați-vă că configurația firewall-ului dvs. permite conectivitatea pentru nodurile dvs. de securitate a datelor hibride, astfel cum sunt prezentate în cerințele de conectivitate externă. | ||
9 |
Instalați Docker ( https://www.docker.com) pe orice mașină locală care rulează un sistem de operare acceptat (Microsoft Windows 10 Professional sau Enterprise pe 64 de biți sau Mac OSX Yosemite 10.10.3 sau mai sus) cu un browser web care îl poate accesa la http://127.0.0.1:8080. Utilizați instanța Docker pentru a descărca și rula Instrumentul de configurare HDS, care construiește informațiile de configurare locale pentru toate nodurile de securitate a datelor hibride. Este posibil ca organizația dvs. să aibă nevoie de o licență Docker Desktop. Consultați Cerințele Docker Desktop pentru mai multe informații. Pentru a instala și rula Instrumentul de configurare HDS, utilajul local trebuie să aibă conectivitatea descrisă în Cerințele de conectivitate externă. | ||
10 |
Dacă integrați un proxy cu securitatea datelor hibride, asigurați-vă că îndeplinește Cerințele serverului proxy. | ||
11 |
Dacă organizația dvs. utilizează sincronizarea directorului, creați un grup în Active Directory numit
|
Hybrid Data Security Deployment Task Flow
Înainte de a începe
1 |
Download the OVA file to your local machine for later use. | ||
2 |
Create a Configuration ISO for the HDS Hosts Use the HDS Setup Tool to create an ISO configuration file for the Hybrid Data Security nodes. | ||
3 |
Create a virtual machine from the OVA file and perform initial configuration, such as network settings.
| ||
4 |
Set up the Hybrid Data Security VM Sign in to the VM console and set the sign-in credentials. Configure the network settings for the node if you didn't configure them at the time of OVA deployment. | ||
5 |
Upload and Mount the HDS Configuration ISO Configure the VM from the ISO configuration file that you created with the HDS Setup Tool. | ||
6 |
Configurarea nodului HDS pentru integrarea proxy If the network environment requires proxy configuration, specify the type of proxy that you will use for the node, and add the proxy certificate to the trust store if needed. | ||
7 |
Register the First Node in the Cluster Register the VM with the Cisco Webex cloud as a Hybrid Data Security node. | ||
8 |
Create and Register More Nodes Complete the cluster setup. | ||
9 |
Run a Trial and Move to Production (next chapter) Until you start a trial, your nodes generate an alarm indicating that your service is not yet activated. |
Download Installation Files
1 |
Sign in to https://admin.webex.com, and then click Services. | ||||
2 |
In the Hybrid Services section, find the Hybrid Data Security card, and then click Set up. If the card is disabled or you don’t see it, contact your account team or your partner organization. Give them your account number and ask to enable your organization for Hybrid Data Security. To find the account number, click the gear at the top right, next to your organization name.
| ||||
3 |
Select No to indicate that you haven’t set up the node yet, and then click Next. The OVA file automatically begins to download. Save the file to a location on your machine.
| ||||
4 |
Optionally, click Open Deployment Guide to check if there’s a later version of this guide available. |
Create a Configuration ISO for the HDS Hosts
The Hybrid Data Security setup process creates an ISO file. You then use the ISO to configure your Hybrid Data Security host.
Înainte de a începe
-
Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi complete de administrator pentru organizația dvs.
If the HDS Setup tool runs behind a proxy in your environment, provide the proxy settings (server, port, credentials) through Docker environment variables when bringing up the Docker container in step 5. Acest tabel oferă câteva posibile variabile de mediu:
Descriere
Variabilă
Proxy HTTP fără autentificare
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS fără autentificare
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP cu autentificare
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS cu autentificare
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
The configuration ISO file that you generate contains the master key encrypting the PostgreSQL or Microsoft SQL Server database. You need the latest copy of this file anytime you make configuration changes, like these:
-
Database credentials
-
Certificate updates
-
Changes to authorization policy
-
-
If you plan to encrypt database connections, set up your PostgreSQL or SQL Server deployment for TLS.
1 |
La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite: În mediile FedRAMP:
| ||||||||||||
2 |
Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele: | ||||||||||||
3 |
La solicitarea parolei, introduceți acest hash: | ||||||||||||
4 |
Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite: În mediile FedRAMP: | ||||||||||||
5 |
Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.:
Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”. | ||||||||||||
6 |
Use a web browser to go to the localhost, The tool uses this first entry of the username to set the proper environment for that account. The tool then displays the standard sign-in prompt. | ||||||||||||
7 |
When prompted, enter your Control Hub customer admin sign-in credentials, and then click Log in to allow access to the required services for Hybrid Data Security. | ||||||||||||
8 |
On the Setup Tool overview page, click Get Started. | ||||||||||||
9 |
On the ISO Import page, you have these options:
| ||||||||||||
10 |
Check that your X.509 certificate meets the requirements in X.509 Certificate Requirements.
| ||||||||||||
11 |
Enter the database address and account for HDS to access your key datastore: | ||||||||||||
12 |
Select a TLS Database Connection Mode:
When you upload the root certificate (if necessary) and click Continue, the HDS Setup Tool tests the TLS connection to the database server. Instrumentul verifică, de asemenea, semnatarul certificatului și numele de gazdă, dacă este cazul. Dacă un test nu reușește, instrumentul afișează un mesaj de eroare care descrie problema. Puteți alege dacă să ignorați eroarea și să continuați cu configurarea. (Because of connectivity differences, the HDS nodes might be able to establish the TLS connection even if the HDS Setup Tool machine can't successfully test it.) | ||||||||||||
13 |
On the System Logs page, configure your Syslogd server: | ||||||||||||
14 |
(Optional) You can change the default value for some database connection parameters in Advanced Settings. Generally, this parameter is the only one that you might want to change: | ||||||||||||
15 |
Click Continue on the Reset Service Accounts Password screen. Service account passwords have a nine-month lifespan. Use this screen when your passwords are nearing expiry or you want to reset them to invalidate previous ISO files. | ||||||||||||
16 |
Click Download ISO File. Save the file in a location that's easy to find. | ||||||||||||
17 |
Make a backup copy of the ISO file on your local system. Keep the backup copy secure. This file contains a master encryption key for the database contents. Restrict access to only those Hybrid Data Security administrators who should make configuration changes. | ||||||||||||
18 |
To shut down the Setup tool, type |
Ce este de făcut în continuare
Back up the configuration ISO file. You need it to create more nodes for recovery, or to make configuration changes. If you lose all copies of the ISO file, you've also lost the master key. Recovering the keys from your PostgreSQL or Microsoft SQL Server database isn't possible.
We never have a copy of this key and can't help if you lose it. |
Install the HDS Host OVA
1 |
Use the VMware vSphere client on your computer to log into the ESXi virtual host. | ||||||
2 |
Select File > Deploy OVF Template. | ||||||
3 |
In the wizard, specify the location of the OVA file that you downloaded earlier, and then click Next. | ||||||
4 |
On the Select a name and folder page, enter a Virtual machine name for the node (for example, "HDS_Node_1"), choose a location where the virtual machine node deployment can reside, and then click Next. | ||||||
5 |
On the Select a compute resource page, choose the destination compute resource, and then click Next. A validation check runs. After it finishes, the template details appear. | ||||||
6 |
Verify the template details and then click Next. | ||||||
7 |
If you are asked to choose the resource configuration on the Configuration page, click 4 CPU and then click Next. | ||||||
8 |
On the Select storage page, click Next to accept the default disk format and VM storage policy. | ||||||
9 |
On the Select networks page, choose the network option from the list of entries to provide the desired connectivity to the VM. | ||||||
10 |
On the Customize template page, configure the following network settings:
If preferred, you can skip the network setting configuration and follow the steps in Set up the Hybrid Data Security VM to configure the settings from the node console.
| ||||||
11 |
Right-click the node VM, and then choose .The Hybrid Data Security software is installed as a guest on the VM Host. You are now ready to sign in to the console and configure the node. Sfaturi de depanare You may experience a delay of a few minutes before the node containers come up. A bridge firewall message appears on the console during first boot, during which you can't sign in. |
Set up the Hybrid Data Security VM
Use this procedure to sign in to the Hybrid Data Security node VM console for the first time and set the sign-in credentials. You can also use the console to configure the network settings for the node if you didn't configure them at the time of OVA deployment.
1 |
In the VMware vSphere client, select your Hybrid Data Security node VM and select the Console tab. The VM boots up and a login prompt appears. If the login prompt does not display, press Enter.
|
2 |
Use the following default login and password to sign in and change the credentials: Since you are signing in to your VM for the first time, you are required to change the administrator password. |
3 |
If you already configured the network settings in Install the HDS Host OVA, skip the rest of this procedure. Otherwise, in the main menu, select the Edit Configuration option. |
4 |
Set up a static configuration with IP address, Mask, Gateway and DNS information. Your node should have an internal IP address and DNS name. DHCP is not supported. |
5 |
(Optional) Change the hostname, domain or NTP server(s), if needed to match your network policy. You do not need to set the domain to match the domain that you used to obtain the X.509 certificate. |
6 |
Save the network configuration and reboot the VM so that the changes take effect. |
Upload and Mount the HDS Configuration ISO
Înainte de a începe
Because the ISO file holds the master key, it should only be exposed on a "need to know" basis, for access by the Hybrid Data Security VMs and any administrators who might need to make changes. Make sure that only those administrators can access the datastore.
1 |
Upload the ISO file from your computer: |
2 |
Mount the ISO file: |
Ce este de făcut în continuare
If your IT policy requires, you can optionally unmount the ISO file after all your nodes pick up the configuration changes. See (Optional) Unmount ISO After HDS Configuration for details.
Configurarea nodului HDS pentru integrarea proxy
Dacă mediul de rețea necesită un proxy, utilizați această procedură pentru a specifica tipul de proxy pe care doriți să îl integrați cu Securitatea datelor hibride. Dacă alegeți un proxy de inspectare transparent sau un proxy explicit HTTPS, puteți utiliza interfața nodului pentru a încărca și instala certificatul rădăcină. De asemenea, puteți verifica conexiunea proxy din interfață și puteți depana orice probleme potențiale.
Înainte de a începe
-
Consultați Suport proxy pentru o prezentare generală a opțiunilor proxy acceptate.
1 |
Introduceți URL-ul de configurare a nodului HDS |
2 |
Accesați Trust Store & Proxy, apoi alegeți o opțiune:
Urmați pașii următori pentru un proxy de inspectare transparent, un proxy explicit HTTP cu autentificare de bază sau un proxy explicit HTTPS. |
3 |
Faceți clic pe Încărcare certificat rădăcină sau certificat de entitate de sfârșit , apoi navigați la o alegeți certificatul rădăcină pentruproxy. Certificatul este încărcat, dar nu este încă instalat, deoarece trebuie să reporniți nodul pentru a instala certificatul. Faceți clic pe săgeata ghilimelei unghiulare de numele emitentului certificatului pentru a obține mai multe detalii sau faceți clic pe Ștergere dacă ați făcut o greșeală și doriți să reîncărcați fișierul. |
4 |
Faceți clic pe Verificare conexiune proxy pentru a testa conectivitatea la rețea între nod și proxy. Dacă testul de conexiune nu reușește, veți vedea un mesaj de eroare care arată motivul și modul în care puteți corecta problema. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a reușit, nodul nu a reușit să ajungă la serverul DNS. Această condiție este de așteptat în multe configurații proxy explicite. You can continue with the setup, and the node will function in Blocked External DNS Resolution mode. If you think this is an error, complete these steps, and then see Turn off Blocked External DNS Resolution Mode. |
5 |
După ce trece testul de conexiune, pentru proxy explicit setat la https numai, activați comutatorul pentru a ruta toate port 443/444 https solicitările de la acest nod prin proxy explicit. Această setare necesită 15 secunde pentru a intra în vigoare. |
6 |
Faceți clic pe Instalare toate certificatele în Depozitul de încredere (apare pentru un proxy explicit HTTPS sau un proxy de inspectare transparent) sau pe Repornire (apare pentru un proxy explicit HTTP), citiți solicitarea, apoi faceți clic pe Instalare dacă sunteți gata. Nodul repornește în câteva minute. |
7 |
După repornirea nodului, conectați-vă din nou, dacă este necesar, apoi deschideți pagina Prezentare generală pentru a verifica verificările de conectivitate pentru a vă asigura că toate sunt în stare verde. Verificarea conexiunii proxy testează numai un subdomeniu de webex.com. Dacă există probleme de conectivitate, o problemă comună este că unele dintre domeniile cloud listate în instrucțiunile de instalare sunt blocate la proxy. |
Register the First Node in the Cluster
When you register your first node, you create a cluster to which the node is assigned. A cluster contains one or more nodes deployed to provide redundancy.
Înainte de a începe
-
Once you begin registration of a node, you must complete it within 60 minutes or you have to start over.
-
Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.
1 |
Conectați-vă la https://admin.webex.com. |
2 |
From the menu on the left side of the screen, select Services. |
3 |
In the Hybrid Services section, find Hybrid Data Security and click Set up. The Register Hybrid Data Security Node page appears.
|
4 |
Select Yes to indicate that you have set up the node and are ready to register it, and then click Next. |
5 |
In the first field, enter a name for the cluster to which you want to assign your Hybrid Data Security node. We recommend that you name a cluster based on where the nodes of the cluster are located geographically. Examples: "San Francisco" or "New York" or "Dallas" |
6 |
In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next. This IP address or FQDN should match the IP address or hostname and domain that you used in Set up the Hybrid Data Security VM. A message appears indicating you can register your node to the Webex.
|
7 |
Click Go to Node. |
8 |
Click Continue in the warning message. After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your Webex organization to access your node.
|
9 |
Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue. Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud.
|
10 |
Click the link or close the tab to go back to the Control Hub Hybrid Data Security page. On the Hybrid Data Security page, the new cluster containing the node that you registered is displayed. The node will automatically download the latest software from the cloud.
|
Create and Register More Nodes
At this time, the backup VMs that you created in Complete the Prerequisites for Hybrid Data Security are standby hosts which are only used in the event of disaster recovery; they are not registered with the system until then. For details, see Disaster Recovery using Standby Data Center. |
Înainte de a începe
-
Once you begin registration of a node, you must complete it within 60 minutes or you have to start over.
-
Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.
1 |
Create a new virtual machine from the OVA, repeating the steps in Install the HDS Host OVA. |
2 |
Set up the initial configuration on the new VM, repeating the steps in Set up the Hybrid Data Security VM. |
3 |
On the new VM, repeat the steps in Upload and Mount the HDS Configuration ISO. |
4 |
If you are setting up a proxy for your deployment, repeat the steps in Configure the HDS Node for Proxy Integration as needed for the new node. |
5 |
Register the node. Your node is registered. Note that until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.
|
Ce este de făcut în continuare
Încercare la fluxul sarcinilor de producție
După ce ați configurat un cluster de securitate a datelor hibride, puteți iniția un pilot, puteți adăuga utilizatori la acesta și puteți începe să îl utilizați pentru testarea și verificarea implementării dvs. în vederea trecerii la producție.
Înainte de a începe
1 |
Dacă este cazul, sincronizați obiectul grupului Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați obiectul grupului |
2 |
Începeți o încercare. Până când nu efectuați această sarcină, nodurile dvs. generează o alarmă care indică faptul că serviciul nu este încă activat. |
3 |
Testați implementarea securității datelor hibride Verificați dacă solicitările cheie trec la implementarea securității datelor hibride. |
4 |
Monitorizarea sănătății securității datelor hibride Verificați starea și configurați notificările prin e-mail pentru alarme. |
5 | |
6 |
Finalizați faza de probă cu una dintre următoarele acțiuni: |
Activați procesul
Înainte de a începe
Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați obiectul grupului HdsTrialGroup
pentru sincronizare în cloud înainte de a putea iniția o încercare pentru organizația dvs. Pentru instrucțiuni, consultați Ghidul de implementare pentru Cisco Directory Connector.
1 |
Conectați-vă la https://admin.webex.comși apoi selectați Servicii. |
2 |
Sub Securitatea datelor hibride, faceți clic pe Setări. |
3 |
În secțiunea Stare serviciu, faceți clic pe Inițiere încercare. Starea serviciului se modifică în modul de încercare.
|
4 |
Faceți clic pe Adăugare utilizatori și introduceți adresa de e-mail a unuia sau mai multor utilizatori pentru a pilot utilizând nodurile dvs. de securitate a datelor hibride pentru serviciile de criptare și indexare. (Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory pentru a gestiona grupul de încercare, |
Testați implementarea securității datelor hibride
Înainte de a începe
-
Configurați implementarea securității datelor hibride.
-
Activați procesul și adăugați mai mulți utilizatori de proces.
-
Asigurați-vă că aveți acces la syslog pentru a verifica dacă solicitările cheie trec la implementarea securității datelor hibride.
1 |
Tastele pentru un anumit spațiu sunt stabilite de creatorul spațiului. Conectați-vă la Aplicația Webex ca unul dintre utilizatorii pilot, apoi creați un spațiu și invitați cel puțin un utilizator pilot și un utilizator non-pilot.
| ||
2 |
Trimiteți mesaje către noul spațiu. | ||
3 |
Verificați ieșirea syslog pentru a verifica dacă solicitările cheie trec la implementarea securității datelor hibride. |
Monitorizarea sănătății securității datelor hibride
1 |
În Control Hub, selectați Servicii din meniul din partea stângă a ecranului. |
2 |
În secțiunea Servicii hibride, găsiți Securitatea datelor hibride și faceți clic pe Setări. Apare pagina Setări securitate date hibride.
|
3 |
În secțiunea Notificări prin e-mail, tastați una sau mai multe adrese de e-mail separate prin virgule și apăsați Enter. |
Adăugați sau eliminați utilizatori din procesul dvs.
Dacă eliminați un utilizator din trial, clientul utilizatorului va solicita chei și crearea de taste din KMS cloud în loc de KMS dvs. Dacă clientul are nevoie de o cheie care este stocată pe KMS-ul dvs., KMS-ul cloud o va prelua în numele utilizatorului.
Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory (în loc de această procedură) pentru a gestiona grupul de încercare, HdsTrialGroup
; puteți vizualiza membrii grupului din Control Hub, dar nu îi puteți adăuga sau elimina.
1 |
Conectați-vă la Control Hub, apoi selectați Servicii. |
2 |
Sub Securitatea datelor hibride, faceți clic pe Setări. |
3 |
În secțiunea Modul de încercare din zona de stare a serviciului, faceți clic pe Adăugare utilizatori sau faceți clic pe vizualizare și editare pentru a elimina utilizatorii din trial. |
4 |
Introduceți adresa de e-mail a unuia sau mai multor utilizatori pentru a adăuga sau faceți clic pe X de către un ID de utilizator pentru a elimina utilizatorul din încercare. Apoi faceți clic pe Salvare. |
Mutați de la încercare la producție
1 |
Conectați-vă la Control Hub, apoi selectați Servicii. |
2 |
Sub Securitatea datelor hibride, faceți clic pe Setări. |
3 |
În secțiunea Stare serviciu, faceți clic pe Mutare în producție. |
4 |
Confirmați că doriți să mutați toți utilizatorii la producție. |
Încheiați procesul fără a trece la producție
1 |
Conectați-vă la Control Hub, apoi selectați Servicii. |
2 |
Sub Securitatea datelor hibride, faceți clic pe Setări. |
3 |
În secțiunea Dezactivare, faceți clic pe Dezactivare. |
4 |
Confirmați că doriți să dezactivați serviciul și să finalizați procesul. |
Gestionați implementarea HDS
Utilizați sarcinile descrise aici pentru a gestiona implementarea securității datelor hibride.
Setați programul de upgrade al clusterului
Pentru a seta programul de upgrade:
1 |
Conectați-vă la Control Hub. |
2 |
Pe pagina Prezentare generală, în secțiunea Servicii hibride, selectați Securitatea datelor hibride. |
3 |
Pe pagina Resurse de securitate a datelor hibride, selectați clusterul. |
4 |
În panoul Prezentare generală din dreapta, în secțiunea Setări cluster, selectați numele clusterului. |
5 |
Pe pagina Setări, în secțiunea Upgrade, selectați ora și fusul orar pentru programul de upgrade. Notă: În cadrul fusului orar, se afișează următoarea dată și oră de upgrade disponibile. Puteți amâna upgrade-ul până în ziua următoare, dacă este necesar, făcând clic pe Amânare. |
Modificarea configurației nodului
-
Modificarea certificatelor x.509 din cauza expirării sau din alte motive.
Nu acceptăm schimbarea numelui de domeniu CN al unui certificat. Domeniul trebuie să se potrivească cu domeniul inițial utilizat pentru înregistrarea clusterului.
-
Actualizarea setărilor bazei de date pentru a trece la o replică a bazei de date PostgreSQL sau Microsoft SQL Server.
Nu acceptăm migrarea datelor de la PostgreSQL la Microsoft SQL Server sau invers. Pentru a schimba mediul bazei de date, începeți o nouă implementare a Hybrid Data Security.
-
Crearea unei noi configurații pentru a pregăti un nou centru de date.
De asemenea, în scopuri de securitate, Hybrid Data Security utilizează parole de cont de serviciu care au o durată de viață de nouă luni. După ce instrumentul de instalare HDS generează aceste parole, le implementați la fiecare dintre nodurile HDS în fișierul de configurare ISO. Când parolele organizației se apropie de expirare, primiți o notificare de la echipa Webex pentru a reseta parola pentru contul dvs. (E-mailul include textul „Utilizați API-ul contului de mașină pentru a actualiza parola.”) Dacă parolele nu au expirat încă, instrumentul vă oferă două opțiuni:
-
Resetare soft—Parolele vechi și noi funcționează timp de până la 10 zile. Folosiți această perioadă pentru a înlocui treptat fișierul ISO pe noduri.
-
Resetare dificilă—Parolele vechi nu mai funcționează imediat.
Dacă parolele dvs. expiră fără resetare, acest lucru va afecta serviciul HDS, necesitând o resetare hardware imediată și înlocuirea fișierului ISO pe toate nodurile.
Utilizați această procedură pentru a genera un nou fișier ISO de configurare și pentru a-l aplica clusterului dvs.
Înainte de a începe
-
Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi complete de administrator pentru organizația dvs.
