Ghid de implementare pentru securitatea datelor hibridă cu mai mulți chiriași (HDS) (Beta)

Informații noi și modificate

Acest tabel acoperă noile funcții sau funcționalități, modificările conținutului existent și orice erori majore care au fost remediate în Ghidul de implementare pentru securitatea datelor hibride cu entități găzduite multiple.

Dată	Modificări efectuate
13 decembrie 2024	Prima versiune.

Dezactivați securitatea datelor hibride cu entități găzduite multiple

Fluxul de activități pentru dezactivarea HDS cu entități găzduite multiple

Urmați acești pași pentru a dezactiva complet HDS cu entități găzduite multiple.

Înainte de a începe

Această sarcină trebuie efectuată numai de un administrator complet pentru partener.

1	Eliminați toți clienții din toate clusterele dvs., după cum este menționat în Eliminați organizațiile entității găzduite.
2	Revocați CMK-urile tuturor clienților, după cum se menționează în Revocați CMK-urile entităților găzduite eliminate din HDS..
3	Eliminați toate nodurile din toate clusterele dvs., așa cum este menționat în Eliminați un nod.
4	Ștergeți toate clusterele din Partner Hub utilizând una dintre următoarele două metode. Faceți clic pe clusterul pe care doriți să îl ștergeți și selectați Ștergeți acest cluster din colțul din dreapta sus al paginii de prezentare generală. În pagina Resurse, faceți clic… pe partea dreaptă a unui cluster și selectați Eliminare cluster.
5	Faceți clic pe fila Setări din pagina de prezentare generală a securității datelor hibride și faceți clic pe Dezactivare HDS pe cardul de stare HDS.

Începeți cu Securitatea datelor hibride cu entități găzduite multiple

Prezentare generală a securității datelor hibride cu entități găzduite multiple

Încă din prima zi, securitatea datelor a fost accentul principal în proiectarea Aplicației Webex. Piatra de temelie a acestei securități este criptarea conținutului end-to-end, activată de clienții Aplicației Webex care interacționează cu Key Management Service (KMS). KMS este responsabil pentru crearea și gestionarea cheilor criptografice pe care clienții le utilizează pentru a cripta și decripta dinamic mesajele și fișierele.

În mod implicit, toți clienții Aplicației Webex primesc criptarea end-to-end cu cheile dinamice stocate în cloud KMS, în domeniul securității Cisco. Hybrid Data Security mută KMS și alte funcții legate de securitate în centrul de date al întreprinderii dvs., deci nimeni în afară de dvs. nu deține cheile conținutului dvs. criptat.

Securitatea datelor hibride cu entități găzduite multiple permite organizațiilor să utilizeze HDS prin intermediul unui partener local de încredere, care poate acționa ca furnizor de servicii și poate gestiona criptarea locală și alte servicii de securitate. Această configurație permite organizației partenere să aibă control complet asupra implementării și gestionării cheilor de criptare și garantează că datele de utilizator ale organizațiilor client sunt în siguranță împotriva accesului extern. Organizațiile partenere configurează instanțele HDS și creează clustere HDS după cum este necesar. Fiecare instanță poate accepta mai multe organizații ale clienților, spre deosebire de o implementare HDS obișnuită, care este limitată la o singură organizație.

Deși organizațiile partenere au control asupra implementării și gestionării, acestea nu au acces la datele și conținutul generate de clienți. Acest acces este limitat la organizațiile clienților și la utilizatorii acestora.

Acest lucru permite, de asemenea, organizațiilor mai mici să profite de HDS, deoarece serviciile de gestionare a cheilor și infrastructura de securitate, cum ar fi centrele de date, sunt deținute de partenerul local de încredere.

Modul în care securitatea datelor hibride cu entități găzduite multiple oferă suveranitatea și controlul datelor

Conținutul generat de utilizatori este protejat împotriva accesului extern, cum ar fi furnizorii de servicii în cloud.
Partenerii locali de încredere gestionează cheile de criptare ale clienților cu care au deja o relație stabilită.
Opțiunea de asistență tehnică locală, dacă aceasta este furnizată de partener.
Acceptă conținut pentru întâlniri, mesagerie și apeluri.