Dacă instrumentul de configurare HDS rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin variabilele de mediu Docker atunci când ridicați containerul Docker în 1.e. Acest tabel oferă câteva posibile variabile de mediu:
Descriere
Variabilă
Proxy HTTP fără autentificare
AGENT GLOBAL__HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS fără autentificare
AGENT GLOBAL__HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP cu autentificare
AGENT GLOBAL__HTTP_PROXY=http://NUMELE DE UTILIZATOR:PASSWORD@SERVER_IP:PORT
Proxy HTTPS cu autentificare
AGENT GLOBAL__HTTPS_PROXY=http://NUMELE DE UTILIZATOR:PASSWORD@SERVER_IP:PORT
-
Aveți nevoie de o copie a fișierului ISO de configurare curent pentru a genera o nouă configurație. ISO conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de ISO când faceți modificări de configurare, inclusiv acreditările bazei de date, actualizări de certificate sau modificări ale politicii de autorizare.
1 |
Folosind Docker pe o mașină locală, rulați Instrumentul de configurare HDS. |
2 |
Dacă aveți un singur nod HDS care rulează, creați un nou nod de securitate a datelor hibride VM și înregistrați-l utilizând noul fișier ISO de configurare. Pentru instrucțiuni mai detaliate, consultați Creați și înregistrați mai multe noduri. |
3 |
Pentru nodurile HDS existente care rulează fișierul de configurare mai vechi, montați fișierul ISO. Efectuați următoarea procedură pe fiecare nod pe rând, actualizând fiecare nod înainte de a opri următorul nod: |
4 |
Repetați pasul 3 pentru a înlocui configurația pe fiecare nod rămas care rulează configurația veche. |
Dezactivarea modului de rezoluție DNS extern blocat
Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează căutarea DNS și conectivitatea la cloud-ul Cisco Webex. Dacă serverul DNS al nodului nu poate rezolva numele DNS publice, nodul intră automat în modul Rezoluție DNS externă blocată.
Dacă nodurile sunt capabile să rezolve numele DNS publice prin serverele DNS interne, puteți dezactiva acest mod prin reluarea testului de conexiune proxy pe fiecare nod.
Înainte de a începe
1 |
Într-un browser web, deschideți interfața nodului Hibrid Data Security (adresa IP/configurare, de exemplu, https://192.0.2.0/setup), introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare. |
2 |
Accesați Prezentare generală (pagina implicită). Când este activată, Rezoluția DNS externă blocată este setată la Da. |
3 |
Accesați pagina Trust Store & Proxy. |
4 |
Faceți clic pe Verificare conexiune proxy. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a avut succes, nodul nu a reușit să ajungă la serverul DNS și va rămâne în acest mod. În caz contrar, după ce reporniți nodul și reveniți la pagina Prezentare generală, Rezoluția DNS externă blocată ar trebui să fie setată la nu. |
Ce trebuie să faceți în continuare
Eliminați un nod
1 |
Utilizați clientul VMware vSphere de pe computer pentru a vă conecta la gazda virtuală ESXi și pentru a dezactiva mașina virtuală. |
2 |
Eliminați nodul: |
3 |
În clientul vSphere, ștergeți VM. (În panoul de navigare din stânga, faceți clic dreapta pe VM și faceți clic pe Ștergere.) Dacă nu ștergeți VM, nu uitați să dezasamblați fișierul de configurare ISO. Fără fișierul ISO, nu puteți utiliza VM pentru a accesa datele de securitate. |
Recuperare dezastre utilizând Centrul de date standby
Cel mai important serviciu pe care îl oferă clusterul de securitate a datelor hibride este crearea și stocarea de taste utilizate pentru criptarea mesajelor și a altor conținuturi stocate în cloudul Webex. Pentru fiecare utilizator din cadrul organizației care este atribuit securității datelor hibride, noile solicitări de creare a cheii sunt direcționate către cluster. Clusterul este, de asemenea, responsabil pentru returnarea cheilor pe care le-a creat oricărui utilizator autorizat să le recupereze, de exemplu, membrii unui spațiu de conversație.
Deoarece clusterul îndeplinește funcția critică de furnizare a acestor chei, este imperativ ca clusterul să rămână în funcțiune și să fie menținute backup-uri adecvate. Pierderea bazei de date Hybrid Data Security sau a configurației ISO utilizate pentru schemă va duce la PIERDEREA INRECUPERABILĂ a conținutului clientului. Următoarele practici sunt obligatorii pentru a preveni o astfel de pierdere:
Dacă un dezastru face ca implementarea HDS în centrul de date principal să devină indisponibilă, urmați această procedură pentru a eșua manual la centrul de date standby.
1 |
Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS. | ||
2 |
După configurarea serverului Syslogd, faceți clic pe Setări avansate | ||
3 |
Pe pagina Setări avansate , adăugați configurația de mai jos sau eliminați configurația
| ||
4 |
Completați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit. | ||
5 |
Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare. | ||
6 |
În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări.. | ||
7 |
Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Fișier ISO Datastore.
| ||
8 |
Activați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute. | ||
9 |
Repetați procesul pentru fiecare nod din centrul de date standby.
|
Ce este de făcut în continuare
(Opțional) Dezasamblare ISO După configurarea HDS
Configurația standard HDS rulează cu ISO montat. Dar, unii clienți preferă să nu lase fișierele ISO montate continuu. Puteți demonta fișierul ISO după ce toate nodurile HDS preiau noua configurație.
Utilizați în continuare fișierele ISO pentru a face modificări de configurare. Când creați un nou ISO sau actualizați un ISO prin Instrumentul de configurare, trebuie să montați ISO actualizat pe toate nodurile HDS. După ce toate nodurile dvs. au preluat modificările de configurare, puteți demonta din nou ISO cu această procedură.
Înainte de a începe
Actualizați toate nodurile HDS la versiunea 2021.01.22.4720 sau o versiune ulterioară.
1 |
Închideți unul dintre nodurile HDS. |
2 |
În dispozitivul server vCenter, selectați nodul HDS. |
3 |
Alegeți ISO Datastore. și debifați fișierul |
4 |
Alimentați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 20 de minute. |
5 |
Repetați pentru fiecare nod HDS la rândul său. |
Vizualizare alerte și depanare
O implementare a securității datelor hibride este considerată indisponibilă dacă toate nodurile din cluster sunt inaccesibile sau clusterul funcționează atât de lent încât solicită timp de excludere. Dacă utilizatorii nu pot ajunge la clusterul dvs. de securitate a datelor hibride, aceștia experimentează următoarele simptome:
-
Nu se pot crea spații noi (nu se pot crea chei noi)
-
Mesajele și titlurile spațiului nu pot fi decriptate pentru:
-
Utilizatori noi adăugați într-un spațiu (nu se pot prelua tastele)
-
Utilizatorii existenți dintr-un spațiu care utilizează un client nou (nu pot prelua tastele)
-
-
Utilizatorii existenți într-un spațiu vor continua să ruleze cu succes atâta timp cât clienții lor au un cache al cheilor de criptare
Este important să monitorizați în mod corespunzător clusterul de securitate a datelor hibride și să adresați imediat orice alerte pentru a evita perturbarea serviciului.
Alerte
Dacă există o problemă cu configurarea securității datelor hibride, Control Hub afișează alerte administratorului organizației și trimite e-mailuri la adresa de e-mail configurată. Alertele acoperă multe scenarii comune.
Alertă |
Acțiune |
---|---|
Eroare de acces la baza de date locală. |
Verificați erorile bazei de date sau problemele de rețea locale. |
Eșecul conexiunii la baza de date locală. |
Verificați dacă serverul bazei de date este disponibil, iar acreditările contului de serviciu corespunzător au fost utilizate în configurația nodului. |
Eșecul accesului la servicii în cloud. |
Verificați dacă nodurile pot accesa serverele Webex astfel cum sunt specificate în cerințele de conectivitate externă. |
Reînnoirea înregistrării serviciului în cloud. |
S-a renunțat la înscrierea în serviciile cloud. Reînnoirea înregistrării este în curs. |
Înscrierea în serviciul Cloud a scăzut. |
Înscrierea la serviciile cloud s-a încheiat. Serviciul se închide. |
Serviciul nu este încă activat. |
Activați un proces sau finalizați mutarea procesului la producție. |
Domeniul configurat nu corespunde certificatului serverului. |
Asigurați-vă că certificatul serverului dvs. corespunde domeniului de activare a serviciului configurat. Cauza cea mai probabilă este că certificatul CN a fost modificat recent și este acum diferit de CN care a fost utilizat în timpul configurării inițiale. |
Nu s-a reușit autentificarea la serviciile cloud. |
Verificați acuratețea și posibila expirare a acreditărilor contului de serviciu. |
Nu s-a reușit deschiderea fișierului de tip keystore local. |
Verificați integritatea și precizia parolei în fișierul de keystore local. |
Certificatul serverului local este nevalid. |
Verificați data de expirare a certificatului serverului și confirmați că acesta a fost eliberat de o autoritate de certificare de încredere. |
Nu se pot posta măsurători. |
Verificați accesul la rețeaua locală la serviciile cloud externe. |
directorul /media/configdrive/hds nu există. |
Verificați configurația de montare ISO pe gazda virtuală. Verificați dacă fișierul ISO există, dacă este configurat să fie montat pe repornire și dacă se montează cu succes. |
Depanarea securității datelor hibride
1 |
Revizuiți Control Hub pentru orice alerte și remediați orice elemente pe care le găsiți acolo. |
2 |
Revizuiți ieșirea serverului syslog pentru activitatea din implementarea securității datelor hibride. |
3 |
Contactați asistența Cisco. |
Probleme cunoscute pentru securitatea datelor hibride
-
Dacă închideți clusterul de securitate a datelor hibride (prin ștergerea acestuia în Control Hub sau prin închiderea tuturor nodurilor), pierdeți fișierul ISO de configurare sau pierdeți accesul la baza de date Keystore, utilizatorii aplicației Webex nu mai pot utiliza spații din lista lor de persoane care au fost create cu tastele din KMS. Acest lucru este valabil atât pentru operațiunile de încercare, cât și pentru operațiunile de producție. În prezent, nu avem un program de lucru sau o soluție pentru această problemă și vă solicităm să nu închideți serviciile HDS odată ce acestea gestionează conturile de utilizator active.
-
Un client care are o conexiune ECDH existentă la un KMS menține acea conexiune pentru o perioadă de timp (probabil o oră). Atunci când un utilizator devine membru al unui proces de securitate a datelor hibride, clientul utilizatorului continuă să utilizeze conexiunea ECDH existentă până la expirarea acesteia. Alternativ, utilizatorul se poate deconecta și reconecta la aplicația Aplicației Webex pentru a actualiza locația pe care aplicația o contactează pentru cheile de criptare.
Același comportament apare atunci când mutați un proces la producție pentru organizație. Toți utilizatorii non-trial cu conexiuni ECDH existente la serviciile anterioare de securitate a datelor vor continua să utilizeze aceste servicii până când conexiunea ECDH este renegociată (prin expirare sau prin deconectare și reconectare).
Utilizați OpenSSL pentru a genera un fișier PKCS12
Înainte de a începe
-
OpenSSL este un instrument care poate fi folosit pentru a face fișierul PKCS12 în formatul adecvat pentru încărcare în instrumentul de configurare HDS. Există alte modalități de a face acest lucru, și nu sprijinim sau promovăm un mod peste altul.
-
Dacă alegeți să utilizați OpenSSL, oferim această procedură ca ghid pentru a vă ajuta să creați un fișier care îndeplinește cerințele certificatului X.509 din X.509 Cerințe de certificat. Înțelegeți aceste cerințe înainte de a continua.
-
Instalați OpenSSL într-un mediu acceptat. Consultați https://www.openssl.org pentru software și documentație.
-
Creați o tastă privată.
-
Începeți această procedură atunci când primiți certificatul de server de la Autoritatea dvs. de certificare (CA).
1 |
Când primiți certificatul de server de la CA, salvați-l ca |
2 |
Afișați certificatul ca text și verificați detaliile.
|
3 |
Utilizați un editor de text pentru a crea un fișier pachet certificat numit
|
4 |
Creați fișierul .p12 cu numele prietenos
|
5 |
Verificați detaliile certificatului serverului. |
Ce este de făcut în continuare
Reveniți la Completarea Condițiilor prealabile pentru securitatea datelor hibride. Veți utiliza fișierul hdsnode.p12
și parola pe care ați setat-o, în Creați un ISO de configurare pentru gazdele HDS.
Puteți reutiliza aceste fișiere pentru a solicita un nou certificat atunci când certificatul original expiră. |
Trafic între nodurile HDS și cloud
Trafic colecție metrică de ieșire
Nodurile de securitate a datelor hibride trimit anumite măsurători în cloudul Webex. Acestea includ măsurători de sistem pentru înălțimea maximă, înălțimea utilizată, sarcina CPU și numărul de fire; măsurători pe fire sincrone și asincronice; măsurători pe alerte care implică un prag de conexiuni de criptare, latență sau o lungime a cozii de solicitare; măsurători pe placa de date; și măsurători de conexiune de criptare. Nodurile trimit material cheie criptat printr-un canal în afara benzii (separat de solicitare).
Trafic de intrare
Nodurile de securitate a datelor hibride primesc următoarele tipuri de trafic de intrare din cloudul Webex:
-
Cereri de criptare de la clienți, care sunt direcționate de serviciul de criptare
-
Actualizări la software-ul nodului
Configurați proxy-urile Squid pentru securitatea datelor hibride
Websocket nu se poate conecta prin Squid Proxy
Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea conexiunilor websocket (wss:
) care necesită securitate hibridă a datelor. Aceste secțiuni oferă îndrumări cu privire la modul de a configura diferite versiuni de Squid pentru a ignora wss:
trafic pentru buna funcționare a serviciilor.
Calmar 4 și 5
Adăugați on_unsupported_protocol
directiva la squid.conf
:
on_unsupported_protocol tunel toate
Calmar 3.5.27
Am testat cu succes Securitatea datelor hibride cu următoarele reguli adăugate la squid.conf
. Aceste reguli pot fi modificate pe măsură ce dezvoltăm caracteristici și actualizăm cloud-ul Webex.
acl wssMercuryConnection ssl::Mercur server_name_regex conexiune ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump state step2 all ssl_bump bump step3 all
Informații noi și modificate
Dată | Modificări efectuate | ||
---|---|---|---|
20 octombrie 2023 |
| ||
07 august 2023 |
| ||
23 mai 2023 |
| ||
06 decembrie 2022 |
| ||
23 noiembrie 2022 |
| ||
13 octombrie 2021 | Docker Desktop trebuie să ruleze un program de configurare înainte de a putea instala noduri HDS. Consultați Cerințele de desktop ale Docker. | ||
24 iunie 2021 | Rețineți că puteți reutiliza fișierul cu tastatură privată și CSR pentru a solicita un alt certificat. Consultați Utilizarea OpenSSL pentru a genera un fișier PKCS12 pentru detalii. | ||
30 aprilie 2021 | A schimbat cerința VM pentru spațiul local pe hard disk la 30 GB. Consultați Cerințele Gazdei Virtuale pentru detalii. | ||
24 februarie 2021 | Instrumentul de configurare HDS poate rula acum în spatele unui proxy. Consultați Creați un ISO de configurare pentru gazdele HDS pentru detalii. | ||
2 februarie 2021 | HDS poate rula acum fără un fișier ISO montat. Consultați (Opțional) Dezasamblarea ISO după configurarea HDS pentru detalii. | ||
11 ianuarie 2021 | Au fost adăugate informații despre instrumentul de configurare HDS și proxy-uri pentru a crea un ISO de configurare pentru gazdele HDS. | ||
13 octombrie 2020 | Fișiere de instalare Descărcare actualizate. | ||
8 octombrie 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS și modificați configurația nodului cu comenzi pentru mediile FedRAMP. | ||
14 august 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS și modificați configurația nodului cu modificări ale procesului de conectare. | ||
5 august 2020 | Actualizat Testați implementarea securității datelor hibride pentru modificări ale mesajelor jurnal. S-au actualizat Cerințele Gazdei Virtuale pentru a elimina numărul maxim de gazde. | ||
16 iunie 2020 | Actualizat Eliminați un nod pentru modificările din interfața cu utilizatorul Control Hub. | ||
4 iunie 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS pentru modificările din Setările avansate pe care le-ați putea seta. | ||
29 mai 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS pentru a afișa puteți utiliza, de asemenea, TLS cu baze de date SQL Server, modificări de interfață de utilizator și alte clarificări. | ||
5 mai 2020 | Actualizat Cerințele Gazdei Virtuale pentru a afișa noua cerință a ESXi 6.5. | ||
21 aprilie 2020 | Actualizat Cerințe de conectivitate externă cu noi gazde CI din America. | ||
Aprilie 1, 2020 | Actualizat Cerințele de conectivitate externă cu informații despre gazdele regionale CI. | ||
20 februarie 2020 | Actualizat Creați un ISO de configurare pentru gazdele HDS cu informații despre noul ecran opțional de setări avansate din instrumentul de configurare HDS. | ||
4 februarie 2020 | Cerințe server proxy actualizate. | ||
16 decembrie 2019 | A clarificat cerința ca modul de rezoluție DNS extern blocat să funcționeze în cerințele serverului proxy. | ||
19 noiembrie 2019 | Au fost adăugate informații despre modul de rezoluție DNS extern blocat în următoarele secțiuni: | ||
noiembrie 8, 2019 | Acum puteți configura setările de rețea pentru un nod în timp ce implementați OVA, mai degrabă decât ulterior. Actualizat în consecință următoarele secțiuni:
| ||
6 septembrie 2019 | S-a adăugat standardul SQL Server la cerințele serverului bazei de date. | ||
august 29, 2019 | A fost adăugată Configurarea proxy-urilor Squid pentru securitatea datelor hibride , cu îndrumări privind configurarea proxy-urilor Squid pentru a ignora traficul websocket pentru funcționarea corespunzătoare. | ||
20 august 2019 | Secțiuni adăugate și actualizate pentru a acoperi asistența proxy pentru comunicațiile nodului de securitate a datelor hibride în cloudul Webex. Pentru a accesa doar conținutul de asistență proxy pentru o implementare existentă, consultați Asistența proxy pentru securitatea datelor hibride și articolul de ajutor Webex Video Mesh . | ||
13 iunie 2019 | A fost actualizat Fluxul de activități de producție cu un memento pentru a sincroniza HdsTrialGroup obiectul de grup înainte de a începe un trial dacă organizația dvs. utilizează sincronizarea directorului. | ||
6 martie 2019 |
| ||
februarie 28, 2019 |
| ||
26 februarie 2019 |
| ||
24 ianuarie 2019 |
| ||
noiembrie 5, 2018 |
| ||
19 octombrie 2018 |
| ||
31 iulie 2018 |
| ||
21 mai 2018 | Terminologia modificată pentru a reflecta rebranding-ul Cisco Spark:
| ||
11 aprilie 2018 |
| ||
22 februarie 2018 |
| ||
februarie 15, 2018 |
| ||
ianuarie 18, 2018 |
| ||
noiembrie 2, 2017 |
| ||
18 august 2017 | Prima publicare |
Prezentare generală a securității datelor hibride
Începând cu prima zi, securitatea datelor a fost accentul principal în proiectarea Aplicației Webex. Piatra de temelie a acestei securități este criptarea integrală a conținutului, activată de clienții Aplicației Webex care interacționează cu Serviciul de gestionare a cheilor (KMS). KMS este responsabil pentru crearea și gestionarea cheilor criptografice pe care clienții le utilizează pentru a cripta și decripta în mod dinamic mesajele și fișierele.
În mod implicit, toți clienții Aplicației Webex primesc criptare end-to-end cu chei dinamice stocate în KMS cloud, în domeniul de securitate al Cisco. Securitatea datelor hibride mută KMS și alte funcții legate de securitate în centrul dvs. de date al întreprinderii, deci nimeni nu deține cheile pentru conținutul dvs. criptat.
Arhitectură Realm de securitate
Arhitectura cloud Webex separă diferite tipuri de servicii în domenii separate sau domenii de încredere, după cum este descris mai jos.
Pentru a înțelege în continuare securitatea datelor hibride, să ne uităm mai întâi la acest caz cloud pur, în care Cisco oferă toate funcțiile din domeniile sale cloud. Serviciul de identitate, singurul loc în care utilizatorii pot fi direct corelați cu informațiile lor personale, cum ar fi adresa de e-mail, este separat în mod logic și fizic de domeniul de securitate din centrul de date B. Ambele sunt, la rândul lor, separate de domeniul în care conținutul criptat este stocat în cele din urmă, în centrul de date C.
În această diagramă, clientul este aplicația Webex care rulează pe laptopul unui utilizator și s-a autentificat cu serviciul de identitate. Când utilizatorul compune un mesaj pentru a trimite într-un spațiu, au loc următorii pași:
Clientul stabilește o conexiune securizată cu serviciul de gestionare a cheilor (KMS), apoi solicită o cheie pentru a cripta mesajul. Conexiunea securizată utilizează ECDH, iar KMS criptează cheia utilizând o cheie principală AES-256.
Mesajul este criptat înainte de a părăsi clientul. Clientul îl trimite la serviciul de indexare, care creează indexuri de căutare criptate pentru a ajuta în căutările viitoare pentru conținut.
Mesajul criptat este trimis serviciului de conformitate pentru verificări de conformitate.
Mesajul criptat este stocat în domeniul de stocare.
Când implementați Securitatea datelor hibride, mutați funcțiile domeniului de securitate (KMS, indexare și conformitate) în centrul dvs. de date local. Celelalte servicii cloud care alcătuiesc Webex (inclusiv stocarea identității și a conținutului) rămân în domeniile Cisco.
Colaborarea cu Alte Organizații
Utilizatorii din organizația dvs. pot utiliza în mod regulat Aplicația Webex pentru a colabora cu participanți externi din alte organizații. Când unul dintre utilizatorii dvs. solicită o cheie pentru un spațiu care este deținut de organizația dvs. (deoarece a fost creat de unul dintre utilizatorii dvs.), KMS trimite cheia către client printr-un canal ECDH securizat. Cu toate acestea, atunci când o altă organizație deține cheia pentru spațiu, KMS-ul direcționează cererea către cloudul Webex printr-un canal ECDH separat pentru a obține cheia de la KMS-ul corespunzător și apoi returnează cheia către utilizatorul dvs. pe canalul original.
Serviciul KMS care rulează pe Org A validează conexiunile la KMS în alte organizații utilizând x.509 certificate PKI. Consultați Pregătiți-vă mediul pentru detalii despre generarea unui certificat x.509 pe care să-l utilizați cu implementarea securității datelor hibride.
Așteptări pentru implementarea securității datelor hibride
O implementare a securității datelor hibride necesită un angajament semnificativ din partea clienților și o conștientizare a riscurilor pe care le implică deținerea cheilor de criptare.