Acest document are scopul de a ajuta organizațiile partenere să configureze și să gestioneze clienții într-un sistem de securitate a datelor hibride cu entități găzduite multiple.

Roluri în securitatea datelor hibride cu entități găzduite multiple

Administrator complet pentru partener - Poate gestiona setările pentru toți clienții pe care partenerul îi administrează. De asemenea, poate aloca roluri de administrator utilizatorilor existenți în organizație și poate aloca anumiți clienți care urmează să fie gestionați de administratorii partenerilor.
Administrator partener - Poate gestiona setările pentru clienții pe care administratorul i-a asigurat sau care au fost alocați utilizatorului.
Administrator cu drepturi depline - Administrator al organizației partenere care este autorizat să efectueze sarcini precum modificarea setărilor organizației, gestionarea licențelor și atribuirea rolurilor.

Configurarea integrală a HDS cu entități găzduite multiple și gestionarea tuturor organizațiilor clienților - Sunt necesare drepturi de administrator complet pentru partener și drepturi de administrator complet.
Gestionarea organizațiilor de entități găzduite alocate - Sunt necesare drepturile de administrator partener și de administrator cu drepturi depline.

Arhitectura domeniului securitate

Arhitectura cloud Webex separă diferite tipuri de servicii în domenii sau domenii de încredere separate, așa cum este descris mai jos.

***Domeniile de separare (fără securitatea datelor hibride)***

Pentru a înțelege mai bine Securitatea datelor hibride, să aruncăm o privire mai întâi la acest caz în cloud pur, în care Cisco oferă toate funcțiile din domeniile sale cloud. Serviciul de identitate, singurul loc în care utilizatorii pot fi corelați direct cu informațiile lor personale, cum ar fi adresa de e-mail, este separat logic și fizic de domeniul securității din centrul de date B. Ambele sunt la rândul lor separate de domeniul în care conținutul criptat este stocat în cele din urmă, în centrul de date C.

În această diagramă, clientul este Aplicația Webex care rulează pe laptopul unui utilizator și s-a autentificat în serviciul de identitate. Atunci când utilizatorul compune un mesaj pentru a-l trimite unui spațiu, se efectuează următorii pași:

Clientul stabilește o conexiune securizată cu serviciul de gestionare a cheilor (KMS), apoi solicită o cheie pentru a cripta mesajul. Conexiunea securizată utilizează ECDH, iar KMS criptează cheia utilizând o cheie principală AES-256.
Mesajul este criptat înainte de a părăsi clientul. Clientul îl trimite către serviciul de indexare, care creează indici de căutare criptați pentru a ajuta la căutările viitoare ale conținutului.
Mesajul criptat este trimis către serviciul de conformitate pentru verificări ale conformității.
Mesajul criptat este stocat în domeniul de stocare.

Când implementați Securitatea datelor hibride, mutați funcțiile domeniului de securitate (KMS, indexare și conformitate) în centrul dvs. de date local. Celelalte servicii cloud care alcătuiesc Webex (inclusiv stocarea identității și a conținutului) rămân în domeniile Cisco.

Colaborarea cu alte organizații

Utilizatorii din organizația dvs. pot utiliza în mod regulat Aplicația Webex pentru a colabora cu participanți externi din alte organizații. Când unul dintre utilizatorii dvs. solicită o cheie pentru un spațiu deținut de organizația dvs. (deoarece a fost creat de unul dintre utilizatorii dvs.), KMS-ul trimite cheia către client printr-un canal securizat ECDH. Cu toate acestea, atunci când o altă organizație deține cheia pentru spațiu, KMS-ul dvs. direcționează solicitarea către cloudul Webex printr-un canal ECDH separat pentru a obține cheia de la KMS corespunzător, apoi returnează cheia utilizatorului pe canalul original.

Serviciul KMS care rulează pe Org A validează conexiunile la KMS din alte organizații utilizând certificate x.509 PKI. Consultați Pregătiți mediul dvs. pentru detalii despre generarea unui certificat x.509 pentru a fi utilizat cu implementarea securității datelor hibride cu entități găzduite multiple.