Pentru a implementa securitatea datelor hibride, trebuie să furnizați:
Un centru de date securizat într-o țară care este o locație acceptată pentru planurile Cisco Webex Teams.
Echipamentul, software-ul și accesul la rețea descrise în Pregătirea Mediului.
Pierderea completă a configurației ISO pe care o construiți pentru securitatea datelor hibride sau a bazei de date pe care o furnizați va duce la pierderea tastelor. Pierderea tastelor împiedică utilizatorii să decripteze conținutul spațiului și alte date criptate în Aplicația Webex. Dacă se întâmplă acest lucru, puteți construi o nouă implementare, dar numai conținut nou va fi vizibil. Pentru a evita pierderea accesului la date, trebuie:
Gestionați backup-ul și recuperarea bazei de date și configurația ISO.
Fiți pregătiți să efectuați recuperarea rapidă a dezastrelor dacă apare o catastrofă, cum ar fi defectarea discului de bază de date sau dezastrul centrului de date.
Nu există niciun mecanism pentru a muta cheile înapoi în Cloud după o implementare HDS. |
Proces de configurare la nivel înalt
Acest document acoperă configurarea și gestionarea implementării securității datelor hibride:
Configurați securitatea datelor hibride—Aceasta include pregătirea infrastructurii necesare și instalarea software-ului de securitate a datelor hibride, testarea implementării dvs. cu un subset de utilizatori în modul de încercare și, odată ce testarea dvs. este finalizată, trecerea la producție. Aceasta convertește întreaga organizație pentru a utiliza clusterul dvs. de securitate a datelor hibride pentru funcțiile de securitate.
Fazele de configurare, încercare și producție sunt acoperite în detaliu în următoarele trei capitole.
Mențineți implementarea securității datelor hibride—cloud-ul Webex oferă automat upgrade-uri în curs. Departamentul dvs. IT poate oferi un singur nivel de asistență pentru această implementare și poate angaja asistență Cisco după cum este necesar. Puteți utiliza notificări pe ecran și puteți configura alerte pe bază de e-mail în Control Hub.
Înțelegerea alertelor comune, a pașilor de depanare și a problemelor cunoscute—Dacă întâmpinați probleme la implementarea sau utilizarea securității datelor hibride, ultimul capitol din acest ghid și apendicele Probleme cunoscute vă pot ajuta să determinați și să remediați problema.
Model de implementare a securității datelor hibride
În cadrul centrului dvs. de date al întreprinderii, implementați Securitatea datelor hibride ca un singur grup de noduri pe gazde virtuale separate. Nodurile comunică cu cloudul Webex prin prize web securizate și HTTP securizat.
În timpul procesului de instalare, vă oferim fișierul OVA pentru a configura dispozitivul virtual pe VMs pe care le furnizați. Utilizați instrumentul de configurare HDS pentru a crea un fișier ISO de configurare a clusterului personalizat pe care îl montați pe fiecare nod. Clusterul de securitate a datelor hibride utilizează serverul Syslogd furnizat și baza de date PostgreSQL sau Microsoft SQL Server. (Configurați detaliile conexiunii Syslogd și a bazei de date în Instrumentul de configurare HDS.)
Numărul minim de noduri pe care le puteți avea într-un cluster este de două. Vă recomandăm cel puțin trei, și puteți avea până la cinci. Existența mai multor noduri asigură faptul că serviciul nu este întrerupt în timpul unui upgrade de software sau al unei alte activități de întreținere pe un nod. (Cloudul Webex actualizează doar un nod la un moment dat.)
Toate nodurile dintr-un cluster accesează aceeași bază de date cu tastatură și înregistrează activitatea pe același server syslog. Nodurile în sine sunt apatride și se ocupă de solicitările cheie în modul rotund-robin, așa cum este direcționat de cloud.
Nodurile devin active atunci când le înregistrați în Control Hub. Pentru a scoate un nod individual din serviciu, îl puteți desînregistra și apoi îl puteți reînregistra, dacă este necesar.
Sprijinim doar un singur cluster per organizație.
Mod de încercare pentru securitatea datelor hibride
După configurarea unei implementări de securitate a datelor hibride, încercați mai întâi cu un set de utilizatori pilot. În timpul perioadei de încercare, acești utilizatori utilizează domeniul local de securitate a datelor hibride pentru cheile de criptare și alte servicii din domeniul de securitate. Ceilalți utilizatori continuă să utilizeze domeniul de securitate cloud.
Dacă decideți să nu continuați implementarea în timpul perioadei de încercare și să dezactivați serviciul, utilizatorii pilot și orice utilizatori cu care au interacționat prin crearea de spații noi în timpul perioadei de încercare vor pierde accesul la mesaje și conținut. Aceștia vor vedea „Acest mesaj nu poate fi decriptat” în aplicația Webex.
Dacă sunteți mulțumit că implementarea dvs. funcționează bine pentru utilizatorii de încercare și sunteți pregătit să extindeți Securitatea datelor hibride la toți utilizatorii dvs., mutați implementarea în producție. Utilizatorii pilot continuă să aibă acces la cheile care au fost utilizate în timpul încercării. Cu toate acestea, nu se poate muta înapoi și înainte între modul de producție și procesul inițial. Dacă trebuie să dezactivați serviciul, cum ar fi pentru a efectua recuperarea dezastrelor, atunci când reactivați, trebuie să începeți o nouă încercare și să configurați setul de utilizatori pilot pentru noua încercare înainte de a reveni la modul de producție. Dacă utilizatorii păstrează accesul la date în acest moment depinde de faptul dacă ați menținut cu succes copii de rezervă ale stocului de date cheie și ale fișierului de configurare ISO pentru nodurile de securitate a datelor hibride din cluster.
Centrul de date standby pentru recuperarea dezastrelor
În timpul implementării, ați configurat un centru de date standby securizat. În cazul unui dezastru al unui centru de date, puteți eșua manual implementarea în centrul de date standby.
Bazele de date ale centrelor de date active și standby sunt în sincronizare unele cu altele, ceea ce va reduce la minimum timpul necesar pentru a efectua eșecul. Fișierul ISO al centrului de date standby este actualizat cu configurații suplimentare care asigură că nodurile sunt înregistrate în organizație, dar nu vor gestiona traficul. Prin urmare, nodurile centrului de date standby rămân întotdeauna la zi cu cea mai recentă versiune de software HDS.
Nodurile active de securitate a datelor hibride trebuie să fie întotdeauna în același centru de date ca serverul de bază de date activă. |
Configurarea Centrului de date standby pentru recuperarea dezastrelor
Urmați pașii de mai jos pentru a configura fișierul ISO al centrului de date standby:
Înainte de a începe
Centrul de date standby trebuie să reflecte mediul de producție al VMs și o bază de date PostgreSQL sau Microsoft SQL Server de rezervă. De exemplu, dacă producția are 3 VMs care rulează noduri HDS, mediul de rezervă ar trebui să aibă 3 VMs. (Consultați Standby Data Center for Disaster Recovery pentru o prezentare generală a acestui model de eșec.)
Asigurați-vă că sincronizarea bazei de date este activată între baza de date a nodurilor de cluster active și pasive.
1 | Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.
| ||
2 | După configurarea serverului Syslogd, faceți clic pe Setări avansate | ||
3 | Pe pagina Setări avansate, adăugați configurația de mai jos pentru a plasa nodul în modul pasiv. În acest mod, nodul va fi înregistrat în organizație și conectat la cloud, dar nu va gestiona niciun trafic.
| ||
4 | Completați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit. | ||
5 | Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare. | ||
6 | În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări.. | ||
7 | Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Fișier ISO Datastore.
| ||
8 | Activați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute. | ||
9 | Repetați procesul pentru fiecare nod din centrul de date standby.
|
Ce este de făcut în continuare
După configurare passiveMode
în fișierul ISO și salvându-l, puteți crea o altă copie a fișierului ISO fără passiveMode
configurare și salvați-l într-o locație sigură. Această copie a fișierului ISO fără passiveMode
configurat poate ajuta într-un proces rapid de eșec în timpul recuperării dezastrelor. Consultați Recuperarea dezastrelor utilizând Centrul de date standby pentru procedura detaliată de nereușită.
Asistență proxy
Securitatea datelor hibride acceptă inspecții explicite, transparente și proxy-uri neinspectate. Puteți lega aceste proxy-uri de implementarea dvs., astfel încât să puteți securiza și monitoriza traficul de la întreprindere la cloud. Puteți utiliza o interfață de administrator de platformă pe noduri pentru gestionarea certificatelor și pentru a verifica starea generală de conectivitate după ce ați configurat proxy-ul pe noduri.
Nodurile de securitate a datelor hibride acceptă următoarele opțiuni proxy:
Fără proxy—Implicit dacă nu utilizați configurația de configurare a nodului HDS Trust Store și proxy pentru a integra un proxy. Nu este necesară nicio actualizare a certificatului.
Proxy fără inspecție transparent—Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy și nu ar trebui să necesite nicio modificare pentru a lucra cu un proxy fără inspecție. Nu este necesară nicio actualizare a certificatului.
Tunelare transparentă sau inspecție proxy—Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy. Nu sunt necesare modificări ale configurației HTTP sau HTTPS pe noduri. Cu toate acestea, nodurile au nevoie de un certificat rădăcină, astfel încât să aibă încredere în proxy. De obicei, proxy-urile de inspecție sunt utilizate de IT pentru a pune în aplicare politicile pe care site-urile pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).
Proxy explicit—Cu proxy explicit, spuneți nodurilor HDS ce server proxy și sistem de autentificare să utilizați. Pentru a configura un proxy explicit, trebuie să introduceți următoarele informații pe fiecare nod:
IP proxy/FQDN—Adresă care poate fi utilizată pentru a ajunge la utilajul proxy.
Portul proxy—Un număr de port pe care proxy-ul îl folosește pentru a asculta traficul proxy.
Proxy Protocol—În funcție de ce acceptă serverul dvs. proxy, alegeți între următoarele protocoale:
HTTP—Vizualizează și controlează toate solicitările pe care clientul le trimite.
HTTPS—Oferă un canal serverului. Clientul primește și validează certificatul serverului.
Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:
Niciuna—Nu este necesară autentificarea suplimentară.
Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
De bază—Utilizat pentru un agent de utilizator HTTP pentru a furniza un nume de utilizator și o parolă atunci când efectuați o solicitare. Utilizează codificarea Base64.
Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
Vă cere să introduceți numele de utilizator și parola pe fiecare nod.
Digest—Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite în rețea.
Disponibil numai dacă selectați HTTPS ca protocol proxy.
Vă cere să introduceți numele de utilizator și parola pe fiecare nod.
Exemplu de noduri hibride de securitate a datelor și proxy
Această diagramă arată o conexiune de exemplu între securitatea datelor hibride, rețea și un proxy. Pentru inspectarea transparentă și opțiunile HTTPS de inspecție explicită a proxy-urilor, trebuie instalat același certificat rădăcină pe proxy și pe nodurile de securitate a datelor hibride.
Modul de rezoluție DNS extern blocat (configurații proxy explicite)
Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează aspectul DNS și conectivitatea la cloudul Cisco Webex. În implementările cu configurații proxy explicite care nu permit rezoluția DNS externă pentru clienții interni, dacă nodul nu poate interoga serverele DNS, acesta intră automat în modul de Rezoluție DNS Externă Blocată. În acest mod, pot continua testele de înregistrare a nodurilor și alte teste de conectivitate proxy.
Cerințe privind securitatea datelor hibride
Cerințe de licență Cisco Webex
Pentru implementarea securității datelor hibride:
Trebuie să aveți un pachet Pro pentru Cisco Webex Control Hub. (Consultați https://www.cisco.com/go/pro-pack.)
Cerințe Docker Desktop
Înainte de a instala nodurile HDS, aveți nevoie de Docker Desktop pentru a rula un program de configurare. Docker și-a actualizat recent modelul de licențiere. Este posibil ca organizația dvs. să necesite un abonament plătit pentru Docker Desktop. Pentru detalii, consultați postarea pe blog-ul Docker, "Docker actualizează și extinde abonamentele noastre de produse".
X.509 Cerințe privind certificatul
Lanțul certificatului trebuie să îndeplinească următoarele cerințe:
Obligatoriu | Detalii |
---|---|
| În mod implicit, avem încredere în CA-urile din lista Mozilla (cu excepția WoSign și StartCom) la https://wiki.mozilla.org/CA:IncludedCAs. |
| CN-ul nu trebuie să fie accesibil sau o gazdă live. Vă recomandăm să utilizați un nume care reflectă organizația dvs., de exemplu, CN nu trebuie să conțină un * (wildcard). CN este utilizat pentru a verifica nodurile de securitate a datelor hibride pentru clienții Aplicației Webex. Toate nodurile de securitate a datelor hibride din clusterul dvs. utilizează același certificat. KMS-ul se identifică utilizând domeniul CN, nu orice domeniu care este definit în câmpurile SAN x.509v3. După ce ați înregistrat un nod cu acest certificat, nu acceptăm schimbarea numelui domeniului CN. Alegeți un domeniu care se poate aplica atât implementărilor de încercare, cât și implementărilor de producție. |
| Software-ul KMS nu acceptă semnăturile SHA1 pentru validarea conexiunilor la KMSs ale altor organizații. |
| Puteți utiliza un convertor, cum ar fi OpenSSL pentru a schimba formatul certificatului. Va trebui să introduceți parola atunci când rulați Instrumentul de configurare HDS. |
Software-ul KMS nu impune utilizarea cheii sau restricții extinse de utilizare a cheii. Unele autorități de certificare impun aplicarea unor restricții extinse de utilizare a cheilor pentru fiecare certificat, cum ar fi autentificarea serverului. Este în regulă să utilizați autentificarea serverului sau alte setări.
Cerințe Gazdă virtuală
Gazdele virtuale pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. au următoarele cerințe:
Cel puțin două gazde separate (3 recomandate) plasate în același centru de date securizat
VMware ESXi 6.5 (sau mai târziu) instalat și rulează.
Trebuie să faceți upgrade dacă aveți o versiune anterioară a ESXi.
Minim 4 vCPU-uri, 8-GB memorie principală, 30-GB spațiu pe hard disk local pe server
Cerințe server bază de date
Creați o nouă bază de date pentru stocarea cheilor. Nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date. |
Există două opțiuni pentru serverul de baze de date. Cerințele pentru fiecare sunt după cum urmează:
PostgreSQL | Server Microsoft SQL | ||
---|---|---|---|
|
| ||
Minim 8 vCPU-uri, 16-GB de memorie principală, suficient spațiu pe hard disk și monitorizare pentru a se asigura că nu este depășit (2-TB recomandat dacă doriți să rulați baza de date pentru o lungă perioadă de timp, fără a fi nevoie de a crește spațiul de stocare) | Minim 8 vCPU-uri, 16-GB de memorie principală, suficient spațiu pe hard disk și monitorizare pentru a se asigura că nu este depășit (2-TB recomandat dacă doriți să rulați baza de date pentru o lungă perioadă de timp, fără a fi nevoie de a crește spațiul de stocare) |
Software-ul HDS instalează în prezent următoarele versiuni de drivere pentru comunicarea cu serverul bazei de date:
PostgreSQL | Server Microsoft SQL |
---|---|
Șofer JDBC Postgres 42.2.5 | Driver JDBC SQL Server 4.6 Această versiune a driverului acceptă SQL Server întotdeauna activat (întotdeauna pe instanțe de cluster nereușite și întotdeauna pe grupuri de disponibilitate). |
Cerințe suplimentare pentru autentificarea Windows împotriva Microsoft SQL Server
Dacă doriți ca nodurile HDS să utilizeze autentificarea Windows pentru a obține acces la baza dvs. de date Keystore pe Microsoft SQL Server, atunci aveți nevoie de următoarea configurație în mediul dvs.:
Nodurile HDS, infrastructura Active Directory și serverul MS SQL trebuie sincronizate cu NTP.
Contul Windows pe care îl furnizați nodurilor HDS trebuie să aibă acces citit/scris la baza de date.
Serverele DNS pe care le furnizați nodurilor HDS trebuie să poată rezolva Centrul dvs. de distribuție a cheilor (KDC).
Puteți înregistra instanța bazei de date HDS pe serverul dvs. Microsoft SQL ca nume principal de serviciu (SPN) în directorul dvs. activ. Consultați Înregistrarea unui nume principal de serviciu pentru conexiunile Kerberos.
Instrumentul de configurare HDS, lansatorul HDS și KMS local trebuie să utilizeze autentificarea Windows pentru a accesa baza de date Keystore. Ei folosesc detaliile din configurația ISO pentru a construi SPN atunci când solicită acces cu autentificarea Kerberos.
Cerințe de conectivitate externă
Configurați firewall-ul pentru a permite următoarea conectivitate pentru aplicațiile HDS:
Aplicație | Protocol | Port | Direcție din aplicație | Destinație |
---|---|---|---|---|
Noduri de securitate a datelor hibride | TCP | 443 | HTTPS de ieșire și WSS |
|
Instrument de configurare HDS | TCP | 443 | HTTPS de ieșire |
|
Nodurile de securitate a datelor hibride funcționează cu traducerea accesului la rețea (NAT) sau în spatele unui firewall, atâta timp cât NAT sau firewall permite conexiunile de ieșire necesare la destinațiile de domeniu din tabelul precedent. Pentru conexiunile care intră în nodurile de securitate a datelor hibride, niciun port nu trebuie să fie vizibil de pe internet. În cadrul centrului dvs. de date, clienții au nevoie de acces la nodurile de securitate a datelor hibride din porturile TCP 443 și 22, în scopuri administrative. |
URL-urile gazdelor pentru identitatea comună (CI) sunt specifice regiunii. Acestea sunt gazdele actuale CI:
Regiune | URL-uri comune ale gazdei pentru identitate |
---|---|
Țările din America |
|
Uniunea Europeană |
|
Canada |
|
Cerințe server proxy
Sprijinim oficial următoarele soluții proxy care se pot integra cu nodurile dvs. de securitate a datelor hibride.
Proxy transparent – Dispozitiv de securitate web Cisco (WSA).
Proxy explicit – Squid.
Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea websocket (wss:) conexiuni. Pentru a lucra la această problemă, consultați Configurarea proxy-urilor Squid pentru securitatea datelor hibride.
Acceptăm următoarele combinații de tip autentificare pentru proxy-uri explicite:
Nicio autentificare cu HTTP sau HTTPS
Autentificare de bază cu HTTP sau HTTPS
Autentificare Digest numai cu HTTPS
Pentru un proxy de inspecție transparent sau un proxy explicit HTTPS, trebuie să aveți o copie a certificatului rădăcină al proxy-ului. Instrucțiunile de implementare din acest ghid vă spun cum să încărcați copia în magazinele de încredere ale nodurilor de securitate a datelor hibride.
Rețeaua care găzduiește nodurile HDS trebuie să fie configurată pentru a forța traficul TCP de ieșire în portul 443 să se deplaseze prin proxy.
Proxies care inspectează traficul web pot interfera cu conexiunile de priză web. Dacă apare această problemă, ocolirea (nu inspectarea) traficului la
wbx2.com
șiciscospark.com
va rezolva problema.
Completați cerințele preliminare pentru securitatea datelor hibride
1 | Asigurați-vă că organizația dvs. Webex este activată pentru pachetul Pro pentru Cisco Webex Control Hub și obțineți acreditările unui cont cu drepturi depline de administrator al organizației. Contactați-vă partenerul Cisco sau managerul de cont pentru ajutor în acest proces. | ||
2 | Alegeți un nume de domeniu pentru implementarea HDS (de exemplu, | ||
3 | Pregătiți gazdele virtuale identice pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. Aveți nevoie de cel puțin două gazde separate (3 recomandate) plasate în același centru de date securizat, care îndeplinesc cerințele din Cerințele Gazdei Virtuale. | ||
4 | Pregătiți serverul bazei de date care va acționa ca un magazin de date cheie pentru cluster, în conformitate cu cerințele serverului bazei de date. Serverul bazei de date trebuie să fie plasat în centrul de date securizat cu gazdele virtuale. | ||
5 | Pentru recuperarea rapidă a dezastrelor, configurați un mediu de rezervă într-un alt centru de date. Mediul de rezervă reflectă mediul de producție al VMs și un server de baze de date de rezervă. De exemplu, dacă producția are 3 VMs care rulează noduri HDS, mediul de rezervă ar trebui să aibă 3 VMs. | ||
6 | Configurați o gazdă syslog pentru a colecta jurnale de la nodurile din cluster. Aduna adresa de rețea și portul syslog (implicit este UDP 514). | ||
7 | Creați o politică de rezervă securizată pentru nodurile de securitate a datelor hibride, serverul bazei de date și gazda syslog. Cel puțin, pentru a preveni pierderea de date nerecuperabile, trebuie să salvați baza de date și fișierul ISO de configurare generat pentru nodurile de securitate a datelor hibride.
Clienții Aplicației Webex își ascund cheile, astfel încât este posibil ca o întrerupere să nu fie vizibilă imediat, dar va deveni evidentă în timp. În timp ce ieșirile temporare sunt imposibil de prevenit, acestea sunt recuperabile. Cu toate acestea, pierderea completă (fără backup-uri disponibile) a bazei de date sau a fișierului ISO de configurare va duce la date client nerecuperabile. Operatorii nodurilor de securitate a datelor hibride se așteaptă să mențină backup-uri frecvente ale bazei de date și ale fișierului ISO de configurare și să fie pregătiți să reconstruiască centrul de date de securitate a datelor hibride în cazul în care apare un eșec catastrofal. | ||
8 | Asigurați-vă că configurația firewall-ului dvs. permite conectivitatea pentru nodurile dvs. de securitate a datelor hibride, astfel cum sunt prezentate în cerințele de conectivitate externă. | ||
9 | Instalați Docker ( https://www.docker.com) pe orice mașină locală care rulează un sistem de operare acceptat (Microsoft Windows 10 Professional sau Enterprise pe 64 de biți sau Mac OSX Yosemite 10.10.3 sau mai sus) cu un browser web care îl poate accesa la http://127.0.0.1:8080. Utilizați instanța Docker pentru a descărca și rula Instrumentul de configurare HDS, care construiește informațiile de configurare locale pentru toate nodurile de securitate a datelor hibride. Este posibil ca organizația dvs. să aibă nevoie de o licență Docker Desktop. Consultați Cerințele Docker Desktop pentru mai multe informații. Pentru a instala și rula Instrumentul de configurare HDS, utilajul local trebuie să aibă conectivitatea descrisă în Cerințele de conectivitate externă. | ||
10 | Dacă integrați un proxy cu securitatea datelor hibride, asigurați-vă că îndeplinește Cerințele serverului proxy. | ||
11 | Dacă organizația dvs. utilizează sincronizarea directorului, creați un grup în Active Directory numit
|
Flux sarcină de implementare a securității datelor hibride
Înainte de a începe
1 | Descărcați fișierele de instalare Descărcați fișierul OVA la utilajul local pentru utilizare ulterioară. | ||
2 | Creați un ISO de configurare pentru gazdele HDS Utilizați instrumentul de configurare HDS pentru a crea un fișier de configurare ISO pentru nodurile de securitate a datelor hibride. | ||
3 |
Creați o mașină virtuală din fișierul OVA și efectuați configurația inițială, cum ar fi setările de rețea.
| ||
4 | Configurați VM-ul de securitate a datelor hibride Conectați-vă la consola VM și setați acreditările de conectare. Configurați setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA. | ||
5 | Încărcați și montați ISO de configurare HDS Configurați VM din fișierul de configurare ISO pe care l-ați creat cu instrumentul de configurare HDS. | ||
6 | Configurați nodul HDS pentru integrarea proxy Dacă mediul de rețea necesită configurare proxy, specificați tipul de proxy pe care îl veți utiliza pentru nod și adăugați certificatul proxy la magazinul de încredere, dacă este necesar. | ||
7 | Înregistrați primul nod în cluster Înregistrați VM cu cloudul Cisco Webex ca nod de securitate a datelor hibrid. | ||
8 | Creați și înregistrați mai multe noduri Finalizați configurarea clusterului. | ||
9 | Efectuați un proces și mutați-vă la producție (capitolul următor) Până când începeți o încercare, nodurile dvs. generează o alarmă care indică faptul că serviciul dvs. nu este încă activat. |
Descărcați fișierele de instalare
1 | Conectați-vă la https://admin.webex.comși apoi faceți clic pe Servicii. | ||||
2 | În secțiunea Servicii hibride, găsiți cardul de securitate a datelor hibride, apoi faceți clic pe Configurare. Dacă cardul este dezactivat sau nu îl vedeți, contactați echipa de cont sau organizația parteneră. Dați-le numărul contului dvs. și solicitați să activați organizația dvs. pentru securitatea datelor hibride. Pentru a găsi numărul contului, faceți clic pe dispozitivul din dreapta sus, lângă numele organizației dvs.
| ||||
3 | Selectați Nu pentru a indica faptul că nu ați configurat încă nodul, apoi faceți clic pe Înainte. Fișierul OVA începe automat să se descarce. Salvați fișierul într-o locație de pe utilajul dvs.
| ||||
4 | Opțional, faceți clic pe Deschidere Ghid de implementare pentru a verifica dacă există o versiune ulterioară a acestui ghid disponibil. |
Creați un ISO de configurare pentru gazdele HDS
Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi utilizați ISO pentru a configura gazda dvs. de securitate a datelor hibride.
Înainte de a începe
Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi depline de administrator pentru organizația dvs.
Dacă instrumentul de configurare HDS rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin variabilele de mediu Docker atunci când ridicați containerul Docker în pasul 5. Acest tabel oferă unele variabile de mediu posibile:
Descriere
Variabilă
HTTP proxy fără autentificare
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy fără autentificare
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP proxy cu autentificare
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS cu autentificare
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Fișierul de configurare ISO pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier oricând efectuați modificări de configurare, cum ar fi acestea:
Informații bază de date
Actualizări certificat
Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile la baza de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.
1 | La linia de comandă a utilajului dvs., introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite:
În medii FedRAMP:
| ||||||||||||
2 | Pentru a vă conecta la registrul imaginii Docker, introduceți următoarele:
| ||||||||||||
3 | La promptitudinea parolei, introduceți acest hash:
| ||||||||||||
4 | Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite:
În medii FedRAMP:
| ||||||||||||
5 | Când tragerea este finalizată, introduceți comanda corespunzătoare pentru mediul dvs.:
Când containerul rulează, veți vedea "Expres server de ascultare pe portul 8080." | ||||||||||||
6 |
Utilizați un browser web pentru a merge la gazda locală, Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul adecvat pentru acel cont. Instrumentul afișează apoi apelul standard de conectare. | ||||||||||||
7 | Când vi se solicită, introduceți acreditările de conectare ale administratorului clientului Control Hub, apoi faceți clic pe Conectare pentru a permite accesul la serviciile necesare pentru securitatea datelor hibride. | ||||||||||||
8 | Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Get Started. | ||||||||||||
9 | Pe pagina ISO Import aveți aceste opțiuni:
| ||||||||||||
10 | Verificați dacă certificatul dvs. X.509 îndeplinește cerințele din Cerințele de certificare X.509.
| ||||||||||||
11 | Introduceți adresa bazei de date și contul HDS pentru a accesa baza de date cu tastatură: | ||||||||||||
12 | Selectați un mod de conectare la baza de date TLS:
Când încărcați certificatul rădăcină (dacă este necesar) și faceți clic pe Continuare, instrumentul de configurare HDS testează conexiunea TLS la serverul bazei de date. Instrumentul verifică, de asemenea, semnatarul certificatului și numele gazdei, dacă este cazul. Dacă un test eșuează, instrumentul afișează un mesaj de eroare care descrie problema. Puteți alege dacă să ignorați eroarea și să continuați cu configurarea. (Din cauza diferențelor de conectivitate, nodurile HDS ar putea fi capabile să stabilească conexiunea TLS, chiar dacă utilajul Instrumentului de configurare HDS nu o poate testa cu succes.) | ||||||||||||
13 | Pe pagina Jurnale de sistem, configurați serverul Syslogd: | ||||||||||||
14 | (Opțional) Puteți modifica valoarea implicită a unor parametri de conexiune la baza de date în Setări avansate. În general, acest parametru este singurul pe care s-ar putea dori să-l modificați:
| ||||||||||||
15 | Faceți clic pe Continuare pe ecranul Resetare Conturi serviciu Parolă . Parolele contului de serviciu au o durată de viață de nouă luni. Utilizați acest ecran atunci când parolele dvs. se apropie de expirare sau doriți să le resetați pentru a dezactiva fișierele ISO anterioare. | ||||||||||||
16 | Faceți clic pe Descărcați fișierul ISO. Salvați fișierul într-o locație ușor de găsit. | ||||||||||||
17. | Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare. | ||||||||||||
18 | Pentru a închide instrumentul de configurare, tastați |
Ce este de făcut în continuare
Backup fișierul ISO de configurare. Aveți nevoie de ea pentru a crea mai multe noduri pentru recuperare, sau pentru a face modificări de configurare. Dacă pierdeți toate copiile fișierului ISO, ați pierdut, de asemenea, cheia principală. Recuperarea tastelor din baza de date PostgreSQL sau Microsoft SQL Server nu este posibilă.
Nu avem niciodată o copie a acestei chei și nu poate ajuta dacă îl pierzi. |
Instalați gazda HDS OVA
1 | Utilizați clientul VMware vSphere de pe computer pentru a vă conecta la gazda virtuală ESXi. | ||||||
2 | Selectați Fișier > Implementați șablonul OVF. | ||||||
3 | În expert, specificați locația fișierului OVA pe care l-ați descărcat mai devreme, apoi faceți clic pe În continuare. | ||||||
4 | Pe Selectați un nume și un folder pagină , introduceți o Nume mașină virtuală pentru nod (de exemplu, „HDS_Node_1”), alegeți o locație în care se poate afla implementarea nodului mașinii virtuale, apoi faceți clic pe În continuare. | ||||||
5 | Pe Selectați o resursă de calcul pagină , alegeți resursa de calcul destinație, apoi faceți clic pe În continuare. O verificare de validare se execută. După ce se termină, apar detaliile șablonului. | ||||||
6 | Verificați detaliile șablonului și apoi faceți clic pe Înainte. | ||||||
7 | Dacă vi se solicită să alegeți configurația de resurse de pe Configurare pagină , faceți clic pe 4 CPU apoi faceți clic pe În continuare. | ||||||
8 | Pe Selectați spațiul de stocare pagină , faceți clic pe În continuare pentru a accepta formatul implicit al discului și politica de stocare VM. | ||||||
9 | Pe Selectați rețelele pagină, alege opțiunea de rețea din lista de intrări pentru a oferi conexiunea dorită la VM. | ||||||
10 | Pe pagina Personalizați șablonul , configurați următoarele setări ale rețelei:
Dacă preferați, puteți sări peste configurația de setare a rețelei și puteți urma pașii din Configurați VM-ul de securitate a datelor hibride pentru a configura setările din consola nodului.
| ||||||
11 | Faceți clic dreapta pe nodul VM, apoi alegeți .Software-ul de securitate a datelor hibride este instalat ca invitat pe Gazda VM. Acum sunteți gata să vă conectați la consolă și să configurați nodul. Sfaturi pentru depanare Este posibil să aveți o întârziere de câteva minute înainte de apariția containerelor de nod. Un mesaj de firewall de legătură apare pe consolă în timpul primei boot-ări, în timpul căreia nu vă puteți conecta. |
Configurați VM-ul de securitate a datelor hibride
Utilizați această procedură pentru a vă conecta pentru prima dată la consola VM a nodului de securitate a datelor hibride și pentru a seta acreditările de conectare. De asemenea, puteți utiliza consola pentru a configura setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.
1 | În clientul VMware vSphere, selectați nodul de securitate a datelor hibride VM și selectați fila Console . VM pornește în sus și apare un prompt de conectare. Dacă mesajul de conectare nu se afișează, apăsați Enter.
|
2 | Utilizați următoarea conectare implicită și parola pentru a vă conecta și a modifica datele de autentificare: Deoarece vă conectați pentru prima dată la VM, trebuie să schimbați parola de administrator. |
3 | Dacă ați configurat deja setările de rețea în Instalați gazda HDS OVA, omiteți restul acestei proceduri. În caz contrar, în meniul principal, selectați opțiunea Editare configurație . |
4 | Configurați o configurație statică cu adresă IP, Mască, Gateway și informații DNS. Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat. |
5 | (Opțional) Modificați numele gazdei, domeniul sau serverul (serverele) NTP, dacă este necesar pentru a se potrivi cu politica de rețea. Nu este necesar să setați domeniul pentru a se potrivi domeniului pe care l-ați utilizat pentru a obține certificatul X.509. |
6 | Salvați configurația de rețea și reporniți VM, astfel încât modificările să aibă efect. |
Încărcați și montați ISO de configurare HDS
Înainte de a începe
Deoarece fișierul ISO deține cheia principală, acesta ar trebui să fie expus numai pe o bază „trebuie să știe”, pentru a fi accesat de către VM-urile de securitate a datelor hibride și de orice administratori care ar putea avea nevoie să facă modificări. Asigurați-vă că numai acei administratori pot accesa stația de date.
1 | Încărcați fișierul ISO de pe computer: |
2 | Montați fișierul ISO: |
Ce este de făcut în continuare
Dacă politica dvs. IT necesită, puteți dezinstala opțional fișierul ISO după ce toate nodurile dvs. preiau modificările de configurare. Consultați (Opțional) Dezasamblarea ISO după configurarea HDS pentru detalii.
Configurați nodul HDS pentru integrarea proxy
Dacă mediul de rețea necesită un proxy, utilizați această procedură pentru a specifica tipul de proxy pe care doriți să îl integrați cu securitatea datelor hibride. Dacă alegeți un proxy de inspecție transparent sau un proxy explicit HTTPS, puteți utiliza interfața nodului pentru a încărca și instala certificatul rădăcină. De asemenea, puteți verifica conexiunea proxy din interfață și puteți rezolva orice probleme potențiale.
Înainte de a începe
Consultați Asistența proxy pentru o prezentare generală a opțiunilor proxy acceptate.
1 | Introduceți URL-ul de configurare a nodului HDS |
2 | Accesați Trust Store & Proxy, apoi alegeți o opțiune:
Urmați pașii următori pentru un proxy de inspecție transparent, un proxy explicit HTTP cu autentificare de bază sau un proxy explicit HTTPS. |
3 | Faceți clic pe Încărcați un certificat rădăcină sau un certificat de entitate finalizată, apoi navigați la o alegere a certificatului rădăcină pentru proxy. Certificatul este încărcat, dar nu este încă instalat, deoarece trebuie să reporniți nodul pentru a instala certificatul. Faceți clic pe săgeata chevron după numele emitentului certificatului pentru a obține mai multe detalii sau faceți clic pe Ștergere dacă ați făcut o greșeală și doriți să reîncărcați fișierul. |
4 | Faceți clic pe Verificare conexiune proxy pentru a testa conectivitatea la rețea între nod și proxy. Dacă testul conexiunii eșuează, veți vedea un mesaj de eroare care arată motivul și modul în care puteți corecta problema. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a reușit, nodul nu a putut ajunge la serverul DNS. Această condiție este de așteptat în multe configurații proxy explicite. Puteți continua cu configurarea, iar nodul va funcționa în modul de Rezoluție DNS Externă Blocată. Dacă credeți că aceasta este o eroare, completați acești pași și apoi consultați Dezactivarea modului de rezoluție DNS extern blocat. |
5 | După ce testul conexiunii trece, pentru proxy explicit setat numai la https, activați comutatorul pentru a Ruta toate solicitările de port 443/444 https din acest nod prin proxy explicit. Această setare necesită 15 secunde pentru a intra în vigoare. |
6 | Faceți clic pe Instalare toate certificatele în magazinul de încredere (apare pentru un proxy explicit HTTPS sau un proxy de inspecție transparent) sau Reporniți (apare pentru un proxy explicit HTTP), citiți mesajul și apoi faceți clic pe Instalare dacă sunteți pregătit. Nodul repornește în câteva minute. |
7 | După repornirea nodului, conectați-vă din nou dacă este necesar, apoi deschideți pagina Prezentare generală pentru a verifica verificările de conectivitate pentru a vă asigura că toate sunt în stare verde. Verificarea conexiunii proxy testează numai un subdomeniu al webex.com. Dacă există probleme de conectivitate, o problemă comună este că unele dintre domeniile cloud enumerate în instrucțiunile de instalare sunt blocate la proxy. |
Înregistrați primul nod în cluster
Când vă înregistrați primul nod, creați un cluster căruia i se atribuie nodul. Un cluster conține unul sau mai multe noduri implementate pentru a oferi redundanță.
Înainte de a începe
Odată ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți.
Asigurați-vă că orice blocare pop-up din browser-ul dvs. este dezactivată sau că permiteți o excepție pentru admin.webex.com.
1 | Conectați-vă la https://admin.webex.com. |
2 | Din meniul din partea stângă a ecranului, selectați Servicii. |
3 | În secțiunea Servicii hibride, găsiți Securitatea datelor hibride și faceți clic pe Configurare. Apare pagina Nod de securitate a datelor hibride de înregistrare.
|
4 | Selectați Da pentru a indica faptul că ați configurat nodul și sunteți gata să îl înregistrați, apoi faceți clic pe Înainte. |
5 | În primul câmp, introduceți un nume pentru clusterul la care doriți să alocați nodul dvs. de securitate a datelor hibride. Vă recomandăm să denumiți un cluster bazat pe locul în care nodurile clusterului sunt localizate geografic. Exemple: "San Francisco" sau "New York" sau "Dallas" |
6 | În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Înainte. Această adresă IP sau FQDN trebuie să corespundă adresei IP sau numelui gazdei și domeniului pe care l-ați utilizat în Configurarea VM-ului de securitate a datelor hibride. Apare un mesaj care indică faptul că vă puteți înregistra nodul la Webex.
|
7 | Faceți clic pe Du-te la Nod. |
8 | Faceți clic pe Continuare în mesajul de avertizare. După câteva momente, sunteți redirecționat către testele de conectivitate la noduri pentru serviciile Webex. Dacă toate testele au succes, apare pagina Permiteți accesul la nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați permisiuni organizației dvs. Webex pentru a accesa nodul dvs.
|
9 | Bifați caseta de selectare Permite accesul la nodul dvs. de securitate a datelor hibride , apoi faceți clic pe Continuare. Contul dvs. este validat, iar mesajul „Înscriere completă” indică faptul că nodul dvs. este acum înregistrat în cloudul Webex.
|
10 | Faceți clic pe link-ul sau închideți fila pentru a reveni la pagina de securitate a datelor hibride Control Hub. Pe pagina Securitate datelor hibride, este afișat noul cluster care conține nodul pe care l-ați înregistrat. Nodul va descărca automat cel mai recent software din cloud.
|
Creați și înregistrați mai multe noduri
În acest moment, VMs de rezervă pe care le-ați creat în Completați Condițiile prealabile pentru securitatea datelor hibride sunt gazde standby care sunt utilizate numai în caz de recuperare a dezastrelor; acestea nu sunt înregistrate la sistem până atunci. Pentru detalii, consultați Recuperarea dezastrelor utilizând Centrul de date standby. |
Înainte de a începe
Odată ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți.
Asigurați-vă că orice blocare pop-up din browser-ul dvs. este dezactivată sau că permiteți o excepție pentru admin.webex.com.
1 | Creați o nouă mașină virtuală din OVA, repetând pașii din Instalați gazda HDS OVA. |
2 | Configurați configurația inițială pe noul VM, repetând pașii din Configurați VM-ul de securitate a datelor hibride. |
3 | Pe noul VM, repetați pașii din Încărcați și montați ISO de configurare HDS. |
4 | Dacă configurați un proxy pentru implementarea dvs., repetați pașii din Configurați nodul HDS pentru Integrare proxy , după cum este necesar pentru noul nod. |
5 | Înregistrați nodul. Nodul dvs. este înregistrat. Rețineți că până când începeți o încercare, nodurile dvs. generează o alarmă care indică faptul că serviciul dvs. nu este încă activat.
|
Ce este de făcut în continuare
Încercare la fluxul sarcinilor de producție
După ce ați configurat un cluster de securitate a datelor hibride, puteți iniția un pilot, puteți adăuga utilizatori la acesta și puteți începe să îl utilizați pentru testarea și verificarea implementării dvs. în vederea trecerii la producție.
Înainte de a începe
1 | Dacă este cazul, sincronizați Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați |
2 |
Începeți o încercare. Până când nu efectuați această sarcină, nodurile dvs. generează o alarmă care indică faptul că serviciul nu este încă activat. |
3 | Testați implementarea securității datelor hibride Verificați dacă solicitările cheie trec la implementarea securității datelor hibride. |
4 | Monitorizarea sănătății securității datelor hibride Verificați starea și configurați notificările prin e-mail pentru alarme. |
5 | |
6 | Finalizați faza de probă cu una dintre următoarele acțiuni: |
Activați procesul
Înainte de a începe
Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați HdsTrialGroup
obiectul de grup pentru sincronizare în cloud înainte de a putea iniția o încercare pentru organizația dvs. Pentru instrucțiuni, consultați Ghidul de implementare pentru Cisco Directory Connector.
1 | Conectați-vă la https://admin.webex.comși apoi selectați Servicii. |
2 | Sub Securitatea datelor hibride, faceți clic pe Setări. |
3 | În secțiunea Stare serviciu, faceți clic pe Inițiere încercare. Starea serviciului se modifică în modul de încercare.
|
4 | Faceți clic pe Adăugare utilizatori și introduceți adresa de e-mail a unuia sau mai multor utilizatori pentru a pilot utilizând nodurile dvs. de securitate a datelor hibride pentru serviciile de criptare și indexare. (Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory pentru a gestiona grupul de încercare, |
Testați implementarea securității datelor hibride
Înainte de a începe
Configurați implementarea securității datelor hibride.
Activați procesul și adăugați mai mulți utilizatori de proces.
Asigurați-vă că aveți acces la syslog pentru a verifica dacă solicitările cheie trec la implementarea securității datelor hibride.
1 | Tastele pentru un anumit spațiu sunt stabilite de creatorul spațiului. Conectați-vă la Aplicația Webex ca unul dintre utilizatorii pilot, apoi creați un spațiu și invitați cel puțin un utilizator pilot și un utilizator non-pilot.
| ||
2 | Trimiteți mesaje către noul spațiu. | ||
3 | Verificați ieșirea syslog pentru a verifica dacă solicitările cheie trec la implementarea securității datelor hibride. |
Monitorizarea sănătății securității datelor hibride
1 | În Control Hub, selectați Servicii din meniul din partea stângă a ecranului. |
2 | În secțiunea Servicii hibride, găsiți Securitatea datelor hibride și faceți clic pe Setări. Apare pagina Setări securitate date hibride.
|
3 | În secțiunea Notificări prin e-mail, tastați una sau mai multe adrese de e-mail separate prin virgule și apăsați Enter. |
Adăugați sau eliminați utilizatori din procesul dvs.
Dacă eliminați un utilizator din trial, clientul utilizatorului va solicita chei și crearea de taste din KMS cloud în loc de KMS dvs. Dacă clientul are nevoie de o cheie stocată pe KMS-ul dvs., KMS-ul cloud o va prelua în numele utilizatorului.
Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory (în loc de această procedură) pentru a gestiona grupul de încercare, HdsTrialGroup
; puteți vizualiza membrii grupului din Control Hub, dar nu îi puteți adăuga sau elimina.
1 | Conectați-vă la Control Hub, apoi selectați Servicii. |
2 | Sub Securitatea datelor hibride, faceți clic pe Setări. |
3 | În secțiunea Modul de încercare din zona de stare a serviciului, faceți clic pe Adăugare utilizatori sau faceți clic pe vizualizare și editare pentru a elimina utilizatorii din trial. |
4 | Introduceți adresa de e-mail a unuia sau mai multor utilizatori pentru a adăuga sau faceți clic pe X de către un ID de utilizator pentru a elimina utilizatorul din încercare. Apoi faceți clic pe Salvare. |
Mutați de la încercare la producție
1 | Conectați-vă la Control Hub, apoi selectați Servicii. |
2 | Sub Securitatea datelor hibride, faceți clic pe Setări. |
3 | În secțiunea Stare serviciu, faceți clic pe Mutare în producție. |
4 | Confirmați că doriți să mutați toți utilizatorii la producție. |
Încheiați procesul fără a trece la producție
1 | Conectați-vă la Control Hub, apoi selectați Servicii. |
2 | Sub Securitatea datelor hibride, faceți clic pe Setări. |
3 | În secțiunea Dezactivare, faceți clic pe Dezactivare. |
4 | Confirmați că doriți să dezactivați serviciul și să finalizați procesul. |
Gestionați implementarea HDS
Utilizați sarcinile descrise aici pentru a gestiona implementarea securității datelor hibride.
Setați programul de upgrade al clusterului
Pentru a seta programul de upgrade:
1 | Conectați-vă la Control Hub. |
2 | Pe pagina Prezentare generală, în secțiunea Servicii hibride, selectați Securitatea datelor hibride. |
3 | Pe pagina Resurse de securitate a datelor hibride, selectați clusterul. |
4 | În panoul Prezentare generală din dreapta, în secțiunea Setări cluster, selectați numele clusterului. |
5 | Pe pagina Setări, în secțiunea Upgrade, selectați ora și fusul orar pentru programul de upgrade. Notă: În cadrul fusului orar, se afișează următoarea dată și oră de upgrade disponibile. Puteți amâna upgrade-ul până în ziua următoare, dacă este necesar, făcând clic pe Amânare. |
Modificarea configurației nodului
Modificarea certificatelor x.509 din cauza expirării sau din alte motive.
Nu acceptăm schimbarea numelui domeniului CN al unui certificat. Domeniul trebuie să corespundă domeniului original utilizat pentru înregistrarea clusterului.
Actualizarea setărilor bazei de date pentru a trece la o replică a bazei de date PostgreSQL sau Microsoft SQL Server.
Nu acceptăm migrarea datelor de la PostgreSQL la Microsoft SQL Server sau invers. Pentru a comuta mediul bazei de date, începeți o nouă implementare a securității datelor hibride.
Crearea unei noi configurații pentru a pregăti un nou centru de date.
De asemenea, în scopuri de securitate, Hybrid Data Security utilizează parole de cont de serviciu care au o durată de viață de nouă luni. După ce instrumentul de configurare HDS generează aceste parole, le implementați în fiecare dintre nodurile HDS din fișierul de configurare ISO. Când parolele organizației dvs. expiră, veți primi o notificare din partea echipei Webex pentru a reseta parola pentru contul dvs. de utilaj. (E-mailul include textul, "Utilizați API-ul contului mașinii pentru a actualiza parola.") Dacă parolele dvs. nu au expirat încă, instrumentul vă oferă două opțiuni:
Resetare soft—Parolele vechi și noi funcționează timp de până la 10 zile. Utilizați această perioadă pentru a înlocui fișierul ISO pe noduri treptat.
Resetare dificilă—Parolele vechi nu mai funcționează imediat.
În cazul în care parolele expiră fără o resetare, aceasta afectează serviciul HDS, care necesită o resetare imediată hard și înlocuirea fișierului ISO pe toate nodurile.
Utilizați această procedură pentru a genera un nou fișier ISO de configurare și aplicați-l în cluster.
Înainte de a începe
Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi depline de administrator pentru organizația dvs.
Dacă instrumentul de configurare HDS rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin variabilele de mediu Docker atunci când ridicați containerul Docker în 1.e. Acest tabel oferă unele variabile de mediu posibile:
Descriere
Variabilă
HTTP proxy fără autentificare
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS proxy fără autentificare
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP proxy cu autentificare
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS cu autentificare
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Aveți nevoie de o copie a fișierului ISO de configurare curent pentru a genera o nouă configurație. ISO conține cheia principală de criptare a bazei de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de ISO atunci când efectuați modificări de configurare, inclusiv acreditări de bază de date, actualizări ale certificatului sau modificări ale politicii de autorizare.
1 | Folosind Docker pe o mașină locală, rulați Instrumentul de configurare HDS. |
2 | Dacă aveți un singur nod HDS care rulează, creați un nou nod de securitate a datelor hibride VM și înregistrați-l utilizând noul fișier ISO de configurare. Pentru instrucțiuni mai detaliate, consultați Creați și înregistrați mai multe noduri. |
3 | Pentru nodurile HDS existente care rulează fișierul de configurare mai vechi, montați fișierul ISO. Efectuați următoarea procedură pe fiecare nod la rândul său, actualizarea fiecărui nod înainte de a dezactiva următorul nod: |
4 | Repetați pasul 3 pentru a înlocui configurația de pe fiecare nod rămas care rulează configurația veche. |
Dezactivați Modul De Rezoluție DNS Externă Blocat
Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează aspectul DNS și conectivitatea la cloudul Cisco Webex. Dacă serverul DNS al nodului nu poate rezolva numele DNS publice, nodul intră automat în modul de Rezoluție DNS Externă Blocată.
Dacă nodurile dvs. sunt capabile să rezolve numele DNS publice prin intermediul serverelor DNS interne, puteți dezactiva acest mod prin reactivarea testului de conexiune proxy pe fiecare nod.
Înainte de a începe
1 | Într-un browser web, deschideți interfața nodului de securitate a datelor hibride (adresă IP/configurare, de exemplu, https://192.0.2.0/setup), introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare. |
2 | Accesați Prezentare generală (pagina implicită). Când este activată, Rezoluția DNS externă blocată este setată la Da. |
3 | Accesați pagina Trust Store & Proxy . |
4 | Faceți clic pe Verificare conexiune proxy. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a avut succes, nodul nu a putut ajunge la serverul DNS și va rămâne în acest mod. În caz contrar, după ce reporniți nodul și reveniți la pagina Prezentare generală , Rezoluția DNS externă blocată trebuie setată la nr. |
Ce este de făcut în continuare
Eliminați un nod
1 | Utilizați clientul VMware vSphere de pe computer pentru a vă conecta la gazda virtuală ESXi și pentru a dezactiva mașina virtuală. |
2 | Eliminați nodul: |
3 | În clientul vSphere, ștergeți VM. (În panoul de navigare din stânga, faceți clic dreapta pe VM și faceți clic pe Ștergere.) Dacă nu ștergeți VM, nu uitați să dezasamblați fișierul de configurare ISO. Fără fișierul ISO, nu puteți utiliza VM pentru a accesa datele de securitate. |
Recuperare dezastre utilizând Centrul de date standby
Cel mai important serviciu pe care îl oferă clusterul de securitate a datelor hibride este crearea și stocarea de taste utilizate pentru criptarea mesajelor și a altor conținuturi stocate în cloudul Webex. Pentru fiecare utilizator din cadrul organizației care este atribuit securității datelor hibride, noile solicitări de creare a cheilor sunt direcționate către cluster. Clusterul este, de asemenea, responsabil pentru returnarea cheilor pe care le-a creat oricărui utilizator autorizat să le recupereze, de exemplu, membrii unui spațiu de conversație.
Deoarece clusterul îndeplinește funcția critică de furnizare a acestor chei, este imperativ ca clusterul să rămână în funcțiune și să fie menținute backup-uri adecvate. Pierderea bazei de date Hybrid Data Security sau a configurației ISO utilizate pentru schemă va duce la PIERDEREA INRECUPERABILĂ a conținutului clientului. Următoarele practici sunt obligatorii pentru a preveni o astfel de pierdere:
Dacă un dezastru face ca implementarea HDS în centrul de date principal să devină indisponibilă, urmați această procedură pentru a eșua manual la centrul de date standby.
1 | Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS. | ||
2 | După configurarea serverului Syslogd, faceți clic pe Setări avansate | ||
3 | Pe pagina Setări avansate, adăugați configurația de mai jos sau eliminați
| ||
4 | Completați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit. | ||
5 | Efectuați o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurare. | ||
6 | În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări.. | ||
7 | Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Fișier ISO Datastore.
| ||
8 | Activați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute. | ||
9 | Repetați procesul pentru fiecare nod din centrul de date standby.
|
Ce este de făcut în continuare
(Opțional) Dezasamblare ISO După configurarea HDS
Configurația standard HDS rulează cu ISO montat. Dar, unii clienți preferă să nu lase fișierele ISO montate în mod continuu. Puteți demonta fișierul ISO după ce toate nodurile HDS preiau noua configurație.
Utilizați în continuare fișierele ISO pentru a face modificări de configurare. Când creați un nou ISO sau actualizați un ISO prin Instrumentul de configurare, trebuie să montați ISO actualizat pe toate nodurile HDS. După ce toate nodurile dvs. au preluat modificările de configurare, puteți demonta din nou ISO cu această procedură.
Înainte de a începe
Actualizați toate nodurile HDS la versiunea 2021.01.22.4720 sau o versiune ulterioară.
1 | Închideți unul dintre nodurile HDS. |
2 | În dispozitivul server vCenter, selectați nodul HDS. |
3 | Alegeți ISO Datastore. și debifați fișierul |
4 | Alimentați nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 20 de minute. |
5 | Repetați pentru fiecare nod HDS la rândul său. |
Vizualizare alerte și depanare
O implementare a securității datelor hibride este considerată indisponibilă dacă toate nodurile din cluster sunt inaccesibile sau clusterul funcționează atât de lent încât solicită timp de excludere. Dacă utilizatorii nu pot ajunge la clusterul dvs. de securitate a datelor hibride, aceștia experimentează următoarele simptome:
Nu se pot crea spații noi (nu se pot crea chei noi)
Mesajele și titlurile spațiului nu pot fi decriptate pentru:
Utilizatori noi adăugați într-un spațiu (nu se pot prelua tastele)
Utilizatorii existenți dintr-un spațiu care utilizează un client nou (nu pot prelua tastele)
Utilizatorii existenți într-un spațiu vor continua să ruleze cu succes atâta timp cât clienții lor au un cache al cheilor de criptare
Este important să monitorizați în mod corespunzător clusterul de securitate a datelor hibride și să adresați imediat orice alerte pentru a evita perturbarea serviciului.
Alerte
Dacă există o problemă cu configurarea securității datelor hibride, Control Hub afișează alerte administratorului organizației și trimite e-mailuri la adresa de e-mail configurată. Alertele acoperă multe scenarii comune.
Alerte | Acțiune |
---|---|
Eșecul accesului la baza de date locală. |
Verificați erorile bazei de date sau problemele de rețea locale. |
Eșecul conexiunii la baza de date locală. |
Verificați dacă serverul bazei de date este disponibil, iar acreditările contului de serviciu corespunzător au fost utilizate în configurația nodului. |
Eșecul accesului la servicii în cloud. |
Verificați dacă nodurile pot accesa serverele Webex astfel cum sunt specificate în cerințele de conectivitate externă. |
Reînnoirea înregistrării serviciului în cloud. |
S-a renunțat la înscrierea în serviciile cloud. Reînnoirea înregistrării este în curs. |
Înscrierea în serviciul Cloud a scăzut. |
Înscrierea la serviciile cloud s-a încheiat. Serviciul se închide. |
Serviciul nu este încă activat. |
Activați un proces sau finalizați mutarea procesului la producție. |
Domeniul configurat nu corespunde certificatului serverului. |
Asigurați-vă că certificatul serverului dvs. corespunde domeniului de activare a serviciului configurat. Cauza cea mai probabilă este că certificatul CN a fost modificat recent și este acum diferit de CN care a fost utilizat în timpul configurării inițiale. |
Nu s-a reușit autentificarea la serviciile cloud. |
Verificați acuratețea și posibila expirare a acreditărilor contului de serviciu. |
Nu s-a reușit deschiderea fișierului local de keystore. |
Verificați integritatea și precizia parolei în fișierul de keystore local. |
Certificatul serverului local este nevalid. |
Verificați data de expirare a certificatului serverului și confirmați că acesta a fost eliberat de o autoritate de certificare de încredere. |
Nu se pot posta măsurători. |
Verificați accesul la rețeaua locală la serviciile cloud externe. |
directorul /media/configdrive/hds nu există. |
Verificați configurația de montare ISO pe gazda virtuală. Verificați dacă fișierul ISO există, dacă este configurat să fie montat pe repornire și dacă se montează cu succes. |
Depanarea securității datelor hibride
1 | Revizuiți Control Hub pentru orice alerte și remediați orice elemente pe care le găsiți acolo. |
2 | Revizuiți ieșirea serverului syslog pentru activitatea din implementarea securității datelor hibride. |
3 | Contactați asistența Cisco. |
Probleme cunoscute pentru securitatea datelor hibride
Dacă închideți clusterul de securitate a datelor hibride (prin ștergerea acestuia în Control Hub sau prin închiderea tuturor nodurilor), pierdeți fișierul ISO de configurare sau pierdeți accesul la baza de date Keystore, utilizatorii aplicației Webex nu mai pot utiliza spații din lista lor de persoane care au fost create cu tastele din KMS. Acest lucru este valabil atât pentru operațiunile de încercare, cât și pentru operațiunile de producție. În prezent, nu avem un loc de muncă sau o soluție pentru această problemă și vă solicităm să nu închideți serviciile HDS odată ce acestea gestionează conturile de utilizator active.
Un client care are o conexiune ECDH existentă la un KMS menține acea conexiune pentru o perioadă de timp (probabil o oră). Atunci când un utilizator devine membru al unui proces de securitate a datelor hibride, clientul utilizatorului continuă să utilizeze conexiunea ECDH existentă până la expirarea acesteia. Alternativ, utilizatorul se poate deconecta și reconecta la aplicația Aplicației Webex pentru a actualiza locația pe care aplicația o contactează pentru cheile de criptare.
Același comportament apare atunci când mutați un proces la producție pentru organizație. Toți utilizatorii non-trial cu conexiuni ECDH existente la serviciile anterioare de securitate a datelor vor continua să utilizeze aceste servicii până când conexiunea ECDH este renegociată (prin expirare sau prin deconectare și reconectare).
Utilizați OpenSSL pentru a genera un fișier PKCS12
Înainte de a începe
OpenSSL este un instrument care poate fi folosit pentru a face fișierul PKCS12 în formatul adecvat pentru încărcare în instrumentul de configurare HDS. Există alte modalități de a face acest lucru, și nu sprijinim sau promovăm un mod peste altul.
Dacă alegeți să utilizați OpenSSL, oferim această procedură ca ghid pentru a vă ajuta să creați un fișier care îndeplinește cerințele certificatului X.509 din X.509 Cerințe de certificat. Înțelegeți aceste cerințe înainte de a continua.
Instalați OpenSSL într-un mediu acceptat. Consultați https://www.openssl.org pentru software și documentație.
Creați o tastă privată.
Începeți această procedură atunci când primiți certificatul de server de la Autoritatea dvs. de certificare (CA).
1 | Când primiți certificatul de server de la CA, salvați-l ca |
2 | Afișați certificatul ca text și verificați detaliile.
|
3 | Utilizați un editor de text pentru a crea un fișier de pachet de certificate numit
|
4 | Creați fișierul .p12 cu numele prietenos
|
5 | Verificați detaliile certificatului serverului. |
Ce este de făcut în continuare
Reveniți la Completarea Condițiilor prealabile pentru securitatea datelor hibride. Veţi utiliza hdsnode.p12
fișier și parola pe care ați setat-o pentru acesta, în Creați un ISO de configurare pentru gazdele HDS.
Puteți reutiliza aceste fișiere pentru a solicita un nou certificat atunci când certificatul original expiră. |
Trafic între nodurile HDS și cloud
Trafic colecție metrică de ieșire
Nodurile de securitate a datelor hibride trimit anumite măsurători în cloudul Webex. Acestea includ măsurători de sistem pentru înălțimea maximă, înălțimea utilizată, sarcina CPU și numărul de fire; măsurători pe fire sincrone și asincronice; măsurători pe alerte care implică un prag de conexiuni de criptare, latență sau o lungime a cozii de solicitare; măsurători pe placa de date; și măsurători de conexiune de criptare. Nodurile trimit material cheie criptat printr-un canal în afara benzii (separat de solicitare).
Trafic de intrare
Nodurile de securitate a datelor hibride primesc următoarele tipuri de trafic de intrare din cloudul Webex:
Cereri de criptare de la clienți, care sunt rutate de serviciul de criptare
Actualizări la software-ul nodului
Configurați proxy-urile Squid pentru securitatea datelor hibride
Șoseta web nu se poate Conecta Prin Proxy Squid
Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea websocket ( wss:
) conexiuni care necesită Securitatea datelor hibride. Aceste secțiuni oferă îndrumări cu privire la modul de configurare a diferitelor versiuni de Squid pentru a ignora wss:
trafic pentru buna funcționare a serviciilor.
Squid 4 și 5
Adăugați on_unsupported_protocol
directivă privind squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Am testat cu succes Securitatea datelor hibride cu următoarele reguli adăugate la squid.conf
. Aceste reguli se pot modifica pe măsură ce dezvoltăm caracteristici și actualizăm cloudul Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Înainte
Informații noi și modificate
Dată |
Modificări efectuate |
---|---|
20 octombrie 2023 |
|
07 august 2023 |
|
23 mai 2023 |
|
06 decembrie 2022 |
|
23 noiembrie 2022 |
|
octombrie 13, 2021 |
Desktopul Docker trebuie să ruleze un program de configurare înainte de a putea instala nodurile HDS. Consultați Cerințe desktop docker. |
iunie 24, 2021 |
Rețineți că puteți reutiliza fișierul cu cheie privată și CSR pentru a solicita un alt certificat. Consultați Utilizarea OpenSSL pentru a genera un fișier PKCS12 pentru detalii. |
30 aprilie 2021 |
S-a modificat cerința VM pentru spațiul local pe hard disk la 30 GB. Consultați Cerințele gazdei virtuale pentru detalii. |
februarie 24, 2021 |
Instrumentul de configurare HDS poate rula acum în spatele unui proxy. Consultați Creați un ISO de configurare pentru gazdele HDS pentru detalii. |
februarie 2, 2021 |
HDS poate rula acum fără un fișier ISO montat. Consultați (Opțional) Demontați ISO după configurarea HDS pentru detalii. |
ianuarie 11, 2021 |
Au fost adăugate informații despre instrumentul de configurare HDS și proxy-uri pentru a crea un ISO de configurare pentru gazdele HDS. |
13 octombrie 2020 |
Descărcați fișierele de instalare actualizate. |
8 octombrie 2020 |
Creați o configurație ISO pentru gazdele HDS și modificați configurația nodului cu comenzi pentru mediile FedRAMP. |
14 august 2020 |
Creați o configurație ISO pentru gazdele HDS și modificați configurația nodului cu modificări ale procesului de conectare. |
5 august 2020 |
Testați-vă implementarea de securitate a datelor hibride actualizată pentru modificări în mesajele jurnal. Cerințele privind gazda virtuală au fost actualizate pentru a elimina numărul maxim de gazde. |
16 iunie 2020 |
Eliminați un nod actualizat pentru modificări în interfața cu utilizatorul Control Hub. |
4 iunie 2020 |
Creați o configurație ISO pentru gazdele HDS actualizată pentru modificările setărilor avansate pe care le-ați putea seta. |
29 mai 2020 |
Creați o configurație ISO pentru gazdele HDS actualizată, pentru a arăta că puteți utiliza, de asemenea, TLS cu baze de date SQL Server, modificări UI și alte clarificări. |
5 mai 2020 |
Cerințe pentru gazda virtuală actualizate pentru a afișa noua cerință pentru ESXi 6.5. |
21 aprilie 2020 |
Cerințe de conectivitate externă actualizate cu noile gazde CI din Americas. |
Aprilie 1, 2020 |
Cerințe de conectivitate externă actualizate cu informații despre gazdele CI regionale. |
20 februarie 2020 | Creați un ISO de configurare pentru gazdele HDS actualizat cu informații despre noul ecran opțional Setări avansate din Instrumentul de configurare HDS. |
4 februarie 2020 | Cerințele serverului delegat au fost actualizate. |
16 decembrie 2019 | A clarificat cerința ca Modul de rezoluție DNS externă blocată să funcționeze în Cerințe server proxy. |
noiembrie 19, 2019 |
Au fost adăugate informații despre modul de rezoluție DNS externă blocată în următoarele secțiuni: |
8 noiembrie 2019 |
Acum puteți configura setările de rețea pentru un nod în timp ce implementați OVA, și nu ulterior. Au fost actualizate următoarele secțiuni în consecință: Opțiunea de a configura setările de rețea în timpul implementării OVA a fost testată cu ESXi 6.5. Este posibil ca această opțiune să nu fie disponibilă în versiunile anterioare. |
6 septembrie 2019 |
A fost adăugat SQL Server Standard la cerințele serverului bazei de date. |
august 29, 2019 | A fost adăugat apendicele Configurați proxy-uri Squid pentru securitatea datelor hibride cu îndrumări privind configurarea proxy-urilor Squid pentru a ignora traficul websocket pentru funcționarea corectă. |
august 20, 2019 |
Au fost adăugate și actualizate secțiunile pentru a acoperi asistența proxy pentru comunicările nodului de securitate a datelor hibride către cloudul Webex. Pentru a accesa doar conținutul de asistență proxy pentru o implementare existentă, consultați articolul de ajutor Asistență proxy pentru securitatea datelor hibride și rețeaua video Webex . |
iunie 13, 2019 | Fluxul de activități Perioadă de încercare la producție a fost actualizat, cu un memento pentru a sincroniza obiectul de grup HdsTrialGroup înainte de a începe o perioadă de încercare dacă organizația dvs. utilizează sincronizarea directorului. |
6 martie 2019 |
|
februarie 28, 2019 |
|
26 februarie 2019 |
|
ianuarie 24, 2019 |
|
noiembrie 5, 2018 |
|
octombrie 19, 2018 |
|
iulie 31, 2018 |
|
21 mai 2018 |
Terminologia a fost modificată pentru a reflecta rebrandingul Cisco Spark:
|
aprilie 11, 2018 |
|
22 februarie 2018 |
|
februarie 15, 2018 |
|
ianuarie 18, 2018 |
|
noiembrie 2, 2017 |
|
august 18, 2017 |
Prima publicare |
Începeți cu Securitatea datelor hibride
Prezentare generală a securității datelor hibride
Încă din prima zi, securitatea datelor a fost accentul principal în proiectarea Aplicației Webex. Piatra de temelie a acestei securități este criptarea conținutului end-to-end, activată de clienții Aplicației Webex care interacționează cu Key Management Service (KMS). KMS este responsabil pentru crearea și gestionarea cheilor criptografice pe care clienții le utilizează pentru a cripta și decripta dinamic mesajele și fișierele.
În mod implicit, toți clienții Aplicației Webex primesc criptarea end-to-end cu cheile dinamice stocate în cloud KMS, în domeniul securității Cisco. Hybrid Data Security mută KMS și alte funcții legate de securitate în centrul de date al întreprinderii dvs., deci nimeni în afară de dvs. nu deține cheile conținutului dvs. criptat.
Arhitectura domeniului securitate
Arhitectura cloud Webex separă diferite tipuri de servicii în domenii sau domenii de încredere separate, așa cum este descris mai jos.
Pentru a înțelege mai bine Securitatea datelor hibride, să aruncăm o privire mai întâi la acest caz în cloud pur, în care Cisco oferă toate funcțiile din domeniile sale cloud. Serviciul de identitate, singurul loc în care utilizatorii pot fi corelați direct cu informațiile lor personale, cum ar fi adresa de e-mail, este separat logic și fizic de domeniul securității din centrul de date B. Ambele sunt la rândul lor separate de domeniul în care conținutul criptat este stocat în cele din urmă, în centrul de date C.
În această diagramă, clientul este Aplicația Webex care rulează pe laptopul unui utilizator și s-a autentificat în serviciul de identitate. Atunci când utilizatorul compune un mesaj pentru a-l trimite unui spațiu, se efectuează următorii pași:
-
Clientul stabilește o conexiune securizată cu serviciul de gestionare a cheilor (KMS), apoi solicită o cheie pentru a cripta mesajul. Conexiunea securizată utilizează ECDH, iar KMS criptează cheia utilizând o cheie principală AES-256.
-
Mesajul este criptat înainte de a părăsi clientul. Clientul îl trimite către serviciul de indexare, care creează indici de căutare criptați pentru a ajuta la căutările viitoare ale conținutului.
-
Mesajul criptat este trimis către serviciul de conformitate pentru verificări ale conformității.
-
Mesajul criptat este stocat în domeniul de stocare.
Când implementați Securitatea datelor hibride, mutați funcțiile domeniului de securitate (KMS, indexare și conformitate) în centrul dvs. de date local. Celelalte servicii cloud care alcătuiesc Webex (inclusiv stocarea identității și a conținutului) rămân în domeniile Cisco.
Colaborarea cu alte organizații
Utilizatorii din organizația dvs. pot utiliza în mod regulat Aplicația Webex pentru a colabora cu participanți externi din alte organizații. Când unul dintre utilizatorii dvs. solicită o cheie pentru un spațiu deținut de organizația dvs. (deoarece a fost creat de unul dintre utilizatorii dvs.), KMS-ul trimite cheia către client printr-un canal securizat ECDH. Cu toate acestea, atunci când o altă organizație deține cheia pentru spațiu, KMS-ul dvs. direcționează solicitarea către cloudul Webex printr-un canal ECDH separat pentru a obține cheia de la KMS corespunzător, apoi returnează cheia utilizatorului pe canalul original.
Serviciul KMS care rulează pe Org A validează conexiunile la KMS din alte organizații utilizând certificate x.509 PKI. Consultați Pregătiți-vă mediul pentru detalii despre generarea unui certificat x.509 care să fie utilizat cu implementarea securității datelor hibride.
Așteptări privind implementarea securității datelor hibride
O implementare a securității datelor hibride necesită un angajament semnificativ din partea clienților și o conștientizare a riscurilor care decurg din deținerea cheilor de criptare.
Pentru a implementa Securitatea datelor hibride, trebuie să furnizați:
-
Un centru de date securizat într-o țară care este o locație acceptată pentru planurile Cisco Webex Teams.
Pierderea completă a ISO-ului de configurare pe care îl creați pentru Securitatea datelor hibride sau a bazei de date pe care o furnizați va duce la pierderea cheilor. Pierderea cheii împiedică utilizatorii să decripteze conținutul spațiului și alte date criptate în Aplicația Webex. Dacă se întâmplă acest lucru, puteți construi o nouă implementare, dar va fi vizibil numai conținut nou. Pentru a evita pierderea accesului la date, trebuie să:
-
Gestionați copiile de siguranță și recuperarea bazei de date și a configurației ISO.
-
Fiți pregătiți pentru a efectua recuperarea rapidă în caz de dezastru în cazul în care se produce o catastrofă, cum ar fi eșecul discului bazei de date sau dezastrul centrului de date.
Nu există niciun mecanism de mutare a cheilor înapoi în Cloud după o implementare HDS.
Proces de configurare la nivel înalt
Acest document se referă la configurarea și gestionarea unei implementări a securității datelor hibride:
Configurați Securitatea datelor hibride- Aceasta include pregătirea infrastructurii necesare și instalarea software-ului de securitate a datelor hibride, testarea implementării cu un subset de utilizatori în modul de încercare și, odată ce testarea este finalizată, trecerea la producție. Această acțiune convertește întreaga organizație să utilizeze clusterul dvs. de securitate a datelor hibride pentru funcții de securitate.
Fazele de configurare, testare și producție sunt tratate în detaliu în următoarele trei capitole.
-
Mențineți implementarea securității datelor hibride—Webex cloud oferă automat upgrade-uri în curs. Departamentul dvs. IT poate oferi asistență de nivel unu pentru această implementare și poate implica asistența Cisco după cum este necesar. Puteți utiliza notificările pe ecran și puteți configura alerte pe bază de e-mail în Control Hub.
-
Înțelegeți alertele obișnuite, pașii de depanare și problemele cunoscute—Dacă întâmpinați probleme la implementarea sau utilizarea Securității datelor hibride, ultimul capitol al acestui ghid și anexa Probleme cunoscute vă pot ajuta să identificați și să remediați problema.
Model de implementare a securității datelor hibride
În centrul de date al întreprinderii, implementați Securitatea datelor hibride ca un singur cluster de noduri pe gazde virtuale separate. Nodurile comunică cu cloudul Webex prin websocketuri securizate și HTTP securizat.
În timpul procesului de instalare, vă oferim fișierul OVA pentru a configura dispozitivul virtual pe VM-urile pe care le furnizați. Utilizați instrumentul de configurare HDS pentru a crea un fișier ISO de configurare a clusterului personalizat, pe care îl montați pe fiecare nod. Clusterul de securitate a datelor hibride utilizează serverul Syslogd furnizat și baza de date PostgreSQL sau Microsoft SQL Server. (Configurați detaliile de conectare Syslogd și a bazei de date în instrumentul de configurare HDS.)
Numărul minim de noduri pe care le puteți avea într-un cluster este de două. Vă recomandăm cel puțin trei per cluster. Existența mai multor noduri asigură faptul că serviciul nu este întrerupt în timpul unui upgrade de software sau al altei activități de întreținere pe un nod. (Cloudul Webex efectuează upgrade numai pentru un nod la un moment dat.)
Toate nodurile dintr-un cluster accesează același server de date cheie și jurnal de activitate la același server syslog. Nodurile în sine sunt apatride și gestionează solicitările cheie în modul round-robin, așa cum este direcționat de cloud.
Nodurile devin active atunci când le înscrieți în Control Hub. Pentru a scoate din uz un nod individual, puteți să-l anulați înscrierea și să-l reînscrieți ulterior, dacă este necesar.
Acceptăm un singur cluster per organizație.
Modul de probă pentru securitatea datelor hibride
După ce ați configurat o implementare de securitate a datelor hibride, încercați mai întâi cu un set de utilizatori pilot. În timpul perioadei de încercare, acești utilizatori utilizează domeniul dvs. local de securitate a datelor hibride pentru cheile de criptare și alte servicii de securitate. Ceilalți dvs. utilizatori continuă să utilizeze domeniul securității în cloud.
Dacă decideți să nu continuați implementarea în timpul perioadei de încercare și să dezactivați serviciul, utilizatorii pilot și toți utilizatorii cu care au interacționat prin crearea de spații noi în timpul perioadei de încercare vor pierde accesul la mesaje și conținut. Aceștia vor vedea „Acest mesaj nu poate fi decriptat” în Aplicația Webex.
Dacă sunteți mulțumit de faptul că implementarea funcționează bine pentru utilizatorii din perioada de încercare și sunteți gata să extindeți Securitatea datelor hibride la toți utilizatorii dvs., mutați implementarea la producție. Utilizatorii pilot continuă să aibă acces la cheile care au fost utilizate în timpul perioadei de încercare. Cu toate acestea, nu puteți trece înainte și înapoi între modul de producție și perioada de încercare inițială. Dacă trebuie să dezactivați serviciul, cum ar fi efectuarea recuperării în caz de dezastru, atunci când reactivați trebuie să începeți o nouă perioadă de încercare și să configurați setul de utilizatori pilot pentru noua perioadă de încercare înainte de a reveni la modul de producție. Faptul că utilizatorii păstrează accesul la date în acest moment depinde de menținerea unor copii de siguranță ale depozitului de date cheie și ale fișierului de configurare ISO pentru nodurile de securitate a datelor hibride din clusterul dvs.
Centrul de date în așteptare pentru recuperarea după dezastre
În timpul implementării, configurați un centru de date în așteptare securizat. În cazul unui dezastru al centrului de date, puteți eșua manual implementarea la centrul de date în așteptare.
Bazele de date ale centrelor de date active și de așteptare sunt sincronizate unele cu altele, ceea ce va minimiza timpul necesar pentru efectuarea comutării automate. Fișierul ISO al centrului de date în așteptare este actualizat cu configurații suplimentare care asigură faptul că nodurile sunt înregistrate în organizație, dar nu vor gestiona traficul. Prin urmare, nodurile centrului de date în așteptare rămân întotdeauna la curent cu cea mai recentă versiune a software-ului HDS.
Nodurile active de securitate a datelor hibride trebuie să fie întotdeauna în același centru de date ca serverul de baze de date active.
Configurarea centrului de date în așteptare pentru recuperarea după dezastre
Urmați pașii de mai jos pentru a configura fișierul ISO al centrului de date în așteptare:
Înainte de a începe
-
Centrul de date standby trebuie să reflecte mediul de producție al VM-urilor și o bază de date PostgreSQL sau Microsoft SQL Server de rezervă. De exemplu, dacă producția are 3 VM care rulează noduri HDS, mediul de rezervă trebuie să aibă 3 VM. (Consultați Centrul de date în așteptare pentru recuperarea după dezastru pentru o prezentare generală a acestui model de reluare în caz de nereușită.)
-
Asigurați-vă că sincronizarea bazei de date este activată între baza de date a nodurilor de clustere active și pasive.
1 |
Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS. Fișierul ISO trebuie să fie o copie a fișierului ISO original al centrului de date principal pe care urmează să fie efectuate următoarele actualizări de configurare. |
2 |
După configurarea serverului Syslogd, faceți clic pe Setări avansate |
3 |
Adăugați configurația de mai jos pe pagina Setări avansate pentru a plasa nodul în modul pasiv. În acest mod, nodul va fi înscris în organizație și conectat la cloud, dar nu va gestiona niciun trafic.
|
4 |
Finalizați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit. |
5 |
Faceți o copie de rezervă a fișierului ISO în sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la acei administratori de securitate a datelor hibride care ar trebui să efectueze modificări de configurație. |
6 |
În panoul de navigare stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări.. |
7 |
Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Datastore ISO File. Asigurați-vă că sunt bifate opțiunile Conectat și Conectare la pornire , astfel încât modificările actualizate ale configurației să poată intra în vigoare după pornirea nodurilor. |
8 |
Porniți nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute. |
9 |
Repetați procesul pentru fiecare nod din centrul de date în așteptare. Verificați syslogurile pentru a verifica dacă nodurile sunt în modul pasiv. Ar trebui să puteți vizualiza mesajul „KMS configurat în modul pasiv” în syslogs. |
Ce este de făcut în continuare
După configurarea PassiveMode
în fișierul ISO și salvarea acestuia, puteți crea o altă copie a fișierului ISO fără configurarea PassiveMode
și salvați-l într-o locație sigură. Această copie a fișierului ISO fără configurarea modului pasiv
poate ajuta într-un proces rapid de reluare în caz de dezastru în timpul recuperării. Consultați Recuperarea după dezastru utilizând centrul de date în așteptare pentru procedura detaliată de reluare în caz de nereușită.
Suport proxy
Hybrid Data Security acceptă inspectarea explicită, transparentă și proxy-uri care nu inspectează. Puteți lega aceste proxy-uri de implementare, astfel încât să puteți securiza și monitoriza traficul de la întreprindere în cloud. Puteți utiliza o interfață de administrator de platformă pe nodurile pentru gestionarea certificatelor și pentru a verifica starea generală a conectivității după ce ați configurat proxy-ul pe noduri.
Nodurile hibride de securitate a datelor acceptă următoarele opțiuni proxy:
-
Fără proxy—Setare implicită dacă nu utilizați configurația nodului HDS Trust Store și Proxy pentru a integra un proxy. Nu este necesară actualizarea certificatului.
-
Proxy transparent fără inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy și nu ar trebui să necesite modificări pentru a funcționa cu un proxy fără inspectare. Nu este necesară actualizarea certificatului.
-
Proxy transparent pentru tunelare sau inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy. Nu sunt necesare modificări de configurare HTTP sau HTTPS pe noduri. Cu toate acestea, nodurile au nevoie de un certificat rădăcină, astfel încât să aibă încredere în proxy. Proxy-urile de inspectare sunt de obicei utilizate de IT pentru a aplica politici pe care site-urile web pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).
-
Proxy explicit- Cu proxy explicit, spuneți nodurilor HDS ce server proxy și ce schemă de autentificare să utilizați. Pentru a configura un proxy explicit, trebuie să introduceți următoarele informații pe fiecare nod:
-
IP/FQDN proxy—Adresa care poate fi utilizată pentru a accesa computerul proxy.
-
Port proxy—Un număr de port utilizat de proxy pentru a asculta traficul protejat.
-
Protocol proxy- În funcție de ceea ce acceptă serverul proxy, alegeți dintre următoarele protocoale:
-
HTTP - Vizualizează și controlează toate solicitările pe care le trimite clientul.
-
HTTPS - Oferă un canal serverului. Clientul primește și validează certificatul serverului.
-
-
Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:
-
Fără—Nu este necesară mai multă autentificare.
Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
-
De bază—Utilizat pentru un agent de utilizator HTTP care furnizează un nume de utilizator și o parolă atunci când efectuează o solicitare. Utilizează codificarea Base64.
Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
Vă solicită să introduceți numele de utilizator și parola pe fiecare nod.
-
Rezumat- Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite prin rețea.
Disponibil numai dacă selectați HTTPS ca protocol proxy.
Vă solicită să introduceți numele de utilizator și parola pe fiecare nod.
-
-
Exemplu de noduri hibride de securitate a datelor și proxy
Această diagramă afișează un exemplu de conexiune între securitatea datelor hibride, rețea și un proxy. Pentru opțiunile proxy de inspectare transparente și https explicit inspectare, același certificat rădăcină trebuie să fie instalat pe proxy și pe nodurile hibride de securitate a datelor.
Modul de rezolvare DNS extern blocat (configurații proxy explicite)
Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează căutarea DNS și conectivitatea la cloud-ul Cisco Webex. În implementările cu configurații proxy explicite care nu permit rezoluția DNS externă pentru clienții interni, dacă nodul nu poate interoga serverele DNS, acesta intră automat în modul Rezoluție DNS externă blocată. În acest mod, înregistrarea nodului și alte teste de conectivitate proxy pot continua.
Pregătiți-vă mediul
Cerințe pentru securitatea datelor hibride
Cerințe de licență Cisco Webex
Pentru a implementa Securitatea datelor hibride:
-
Trebuie să aveți pachetul Pro pentru Cisco Webex Control Hub. (Consultați https://www.cisco.com/go/pro-pack.)
Cerințe desktop docker
Înainte de a instala nodurile HDS, aveți nevoie de Docker Desktop pentru a rula un program de configurare. Docker și-a actualizat recent modelul de licențiere. Este posibil ca organizația să necesite un abonament plătit pentru Docker Desktop. Pentru detalii, consultați postarea de pe blogul Docker, " Docker actualizează și extinde abonamentele noastre de produse".
Cerințe certificat X.509
Lanțul de certificate trebuie să îndeplinească următoarele cerințe:
Obligatoriu |
Detalii |
---|---|
|
În mod implicit, avem încredere în CA-urile din lista Mozilla (cu excepția WoSign și StartCom) la https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN nu trebuie să fie accesibil sau gazdă live. Vă recomandăm să utilizați un nume care reflectă organizația dvs., de exemplu NC nu trebuie să conțină un * (wildcard). CN este utilizat pentru a verifica nodurile de securitate a datelor hibride pentru clienții Aplicației Webex. Toate nodurile de securitate a datelor hibride din clusterul dvs. utilizează același certificat. KMS se identifică utilizând domeniul CN, nu orice domeniu definit în câmpurile SAN x.509v3. După ce ați înregistrat un nod cu acest certificat, nu acceptăm schimbarea numelui domeniului CN. Alegeți un domeniu care se poate aplica atât la implementările de testare, cât și la cele de producție. |
|
Software-ul KMS nu acceptă semnăturile SHA1 pentru validarea conexiunilor la KMS-urile altor organizații. |
|
Puteți utiliza un convertor, cum ar fi OpenSSL, pentru a schimba formatul certificatului. Va trebui să introduceți parola atunci când rulați instrumentul de configurare HDS. |
Software-ul KMS nu impune utilizarea cheii sau restricțiile extinse de utilizare a cheii. Unele autorități de certificare solicită ca restricțiile extinse de utilizare a cheii să fie aplicate fiecărui certificat, cum ar fi autentificarea pe server. Este ok să utilizați autentificarea pe server sau alte setări.
Cerințe pentru gazda virtuală
Gazdele virtuale pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. au următoarele cerințe:
-
Cel puțin două gazde separate (3 recomandată) se află în același centru de date securizat
-
VMware ESXi 6.5 (sau o versiune ulterioară) instalat și rulează.
Trebuie să efectuați upgrade dacă aveți o versiune anterioară de ESXi.
-
Minimum 4 vCPU-uri, 8 GB memorie principală, 30 GB spațiu pe hard disk local per server
Cerințe server de bază de date
Creați o nouă bază de date pentru stocarea cheilor. Nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.
Există două opțiuni pentru serverul de bază de date. Cerințele pentru fiecare dintre acestea sunt următoarele:
Parolă |
Server Microsoft SQL |
---|---|
|
|
Minimum 8 vCPU-uri, 16 GB memorie principală, spațiu suficient pe hard disk și monitorizare pentru a vă asigura că nu este depășită (se recomandă 2-TB dacă doriți să rulați baza de date pentru o lungă perioadă de timp fără a fi nevoie să creșteți spațiul de stocare) |
Minimum 8 vCPU-uri, 16 GB memorie principală, spațiu suficient pe hard disk și monitorizare pentru a vă asigura că nu este depășită (se recomandă 2-TB dacă doriți să rulați baza de date pentru o lungă perioadă de timp fără a fi nevoie să creșteți spațiul de stocare) |
Software-ul HDS instalează în prezent următoarele versiuni de drivere pentru comunicarea cu serverul de bază de date:
Parolă |
Server Microsoft SQL |
---|---|
Driver Postgres JDBC 42.2.5 |
Driver 4.6 pentru serverul SQL JDBC Această versiune de driver acceptă SQL Server activat permanent (Instanțe de cluster de reluare în caz de nereușită activată permanent și Grupuri de disponibilitate activate permanent). |
Cerințe suplimentare pentru autentificarea Windows împotriva Microsoft SQL Server
Dacă doriți ca nodurile HDS să utilizeze autentificarea Windows pentru a obține acces la baza dvs. de date keystore pe Microsoft SQL Server, atunci aveți nevoie de următoarea configurație în mediul dvs.:
-
Nodurile HDS, infrastructura Active Directory și serverul MS SQL trebuie să fie sincronizate cu NTP.
-
Contul Windows pe care îl furnizați nodurilor HDS trebuie să aibă acces de citire/scriere la baza de date.
-
Serverele DNS pe care le furnizați nodurilor HDS trebuie să poată rezolva centrul de distribuție a cheilor (KDC).
-
Puteți înregistra instanța bazei de date HDS pe serverul Microsoft SQL ca nume principal al serviciului (SPN) în Active Directory. Consultați Înscrierea unui nume principal de serviciu pentru conexiunile Kerberos.
Instrumentul de configurare HDS, lansatorul HDS și KMS local trebuie să utilizeze autentificarea Windows pentru a accesa baza de date din keystore. Aceștia utilizează detaliile din configurația ISO pentru a construi SPN atunci când solicitați acces cu autentificarea Kerberos.
Cerințe de conectivitate externă
Configurați firewall-ul pentru a permite următoarea conectivitate pentru aplicațiile HDS:
Aplicație |
Protocol |
Port |
Direcție din aplicație |
Destinație |
---|---|---|---|---|
Noduri de securitate a datelor hibride |
TCP |
443 |
HTTPS și WSS de ieșire |
|
Instrument de configurare HDS |
TCP |
443 |
HTTPS de ieșire |
|
Nodurile de securitate a datelor hibride funcționează cu traducerea accesului la rețea (NAT) sau în spatele unui firewall, atât timp cât NAT sau firewall permite conexiunile de ieșire necesare la destinațiile de domeniu din tabelul precedent. Pentru conexiunile de intrare la nodurile de securitate a datelor hibride, nu trebuie să fie vizibile porturi de pe internet. În cadrul centrului dvs. de date, clienții au nevoie de acces la nodurile de securitate a datelor hibride de pe porturile TCP 443 și 22, în scopuri administrative.
URL-urile pentru gazdele Common Identity (CI) sunt specifice regiunii. Acestea sunt gazdele CI actuale:
Regiune |
URL-uri gazdă Common Identity |
---|---|
Țările din America |
|
Uniunea Europeană |
|
Canada |
|
Cerințe server proxy
-
Acceptăm oficial următoarele soluții proxy care se pot integra cu nodurile hibride de securitate a datelor.
-
Proxy transparent - Cisco Web Security Appliance (WSA).
-
Proxy explicit - Calmar.
Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea conexiunilor websocket (wss:). Pentru a rezolva această problemă, consultați Configurați proxy-urile Squid pentru securitatea datelor hibride.
-
-
Acceptăm următoarele combinații de tip de autentificare pentru proxy-uri explicite:
-
Fără autentificare cu HTTP sau HTTPS
-
Autentificare de bază cu HTTP sau HTTPS
-
Autentificare digest numai cu HTTPS
-
-
Pentru un proxy de inspectare transparent sau un proxy explicit HTTPS, trebuie să aveți o copie a certificatului rădăcină al proxy-ului. Instrucțiunile de implementare din acest ghid vă spun cum să încărcați copia în depozitele de încredere ale nodurilor hibride de securitate a datelor.
-
Rețeaua care găzduiește nodurile HDS trebuie să fie configurată pentru a forța traficul TCP de ieșire pe portul 443 pentru a ruta prin proxy.
-
Proxy-urile care inspectează traficul web pot interfera cu conexiunile de soclu web. Dacă apare această problemă, ocolirea (nu inspectarea) traficului către
wbx2.com și ciscospark.com va rezolva
problema.
Completați cerințele preliminare pentru securitatea datelor hibride
1 |
Asigurați-vă că organizația dvs. Webex este activată pentru Pro Pack pentru Cisco Webex Control Hub și obțineți datele de autentificare ale unui cont cu drepturi de administrator complet al organizației. Contactați-vă partenerul Cisco sau managerul de cont pentru ajutor cu acest proces. |
2 |
Alegeți un nume de domeniu pentru implementarea HDS (de exemplu, |
3 |
Pregătiți gazde virtuale identice pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. Aveți nevoie de cel puțin două gazde separate (3 recomandată) care să fie co-localizate în același centru de date securizat, care să îndeplinească cerințele din Cerințele gazdei virtuale. |
4 |
Pregătiți serverul de bază de date care va acționa ca magazin de date cheie pentru cluster, în conformitate cu Cerințele serverului de bază de date. Serverul de baze de date trebuie să fie amplasat în centrul de date securizat cu gazdele virtuale. |
5 |
Pentru recuperare rapidă în caz de dezastru, configurați un mediu de rezervă într-un alt centru de date. Mediul de rezervă oglindește mediul de producție al VM-urilor și al unui server de baze de date de rezervă. De exemplu, dacă producția are 3 VM care rulează noduri HDS, mediul de rezervă trebuie să aibă 3 VM. |
6 |
Configurați o gazdă syslog pentru a colecta jurnale de la nodurile din cluster. Colectați adresa de rețea și portul syslog (implicit este UDP 514). |
7 |
Creați o politică de rezervă securizată pentru nodurile de securitate a datelor hibride, serverul de baze de date și gazda syslog. Cel puțin, pentru a preveni pierderea de date nerecuperabile, trebuie să efectuați o copie de rezervă a bazei de date și a fișierului ISO de configurare generat pentru nodurile de securitate a datelor hibride. Deoarece nodurile de securitate a datelor hibride stochează cheile utilizate la criptarea și decriptarea conținutului, nerespectarea menținerii unei implementări operaționale va duce la PIERDEREA IREVERSIBILĂ a conținutului respectiv. Clienții Aplicației Webex își ascund cheile, astfel încât este posibil ca o întrerupere să nu fie vizibilă imediat, dar va deveni evidentă în timp. În timp ce întreruperile temporare sunt imposibil de prevenit, acestea sunt recuperabile. Cu toate acestea, pierderea completă (nu sunt disponibile copii de siguranță) a bazei de date sau a fișierului ISO de configurare va avea ca rezultat date nerecuperabile ale clienților. Operatorii nodurilor de securitate a datelor hibride trebuie să mențină copii de siguranță frecvente ale bazei de date și ale fișierului ISO de configurare și să fie pregătiți să reconstruiască centrul de date de securitate a datelor hibride în cazul unei defecțiuni catastrofale. |
8 |
Asigurați-vă că configurația firewallului permite conectivitatea pentru nodurile de securitate a datelor hibride, așa cum este descris în Cerințe de conectivitate externă. |
9 |
Instalați Docker (https://www.docker.com) pe orice mașină locală care rulează un sistem de operare acceptat (Microsoft Windows 10 Professional sau Enterprise pe 64 de biți sau Mac OSX Yosemite 10.10.3 sau o versiune ulterioară) cu un browser web care îl poate accesa la http://127.0.0.1:8080. Utilizați instanța Docker pentru a descărca și rula instrumentul de configurare HDS, care generează informațiile de configurare locală pentru toate nodurile de securitate a datelor hibride. Este posibil ca organizația dvs. să aibă nevoie de o licență Docker Desktop. Consultați Cerințe desktop docker pentru mai multe informații. Pentru a instala și rula instrumentul de configurare HDS, dispozitivul local trebuie să aibă conectivitatea descrisă în Cerințe de conectivitate externă. |
10 |
Dacă integrați un proxy cu Securitatea datelor hibride, asigurați-vă că acesta îndeplinește Cerințele serverului proxy. |
11 |
Dacă organizația dvs. utilizează sincronizarea directorului, creați un grup în Active Directory numit Tastele pentru un anumit spațiu sunt setate de către creatorul spațiului. Atunci când selectați utilizatori pilot, rețineți că, dacă decideți să dezactivați permanent implementarea securității datelor hibride, toți utilizatorii vor pierde accesul la conținutul din spațiile create de utilizatorii pilot. Pierderea devine evidentă de îndată ce aplicațiile utilizatorilor reîmprospătează copiile din cache ale conținutului. |
Configurarea unui Cluster de securitate a datelor hibride
Fluxul de activități de implementare a securității datelor hibride
Înainte de a începe
1 |
Efectuați configurarea inițială și descărcați fișierele de instalare Descărcați fișierul OVA pe computerul dvs. local pentru utilizare ulterioară. |
2 |
Crearea unui ISO de configurare pentru gazdele HDS Utilizați instrumentul de configurare HDS pentru a crea un fișier de configurare ISO pentru nodurile de securitate a datelor hibride. |
3 |
Creați o mașină virtuală din fișierul OVA și efectuați configurația inițială, cum ar fi setările de rețea. Opțiunea de a configura setările de rețea în timpul implementării OVA a fost testată cu ESXi 6.5. Este posibil ca această opțiune să nu fie disponibilă în versiunile anterioare. |
4 |
Configurați VM de securitate a datelor hibride Conectați-vă la consola VM și setați acreditările de conectare. Configurați setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA. |
5 |
Încărcarea și montarea ISO de configurare HDS Configurați VM din fișierul de configurare ISO pe care l-ați creat cu instrumentul de configurare HDS. |
6 |
Configurarea nodului HDS pentru integrarea proxy Dacă mediul de rețea necesită configurație proxy, specificați tipul de proxy pe care îl veți utiliza pentru nod și adăugați certificatul proxy la magazinul de încredere, dacă este necesar. |
7 |
Înscrieți primul nod în cluster Înscrieți VM cu cloudul Cisco Webex ca nod de securitate a datelor hibride. |
8 |
Creați și înscrieți mai multe noduri Finalizați configurarea clusterului. |
9 |
Rulați o perioadă de încercare și treceți la producție (capitolul următor) Până când începeți o perioadă de încercare, nodurile dvs. generează o alarmă indicând că serviciul dvs. nu este încă activat. |
Descărcare fișiere de instalare
1 |
Conectați-vă la https://admin.webex.com, apoi faceți clic pe Servicii. |
2 |
În secțiunea Servicii hibride, găsiți cardul Securitate a datelor hibride, apoi faceți clic pe Configurare. Dacă cardul este dezactivat sau nu îl vedeți, contactați echipa de cont sau organizația parteneră. Dați-le numărul de cont și solicitați-i organizației dvs. să activeze Securitatea datelor hibride. Pentru a găsi numărul de cont, faceți clic pe rotița din dreapta sus, de lângă numele organizației dvs. De asemenea, puteți descărca OVA în orice moment din secțiunea Ajutor de pe pagina Setări . Pe cardul Securitate a datelor hibride, faceți clic pe Editați setările pentru a deschide pagina. Apoi faceți clic pe Descărcați software-ul de securitate a datelor hibride în secțiunea Ajutor . Versiunile mai vechi ale pachetului software (OVA) nu vor fi compatibile cu cele mai recente upgrade-uri de securitate a datelor hibride. Acest lucru poate duce la probleme în timpul upgrade-ului aplicației. Asigurați-vă că descărcați cea mai recentă versiune a fișierului OVA. |
3 |
Selectați Nu pentru a indica faptul că nu ați configurat încă nodul, apoi faceți clic pe Înainte. Fișierul OVA începe automat descărcarea. Salvați fișierul într-o locație de pe computerul dvs.
|
4 |
Opțional, faceți clic pe Deschidere ghid de implementare pentru a verifica dacă este disponibilă o versiune ulterioară a acestui ghid. |
Crearea unui ISO de configurare pentru gazdele HDS
Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi, utilizați ISO pentru a configura gazda de securitate a datelor hibride.
Înainte de a începe
-
Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi complete de administrator pentru organizația dvs.
Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker la pasul 5. Acest tabel oferă câteva posibile variabile de mediu:
Descriere
Variabilă
Proxy HTTP fără autentificare
_AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS fără autentificare
_AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP cu autentificare
_AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT
Proxy HTTPS cu autentificare
_AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT
-
Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier ori de câte ori efectuați modificări de configurație, cum ar fi:
-
Acreditări bază de date
-
Actualizări certificat
-
Modificări ale politicii de autorizare
-
-
Dacă intenționați să criptați conexiunile bazei de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.
1 |
La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite: În mediile FedRAMP: Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora. | ||||||||||
2 |
Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele: | ||||||||||
3 |
La solicitarea parolei, introduceți acest hash: | ||||||||||
4 |
Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite: În mediile FedRAMP: | ||||||||||
5 |
Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.:
Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”. | ||||||||||
6 |
Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală. Utilizați un browser web pentru a accesa gazda locală Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul corespunzător pentru acel cont. Instrumentul afișează apoi mesajul standard de conectare. | ||||||||||
7 |
Când vi se solicită, introduceți acreditările de conectare ale administratorului clientului Control Hub, apoi faceți clic pe Conectați-vă pentru a permite accesul la serviciile necesare pentru Securitatea datelor hibride. | ||||||||||
8 |
Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Începeți. | ||||||||||
9 |
Pe pagina Import ISO aveți aceste opțiuni:
| ||||||||||
10 |
Verificați dacă certificatul dvs. X.509 îndeplinește cerințele din Cerințele privind certificatul X.509.
| ||||||||||
11 |
Introduceți adresa bazei de date și contul pentru HDS pentru a accesa baza de date cheie: | ||||||||||
12 |
Selectați un Mod de conectare la baza de date TLS:
Când încărcați certificatul rădăcină (dacă este necesar) și faceți clic pe Continuați, instrumentul de configurare HDS testează conexiunea TLS la serverul de baze de date. Instrumentul verifică, de asemenea, semnatarul certificatului și numele de gazdă, dacă este cazul. Dacă un test nu reușește, instrumentul afișează un mesaj de eroare care descrie problema. Puteți alege dacă să ignorați eroarea și să continuați cu configurarea. (Din cauza diferențelor de conectivitate, nodurile HDS pot stabili conexiunea TLS, chiar dacă mașina instrumentului de configurare HDS nu o poate testa cu succes.) | ||||||||||
13 |
Pe pagina Jurnale de sistem, configurați serverul Syslogd: | ||||||||||
14 |
(Opțional) Puteți modifica valoarea implicită pentru unii parametri de conexiune la baza de date în Setări avansate. În general, acest parametru este singurul parametru pe care s-ar putea să îl modificați: | ||||||||||
15 |
Faceți clic pe Continuați pe ecranul Resetați parola conturilor de serviciu . Parolele conturilor de servicii au o durată de viață de nouă luni. Utilizați acest ecran când parolele se apropie de expirare sau doriți să le resetați pentru a anula fișierele ISO anterioare. | ||||||||||
16 |
Faceți clic pe Descărcați fișierul ISO. Salvați fișierul într-o locație ușor de găsit. | ||||||||||
17 |
Faceți o copie de rezervă a fișierului ISO în sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la acei administratori de securitate a datelor hibride care ar trebui să efectueze modificări de configurație. | ||||||||||
18 |
Pentru a închide instrumentul de configurare, tastați |
Ce este de făcut în continuare
Copie de rezervă a fișierului ISO de configurare. Aveți nevoie de acesta pentru a crea mai multe noduri pentru recuperare sau pentru a efectua modificări de configurație. Dacă pierdeți toate copiile fișierului ISO, ați pierdut și cheia principală. Recuperarea cheilor din baza de date PostgreSQL sau Microsoft SQL Server nu este posibilă.
Nu avem niciodată o copie a acestei chei și nu vă putem ajuta dacă o pierdeți.
Instalați gazda HDS OVA
1 |
Utilizați clientul VMware vSphere de pe computerul dvs. pentru a vă conecta la gazda virtuală ESXi. |
2 |
Selectați Fișier > Implementare șablon OVF. |
3 |
În expert, specificați locația fișierului OVA pe care l-ați descărcat mai devreme, apoi faceți clic pe Înainte. |
4 |
Pe pagina Selectați un nume și un folder , introduceți un Nume mașină virtuală pentru nod (de exemplu, „HDS_Node_1”), alegeți o locație în care poate fi găzduită implementarea nodului mașinii virtuale, apoi faceți clic pe Înainte. |
5 |
Pe pagina Selectați o resursă de calcul , alegeți resursa de calcul de destinație, apoi faceți clic pe Înainte. Se execută o verificare de validare. După ce se termină, apar detaliile șablonului. |
6 |
Verificați detaliile șablonului, apoi faceți clic pe Înainte. |
7 |
Dacă vi se solicită să alegeți configurația resursei pe pagina Configurare , faceți clic pe 4 CPU , apoi faceți clic pe Înainte. |
8 |
Pe pagina Selectați spațiul de stocare , faceți clic pe Înainte pentru a accepta formatul de disc și politica de stocare VM implicită. |
9 |
Pe pagina Selectați rețele , selectați opțiunea de rețea din lista de intrări pentru a asigura conectivitatea dorită la VM. |
10 |
Pe pagina Particularizare șablon , configurați următoarele setări de rețea:
Dacă preferați, puteți sări peste configurația setărilor de rețea și să urmați pașii din Configurați VM de securitate a datelor hibride pentru a configura setările de la consola de nod. Opțiunea de a configura setările de rețea în timpul implementării OVA a fost testată cu ESXi 6.5. Este posibil ca această opțiune să nu fie disponibilă în versiunile anterioare. |
11 |
Faceți clic dreapta pe VM nod, apoi alegeți .Software-ul de securitate a datelor hibride este instalat ca invitat pe gazda VM. Acum sunteți gata să vă conectați la consolă și să configurați nodul. Sfaturi de depanare Este posibil să întâmpinați o întârziere de câteva minute înainte de apariția containerelor nodului. În timpul primei boot-ări, apare un mesaj firewall de punte pe consolă, în timpul căruia nu vă puteți conecta. |
Configurați VM de securitate a datelor hibride
Utilizați această procedură pentru a vă conecta pentru prima dată la consola VM a nodului de securitate a datelor hibride și a seta acreditările de conectare. De asemenea, puteți utiliza consola pentru a configura setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.
1 |
În clientul VMware vSphere, selectați VM nodul de securitate a datelor hibride și selectați fila Consolă . VM pornește și apare o solicitare de conectare. Dacă mesajul de conectare nu se afișează, apăsați Enter.
|
2 |
Utilizați următoarele date de conectare și parolă implicite pentru a vă conecta și a modifica datele de autentificare: Din moment ce vă conectați pentru prima dată la VM, trebuie să schimbați parola de administrator. |
3 |
Dacă ați configurat deja setările de rețea în Instalați OVA gazdă HDS, omiteți restul acestei proceduri. În caz contrar, selectați opțiunea Editare configurație din meniul principal. |
4 |
Configurați o configurație statică cu informații despre adresa IP, mască, gateway și DNS. Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat. |
5 |
(Opțional) Schimbați numele de gazdă, domeniul sau serverul(serverele) NTP, dacă este necesar pentru a corespunde politicii dvs. de rețea. Nu este necesar să setați domeniul ca să corespundă domeniului pe care l-ați utilizat pentru a obține certificatul X.509. |
6 |
Salvați configurația de rețea și reporniți VM pentru ca modificările să aibă efect. |
Încărcarea și montarea ISO de configurare HDS
Înainte de a începe
Deoarece fișierul ISO deține cheia principală, acesta ar trebui să fie expus numai pe baza necesității de a cunoaște, pentru accesul VM-urilor de securitate a datelor hibride și al oricăror administratori care ar putea fi nevoiți să facă modificări. Asigurați-vă că numai acei administratori pot accesa dataStore.
1 |
Încărcați fișierul ISO de pe computerul dvs.: |
2 |
Montează fișierul ISO: |
Ce este de făcut în continuare
Dacă politica IT solicită, puteți, opțional, să demontați fișierul ISO după ce toate nodurile preiau modificările de configurație. Consultați (Opțional) Demontați ISO după configurarea HDS pentru detalii.
Configurarea nodului HDS pentru integrarea proxy
Dacă mediul de rețea necesită un proxy, utilizați această procedură pentru a specifica tipul de proxy pe care doriți să îl integrați cu Securitatea datelor hibride. Dacă alegeți un proxy de inspectare transparent sau un proxy explicit HTTPS, puteți utiliza interfața nodului pentru a încărca și instala certificatul rădăcină. De asemenea, puteți verifica conexiunea proxy din interfață și puteți depana orice probleme potențiale.
Înainte de a începe
-
Consultați Suport proxy pentru o prezentare generală a opțiunilor proxy acceptate.
1 |
Introduceți URL-ul de configurare a nodului HDS |
2 |
Accesați Trust Store & Proxy, apoi alegeți o opțiune:
Urmați pașii următori pentru un proxy de inspectare transparent, un proxy explicit HTTP cu autentificare de bază sau un proxy explicit HTTPS. |
3 |
Faceți clic pe Încărcare certificat rădăcină sau certificat de entitate de sfârșit , apoi navigați la o alegeți certificatul rădăcină pentruproxy. Certificatul este încărcat, dar nu este încă instalat, deoarece trebuie să reporniți nodul pentru a instala certificatul. Faceți clic pe săgeata ghilimelei unghiulare de numele emitentului certificatului pentru a obține mai multe detalii sau faceți clic pe Ștergere dacă ați făcut o greșeală și doriți să reîncărcați fișierul. |
4 |
Faceți clic pe Verificare conexiune proxy pentru a testa conectivitatea la rețea între nod și proxy. Dacă testul de conexiune nu reușește, veți vedea un mesaj de eroare care arată motivul și modul în care puteți corecta problema. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a reușit, nodul nu a reușit să ajungă la serverul DNS. Această condiție este de așteptat în multe configurații proxy explicite. Puteți continua configurarea, iar nodul va funcționa în modul Rezoluție DNS externă blocată. Dacă considerați că aceasta este o eroare, parcurgeți acești pași și apoi consultați Dezactivare mod rezoluție DNS externă blocată. |
5 |
După ce trece testul de conexiune, pentru proxy explicit setat la https numai, activați comutatorul pentru a ruta toate port 443/444 https solicitările de la acest nod prin proxy explicit. Această setare necesită 15 secunde pentru a intra în vigoare. |
6 |
Faceți clic pe Instalare toate certificatele în Depozitul de încredere (apare pentru un proxy explicit HTTPS sau un proxy de inspectare transparent) sau pe Repornire (apare pentru un proxy explicit HTTP), citiți solicitarea, apoi faceți clic pe Instalare dacă sunteți gata. Nodul repornește în câteva minute. |
7 |
După repornirea nodului, conectați-vă din nou, dacă este necesar, apoi deschideți pagina Prezentare generală pentru a verifica verificările de conectivitate pentru a vă asigura că toate sunt în stare verde. Verificarea conexiunii proxy testează numai un subdomeniu de webex.com. Dacă există probleme de conectivitate, o problemă comună este că unele dintre domeniile cloud listate în instrucțiunile de instalare sunt blocate la proxy. |
Înscrieți primul nod în cluster
Când înscrieți primul nod, creați un cluster căruia îi este atribuit nodul. Un cluster conține unul sau mai multe noduri implementate pentru a asigura redundanța.
Înainte de a începe
-
După ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți din nou.
-
Asigurați-vă că orice blocare a ferestrelor pop-up din browser este dezactivată sau că permiteți o excepție pentru admin.webex.com.
1 |
Conectați-vă la https://admin.webex.com. |
2 |
Din meniul din partea stângă a ecranului, selectați Servicii. |
3 |
În secțiunea Servicii hibride, găsiți Securitatea datelor hibride și faceți clic pe Configurare. Apare pagina Nod de securitate a datelor hibride înregistrare.
|
4 |
Selectați Da pentru a indica faptul că ați configurat nodul și sunteți gata să îl înscrieți, apoi faceți clic pe Înainte. |
5 |
În primul câmp, introduceți un nume pentru clusterul căruia doriți să îi atribuiți nodul de securitate a datelor hibride. Vă recomandăm să denumiți un cluster în funcție de locul geografic în care se află nodurile clusterului. Exemple: "San Francisco" sau "New York" sau "Dallas" |
6 |
În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Înainte. Această adresă IP sau FQDN trebuie să corespundă adresei IP sau numelui gazdei și domeniului pe care le-ați utilizat în Configurați VM de securitate a datelor hibride. Apare un mesaj care indică faptul că vă puteți înscrie nodul în Webex.
|
7 |
Faceți clic pe Accesați nodul. |
8 |
Faceți clic pe Continuați în mesajul de avertizare. După câteva momente, veți fi redirecționat(ă) către testele de conectivitate a nodului pentru serviciile Webex. Dacă toate testele sunt reușite, apare pagina Permiteți accesul la Nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați organizației dvs. Webex permisiuni pentru a vă accesa nodul.
|
9 |
Bifați caseta de selectare Permiteți accesul la nodul de securitate a datelor hibride , apoi faceți clic pe Continuați. Contul dvs. este validat, iar mesajul „Înscriere finalizată” indică faptul că nodul dvs. este acum înscris în cloudul Webex.
|
10 |
Faceți clic pe link sau închideți fila pentru a reveni la pagina Securitate date hibride din Control Hub. Pe pagina Securitatea datelor hibride este afișat noul cluster care conține nodul pe care l-ați înscris. Nodul va descărca automat cel mai recent software din cloud.
|
Creați și înscrieți mai multe noduri
În acest moment, VM-urile de rezervă pe care le-ați creat în Finalizați cerințele preliminare pentru securitatea datelor hibride sunt gazde în așteptare care sunt utilizate numai în cazul recuperării după dezastru; acestea nu sunt înregistrate în sistem până atunci. Pentru detalii, consultați Recuperarea după dezastru utilizând centrul de date în așteptare.
Înainte de a începe
-
După ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți din nou.
-
Asigurați-vă că orice blocare a ferestrelor pop-up din browser este dezactivată sau că permiteți o excepție pentru admin.webex.com.
1 |
Creați o nouă mașină virtuală din OVA, repetând pașii din Instalați OVA gazdă HDS. |
2 |
Configurați configurația inițială pe noul VM, repetând pașii din Configurați VM de securitate a datelor hibride. |
3 |
Pe noul VM, repetați pașii din Încărcarea și montarea ISO de configurare HDS. |
4 |
Dacă configurați un proxy pentru implementarea dvs., repetați pașii din Configurați nodul HDS pentru integrarea proxy după cum este necesar pentru nodul nou. |
5 |
Înscrieți nodul. Nodul dvs. este înregistrat. Rețineți că, până când începeți o perioadă de încercare, nodurile dvs. generează o alarmă indicând că serviciul dvs. nu este încă activat.
|
Ce este de făcut în continuare
Rulați o perioadă de încercare și treceți la producție
Proces până la fluxul de activități de producție
După ce configurați un cluster de securitate a datelor hibride, puteți să porniți un pilot, să adăugați utilizatori la acesta și să începeți să îl utilizați pentru testarea și verificarea implementării, în vederea trecerii la producție.
Înainte de a începe
1 |
Dacă este cazul, sincronizați obiectul de grup Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați obiectul de grup |
2 |
Activare perioadă de încercare Începeți o perioadă de încercare. Până când nu efectuați această sarcină, nodurile dvs. generează o alarmă indicând că serviciul nu este încă activat. |
3 |
Testați implementarea securității datelor hibride Verificați dacă solicitările cheie sunt transmise la implementarea securității datelor hibride. |
4 |
Monitorizați Securitatea datelor hibride Verificați starea și configurați notificările prin e-mail pentru alarme. |
5 |
Adăugarea sau eliminarea utilizatorilor din perioada dvs. de probă |
6 |
Finalizați faza de încercare cu una dintre următoarele acțiuni: |
Activare perioadă de încercare
Înainte de a începe
Dacă organizația dvs. utilizează sincronizarea directorului pentru utilizatori, trebuie să selectați obiectul de grup HdsTrialGroup
pentru sincronizare în cloud înainte de a putea începe o perioadă de încercare pentru organizația dvs. Pentru instrucțiuni, consultați Ghidul de implementare pentru Cisco Directory Connector.
1 |
Conectați-vă la https://admin.webex.com, apoi selectați Servicii. |
2 |
În secțiunea Securitatea datelor hibride, faceți clic pe Setări. |
3 |
În secțiunea Stare serviciu, faceți clic pe Inițiere perioadă de încercare. Starea serviciului se modifică în modul probă.
|
4 |
Faceți clic pe Adăugați utilizatori și introduceți adresa de e-mail a unuia sau mai multor utilizatori pentru a utiliza nodurile dvs. de securitate a datelor hibride pentru serviciile de criptare și indexare. (Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory pentru a gestiona grupul de încercare, |
Testați implementarea securității datelor hibride
Înainte de a începe
-
Configurați implementarea securității datelor hibride.
-
Activați perioada de încercare și adăugați mai mulți utilizatori de încercare.
-
Asigurați-vă că aveți acces la syslog pentru a verifica dacă solicitările cheie sunt transmise la implementarea securității datelor hibride.
1 |
Tastele pentru un anumit spațiu sunt setate de către creatorul spațiului. Conectați-vă la Aplicația Webex ca unul dintre utilizatorii pilot, apoi creați un spațiu și invitați cel puțin un utilizator pilot și un utilizator non-pilot. Dacă dezactivați implementarea securității datelor hibride, conținutul din spațiile create de utilizatorii pilot nu mai este accesibil odată ce copiile din memoria cache a cheilor de criptare sunt înlocuite. |
2 |
Trimiteți mesaje către noul spațiu. |
3 |
Verificați ieșirea syslog pentru a verifica dacă solicitările cheie sunt transmise la implementarea securității datelor hibride. |
Monitorizați Securitatea datelor hibride
1 |
În Control Hub, selectați Servicii din meniul din partea stângă a ecranului. |
2 |
În secțiunea Servicii hibride, găsiți Securitatea datelor hibride și faceți clic pe Setări. Apare pagina Setări de securitate a datelor hibride.
|
3 |
În secțiunea Notificări prin e-mail, introduceți una sau mai multe adrese de e-mail separate prin virgule și apăsați Enter. |
Adăugarea sau eliminarea utilizatorilor din perioada dvs. de probă
Dacă eliminați un utilizator din probă, clientul utilizatorului va solicita cheile și crearea cheilor din cloud KMS în locul KMS-ului dvs. Dacă clientul are nevoie de o cheie care este stocată în KMS, KMS în cloud o va prelua în numele utilizatorului.
Dacă organizația dvs. utilizează sincronizarea directorului, utilizați Active Directory (în locul acestei proceduri) pentru a gestiona grupul de încercare, HdsTrialGroup
; puteți vizualiza membrii grupului în Control Hub, dar nu îi puteți adăuga sau elimina.
1 |
Conectați-vă la Control Hub, apoi selectați Servicii. |
2 |
În secțiunea Securitatea datelor hibride, faceți clic pe Setări. |
3 |
În secțiunea Mod probă din zona Stare serviciu, faceți clic pe Adăugare utilizatori sau faceți clic pe Vizualizare și editare pentru a elimina utilizatorii din probă. |
4 |
Introduceți adresa de e-mail a unuia sau mai multor utilizatori de adăugat sau faceți clic pe X lângă un ID de utilizator pentru a elimina utilizatorul din probă. Apoi faceți clic pe Salvare. |
Treceți de la perioada de probă la cea de producție
1 |
Conectați-vă la Control Hub, apoi selectați Servicii. |
2 |
În secțiunea Securitatea datelor hibride, faceți clic pe Setări. |
3 |
În secțiunea Stare serviciu, faceți clic pe Mutați la producție. |
4 |
Confirmați că doriți să mutați toți utilizatorii în producție. |
Încheiați perioada de încercare fără a trece la producție
1 |
Conectați-vă la Control Hub, apoi selectați Servicii. |
2 |
În secțiunea Securitatea datelor hibride, faceți clic pe Setări. |
3 |
În secțiunea Dezactivare, faceți clic pe Dezactivare. |
4 |
Confirmați că doriți să dezactivați serviciul și să încheiați perioada de încercare. |
Gestionați implementarea HDS
Gestionați implementarea HDS
Utilizați sarcinile descrise aici pentru a gestiona implementarea securității datelor hibride.
Setați programarea upgrade-ului clusterului
Pentru a seta programul de upgrade:
1 |
Conectați-vă la Control Hub. |
2 |
În pagina Prezentare generală, sub Servicii hibride, selectați Securitatea datelor hibride. |
3 |
Pe pagina Resurse de securitate a datelor hibride, selectați clusterul. |
4 |
În panoul Prezentare generală din dreapta, sub Setări cluster, selectați numele clusterului. |
5 |
În pagina Setări, sub Upgrade, selectați ora și fusul orar pentru programarea upgrade-ului. Notă: În fusul orar se afișează următoarea dată și oră de upgrade disponibile. Puteți amâna upgrade-ul până în ziua următoare, dacă este necesar, făcând clic pe Amânare. |
Modificați configurația nodului
-
Modificarea certificatelor x.509 din cauza expirării sau din alte motive.
Nu acceptăm schimbarea numelui de domeniu CN al unui certificat. Domeniul trebuie să se potrivească cu domeniul inițial utilizat pentru înregistrarea clusterului.
-
Actualizarea setărilor bazei de date pentru a trece la o replică a bazei de date PostgreSQL sau Microsoft SQL Server.
Nu acceptăm migrarea datelor de la PostgreSQL la Microsoft SQL Server sau invers. Pentru a schimba mediul bazei de date, începeți o nouă implementare a Hybrid Data Security.
-
Crearea unei noi configurații pentru a pregăti un nou centru de date.
De asemenea, în scopuri de securitate, Hybrid Data Security utilizează parole de cont de serviciu care au o durată de viață de nouă luni. După ce instrumentul de instalare HDS generează aceste parole, le implementați la fiecare dintre nodurile HDS în fișierul de configurare ISO. Când parolele organizației se apropie de expirare, primiți o notificare de la echipa Webex pentru a reseta parola pentru contul dvs. (E-mailul include textul „Utilizați API-ul contului de mașină pentru a actualiza parola.”) Dacă parolele nu au expirat încă, instrumentul vă oferă două opțiuni:
-
Resetare ușoară—Parolele vechi și cele noi funcționează timp de până la 10 zile. Folosiți această perioadă pentru a înlocui treptat fișierul ISO pe noduri.
-
Resetare forțată—Parolele vechi nu mai funcționează imediat.
Dacă parolele dvs. expiră fără resetare, acest lucru va afecta serviciul HDS, necesitând o resetare hardware imediată și înlocuirea fișierului ISO pe toate nodurile.
Utilizați această procedură pentru a genera un nou fișier ISO de configurare și pentru a-l aplica clusterului dvs.
Înainte de a începe
-
Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi complete de administrator pentru organizația dvs.
Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker în 1.e. Acest tabel oferă câteva posibile variabile de mediu:
Descriere
Variabilă
Proxy HTTP fără autentificare
_AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS fără autentificare
_AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT
Proxy HTTP cu autentificare
_AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT
Proxy HTTPS cu autentificare
_AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT
-
Aveți nevoie de o copie a fișierului ISO de configurare curent pentru a genera o nouă configurație. ISO conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de ISO când faceți modificări de configurare, inclusiv acreditările bazei de date, actualizări de certificate sau modificări ale politicii de autorizare.
1 |
Folosind Docker pe o mașină locală, rulați Instrumentul de configurare HDS. |
2 |
Dacă aveți un singur nod HDS care rulează, creați un nou VM nod de securitate a datelor hibride și înregistrați-l utilizând noul fișier ISO de configurare. Pentru instrucțiuni mai detaliate, consultați Creați și înscrieți mai multe noduri. |
3 |
Pentru nodurile HDS existente care rulează fișierul de configurare mai vechi, montați fișierul ISO. Efectuați următoarea procedură pe fiecare nod pe rând, actualizând fiecare nod înainte de a opri următorul nod: |
4 |
Repetați pasul 3 pentru a înlocui configurația pe fiecare nod rămas care rulează configurația veche. |
Dezactivarea modului de rezoluție DNS extern blocat
Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează căutarea DNS și conectivitatea la cloud-ul Cisco Webex. Dacă serverul DNS al nodului nu poate rezolva numele DNS publice, nodul intră automat în modul Rezoluție DNS externă blocată.
Dacă nodurile sunt capabile să rezolve numele DNS publice prin serverele DNS interne, puteți dezactiva acest mod prin reluarea testului de conexiune proxy pe fiecare nod.
Înainte de a începe
1 |
Într-un browser web, deschideți interfața nodului Hibrid Data Security (adresa IP/configurare, de exemplu, https://192.0.2.0/setup), introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare. |
2 |
Accesați Prezentare generală (pagina implicită). Când este activată, Rezoluția DNS externă blocată este setată la Da. |
3 |
Accesați pagina Trust Store & Proxy. |
4 |
Faceți clic pe Verificare conexiune proxy. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a avut succes, nodul nu a reușit să ajungă la serverul DNS și va rămâne în acest mod. În caz contrar, după ce reporniți nodul și reveniți la pagina Prezentare generală, Rezoluția DNS externă blocată ar trebui să fie setată la nu. |
Ce trebuie să faceți în continuare
Eliminați un nod
1 |
Utilizați clientul VMware vSphere de pe computerul dvs. pentru a vă conecta la gazda virtuală ESXi și pentru a porni mașina virtuală. |
2 |
Eliminați nodul: |
3 |
În clientul vSphere, ștergeți VM. (În panoul de navigare din stânga, faceți clic dreapta pe VM și faceți clic pe Ștergere.) Dacă nu ștergeți VM, nu uitați să demontați fișierul ISO de configurare. Fără fișierul ISO, nu puteți utiliza VM pentru a accesa datele de securitate. |
Recuperarea după dezastru utilizând centrul de date în așteptare
Cel mai critic serviciu pe care clusterul dvs. de securitate a datelor hibride îl oferă este crearea și stocarea cheilor utilizate pentru a cripta mesajele și alt conținut stocat în cloudul Webex. Pentru fiecare utilizator din organizație care este atribuit Securitatea datelor hibride, noile solicitări de creare a cheii sunt direcționate către cluster. Clusterul este, de asemenea, responsabil pentru returnarea cheilor pe care le-a creat oricărui utilizator autorizat să le recupereze, de exemplu, membrilor unui spațiu de conversație.
Deoarece clusterul îndeplinește funcția critică de furnizare a acestor chei, este imperativ ca clusterul să rămână în funcțiune și să fie menținute copiile de rezervă corespunzătoare. Pierderea bazei de date hibride de securitate a datelor sau a ISO-ului de configurare utilizat pentru schemă va duce la PIERDEREA IREVERSIBILĂ a conținutului clientului. Pentru a preveni o astfel de pierdere sunt obligatorii următoarele practici:
Dacă un dezastru face ca implementarea HDS în centrul de date principal să devină indisponibilă, urmați această procedură pentru a trece manual la centrul de date în așteptare.
1 |
Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS. |
2 |
După configurarea serverului Syslogd, faceți clic pe Setări avansate |
3 |
Pe pagina Setări avansate , adăugați configurația de mai jos sau eliminați configurația
|
4 |
Finalizați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit. |
5 |
Faceți o copie de rezervă a fișierului ISO în sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la acei administratori de securitate a datelor hibride care ar trebui să efectueze modificări de configurație. |
6 |
În panoul de navigare stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editare setări.. |
7 |
Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Datastore ISO File. Asigurați-vă că sunt bifate opțiunile Conectat și Conectare la pornire , astfel încât modificările actualizate ale configurației să poată intra în vigoare după pornirea nodurilor. |
8 |
Porniți nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute. |
9 |
Repetați procesul pentru fiecare nod din centrul de date în așteptare. Verificați ieșirea syslog pentru a verifica dacă nodurile centrului de date în așteptare nu sunt în modul pasiv. „KMS configurat în modul pasiv” nu trebuie să apară în syslogs. |
Ce este de făcut în continuare
(Opțional) Demontați ISO după configurarea HDS
Configurația standard HDS rulează cu ISO montat. Dar, unii clienți preferă să nu lase fișierele ISO montate continuu. Puteți demonta fișierul ISO după ce toate nodurile HDS preiau noua configurație.
Încă utilizați fișierele ISO pentru a efectua modificări de configurație. Când creați un nou ISO sau actualizați un ISO prin intermediul instrumentului de configurare, trebuie să montați ISO actualizat pe toate nodurile HDS. După ce toate nodurile au preluat modificările de configurație, puteți demonta din nou ISO cu această procedură.
Înainte de a începe
Efectuați upgrade pentru toate nodurile HDS la versiunea 2021.01.22.4720 sau la o versiune ulterioară.
1 |
Închideți unul dintre nodurile HDS. |
2 |
În dispozitivul vCenter Server, selectați nodul HDS. |
3 |
Alegeți Datastore ISO File. și debifați |
4 |
Porniți nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 20 de minute. |
5 |
Repetați la rând pentru fiecare nod HDS. |
Soluționați problemele privind securitatea datelor hibride
Vizualizați alertele și soluționarea problemelor
O implementare de securitate a datelor hibride este considerată indisponibilă dacă toate nodurile din cluster sunt inaccesibile sau clusterul funcționează atât de lent încât necesită timp liber. Dacă utilizatorii nu pot contacta Clusterul dvs. de securitate a datelor hibride, vor prezenta următoarele simptome:
-
Nu se pot crea spații noi (nu se pot crea chei noi)
-
Mesajele și titlurile spațiului nu au putut fi decriptate pentru:
-
Utilizatori noi adăugați într-un spațiu (nu se pot prelua cheile)
-
Utilizatori existenți într-un spațiu utilizând un client nou (nu se pot prelua cheile)
-
-
Utilizatorii existenți dintr-un spațiu vor continua să ruleze cu succes atât timp cât clienții lor au o memorie cache a cheilor de criptare
Este important să monitorizați în mod corespunzător clusterul de securitate a datelor hibride și să abordați prompt orice alerte pentru a evita întreruperea serviciului.
Alerte
Dacă există o problemă cu configurarea securității datelor hibride, Control Hub afișează alerte administratorului organizației și trimite e-mailuri la adresa de e-mail configurată. Alertele acoperă multe scenarii comune.
Alertă |
Acțiune |
---|---|
Eroare de acces la baza de date locală. |
Verificați dacă există erori la baza de date sau probleme de rețea locală. |
Eroare de conexiune la baza de date locală. |
Verificați dacă serverul bazei de date este disponibil și dacă s-au utilizat datele de autentificare corecte la contul de serviciu în configurarea nodului. |
Acces nereușit la serviciul cloud. |
Verificați dacă nodurile pot accesa serverele Webex, conform specificațiilor din Cerințe de conectivitate externă. |
Se reînnoiește înscrierea la serviciul cloud. |
Înscrierea la serviciile cloud a fost abandonată. Înregistrarea este în curs de reînnoire. |
Înscrierea la serviciul cloud a scăzut. |
Înscrierea la serviciile cloud a fost încheiată. Serviciul se oprește. |
Serviciul nu a fost încă activat. |
Activați o versiune de încercare sau finalizați mutarea versiunii de încercare la producție. |
Domeniul configurat nu corespunde certificatului serverului. |
Asigurați-vă că certificatul dvs. de server corespunde domeniului de activare a serviciului configurat. Cauza cea mai probabilă este că certificatul NC a fost modificat recent și este acum diferit de cel utilizat în timpul configurării inițiale. |
Nu s-a reușit autentificarea la serviciile cloud. |
Verificați acuratețea și posibila expirare a acreditărilor contului de serviciu. |
Nu s-a reușit deschiderea fișierului de keystore local. |
Verificați integritatea și acuratețea parolei în fișierul de keystore local. |
Certificatul serverului local nu este valid. |
Verificați data de expirare a certificatului serverului și confirmați că acesta a fost emis de o autoritate de certificare de încredere. |
Nu se pot publica măsurătorile. |
Verificați accesul rețelei locale la serviciile externe din cloud. |
Directorul /media/configdrive/hds nu există. |
Verificați configurația de montare ISO pe gazda virtuală. Verificați dacă fișierul ISO există, dacă este configurat pentru montare la repornire și dacă se montează cu succes. |
Soluționați problemele privind securitatea datelor hibride
1 |
Consultați Control Hub pentru orice alerte și remediați orice elemente pe care le găsiți acolo. |
2 |
Revizuiți ieșirea serverului syslog pentru activitatea din implementarea securității datelor hibride. |
3 |
Contactați asistența Cisco. |
Alte note
Probleme cunoscute privind securitatea datelor hibride
-
Dacă închideți clusterul de securitate a datelor hibride (prin ștergerea acestuia din Control Hub sau prin închiderea tuturor nodurilor), pierdeți fișierul ISO de configurare sau pierdeți accesul la baza de date a magazinului de chei, utilizatorii Aplicației Webex nu vor mai putea utiliza spațiile din lista lor de persoane care au fost create cu chei din KMS. Acest lucru este valabil atât pentru implementările în testare, cât și pentru cele în producție. Nu avem în prezent o soluție sau o soluție pentru această problemă și vă încurajăm să nu închideți serviciile dvs. HDS odată ce acestea gestionează conturile de utilizator active.
-
Un client care are o conexiune ECDH existentă la un KMS menține această conexiune pentru o perioadă de timp (probabil o oră). Când un utilizator devine membru al unei perioade de încercare de securitate a datelor hibride, clientul utilizatorului continuă să utilizeze conexiunea ECDH existentă până când se oprește. În mod alternativ, utilizatorul se poate deconecta și se poate reconecta la aplicația Webex pentru a actualiza locația contactată de aplicație pentru cheile de criptare.
Același comportament apare atunci când mutați o perioadă de încercare în producție pentru organizație. Toți utilizatorii care nu sunt în perioada de probă și care au conexiuni ECDH existente la serviciile anterioare de securitate a datelor vor continua să utilizeze aceste servicii până când conexiunea ECDH este renegociată (prin expirare sau prin deconectare și reconectare).
Utilizați OpenSSL pentru a genera un fișier PKCS12
Înainte de a începe
-
OpenSSL este un instrument care poate fi utilizat pentru a face fișierul PKCS12 în formatul corect pentru încărcarea în instrumentul de configurare HDS. Există și alte modalități de a face acest lucru, iar noi nu sprijinim sau promovăm într-un mod mai presus de altul.
-
Dacă alegeți să utilizați OpenSSL, vă oferim această procedură ca ghid pentru a vă ajuta să creați un fișier care îndeplinește cerințele de certificat X.509 din Cerințele de certificat X.509. Înțelegeți aceste cerințe înainte de a continua.
-
Instalați OpenSSL într-un mediu acceptat. Consultați https://www.openssl.org pentru software și documentație.
-
Creați o cheie privată.
-
Inițiați această procedură atunci când primiți certificatul de server de la Certificate Authority (CA).
1 |
Când primiți certificatul de server de la CA, salvați-l ca |
2 |
Afișați certificatul ca text și verificați detaliile.
|
3 |
Utilizați un editor de text pentru a crea un fișier pachet de certificate numit
|
4 |
Creați fișierul .p12 cu numele prietenos
|
5 |
Verificați detaliile certificatului serverului. |
Ce este de făcut în continuare
Reveniți la Finalizați cerințele preliminare pentru securitatea datelor hibride. Veți utiliza fișierul hdsnode.p12
și parola pe care ați setat-o pentru acesta în Creați o configurație ISO pentru gazdele HDS.
Puteți reutiliza aceste fișiere pentru a solicita un nou certificat atunci când certificatul original expiră.
Trafic între nodurile HDS și cloud
Trafic de colectare a măsurătorilor de ieșire
Nodurile de securitate a datelor hibride trimit anumite măsurători în cloudul Webex. Printre acestea se numără măsurătorile de sistem privind numărul maxim de cadre, efectivul de cadre utilizate, sarcina procesorului și numărul de fire de execuție; măsurătorile privind șirurile sincronizate și asincrone; măsurătorile privind alertele care implică un prag de conexiuni de criptare, o latență sau o lungime a cozii de apeluri; măsurătorile privind baza de date și măsurătorile privind conexiunile de criptare. Nodurile trimit material cheie criptat printr-un canal în afara benzii (separat de solicitare).
Trafic de intrare
Nodurile de securitate a datelor hibride primesc următoarele tipuri de trafic de intrare din cloudul Webex:
-
Solicitări de criptare de la clienți, care sunt rutate de serviciul de criptare
-
Upgrade-uri la software-ul nodului
Configurarea proxy-urilor Squid pentru securitatea datelor hibride
Websocket nu se poate conecta prin Squid Proxy
Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea conexiunilor websocket (wss:
) pe care Securitatea datelor hibride le necesită. Aceste secțiuni oferă îndrumări despre cum să configurați diferite versiuni de Squid pentru a ignora wss:
traficul pentru funcționarea corespunzătoare a serviciilor.
Calmar 4 și 5
Adăugați on_unsupported_protocol
directiva la squid.conf
:
on_unsupported_protocol tunel toate
Calmar 3.5.27
Am testat cu succes Securitatea datelor hibride cu următoarele reguli adăugate la squid.conf
. Aceste reguli pot fi modificate pe măsură ce dezvoltăm caracteristici și actualizăm cloud-ul Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 toate ssl_bump stare step2 toate ssl_bump bump3 toate