Așteptări privind implementarea securității datelor hibride

O implementare a securității datelor hibride necesită un angajament semnificativ și o conștientizare a riscurilor asociate cu deținerea cheilor de criptare.

Pentru a implementa Securitatea datelor hibride, trebuie să furnizați:

Un centru de date securizat într-o țară care este o locație acceptată pentru planurile Cisco Webex Teams.
Echipamentul, software-ul și accesul la rețea descrise în Pregătiți mediul.

Pierderea completă a ISO-ului de configurare pe care îl creați pentru Securitatea datelor hibride sau a bazei de date pe care o furnizați va duce la pierderea cheilor. Pierderea cheii împiedică utilizatorii să decripteze conținutul spațiului și alte date criptate în Aplicația Webex. Dacă se întâmplă acest lucru, puteți construi o nouă implementare, dar va fi vizibil numai conținut nou. Pentru a evita pierderea accesului la date, trebuie să:

Gestionați copiile de siguranță și recuperarea bazei de date și a configurației ISO.
Fiți pregătiți pentru a efectua recuperarea rapidă în caz de dezastru în cazul în care se produce o catastrofă, cum ar fi eșecul discului bazei de date sau dezastrul centrului de date.

Nu există niciun mecanism de mutare a cheilor înapoi în Cloud după o implementare HDS.

Proces de configurare la nivel înalt

Acest document se referă la configurarea și gestionarea unei implementări a securității datelor hibride cu entități găzduite multiple:

Configurați Securitatea datelor hibride—Aceasta include pregătirea infrastructurii necesare și instalarea software-ului de securitate a datelor hibride, construirea unui cluster HDS, adăugarea de organizații găzduite în cluster și gestionarea cheilor principale ale clientului (CMK). Acest lucru va permite tuturor utilizatorilor din organizațiile client să utilizeze clusterul dvs. de securitate a datelor hibride pentru funcții de securitate.

Fazele de configurare, activare și gestionare sunt tratate în detaliu în următoarele trei capitole.
Mențineți implementarea securității datelor hibride—Webex cloud oferă automat upgrade-uri în curs. Departamentul dvs. IT poate oferi asistență de nivel unu pentru această implementare și poate implica asistența Cisco după cum este necesar. Puteți utiliza notificările pe ecran și puteți configura alerte pe bază de e-mail în Partner Hub.
Înțelegeți alertele obișnuite, pașii de depanare și problemele cunoscute—Dacă întâmpinați probleme la implementarea sau utilizarea Securității datelor hibride, ultimul capitol al acestui ghid și anexa Probleme cunoscute vă pot ajuta să identificați și să remediați problema.

Model de implementare a securității datelor hibride

În centrul de date al întreprinderii, implementați Securitatea datelor hibride ca un singur cluster de noduri pe gazde virtuale separate. Nodurile comunică cu cloudul Webex prin websocketuri securizate și HTTP securizat.

În timpul procesului de instalare, vă oferim fișierul OVA pentru a configura dispozitivul virtual pe VM-urile pe care le furnizați. Utilizați instrumentul de configurare HDS pentru a crea un fișier ISO de configurare a clusterului personalizat, pe care îl montați pe fiecare nod. Clusterul de securitate a datelor hibride utilizează serverul Syslogd furnizat și baza de date PostgreSQL sau Microsoft SQL Server. (Configurați detaliile de conectare Syslogd și a bazei de date în instrumentul de configurare HDS.)

Model de implementare a securității datelor hibride

Numărul minim de noduri pe care le puteți avea într-un cluster este de două. Vă recomandăm cel puțin trei per cluster. Existența mai multor noduri asigură faptul că serviciul nu este întrerupt în timpul unui upgrade de software sau al altei activități de întreținere pe un nod. (Cloudul Webex efectuează upgrade numai pentru un nod la un moment dat.)

Toate nodurile dintr-un cluster accesează același server de date cheie și jurnal de activitate la același server syslog. Nodurile în sine sunt apatride și gestionează solicitările cheie în modul round-robin, așa cum este direcționat de cloud.

Nodurile devin active atunci când le înscrieți în Partner Hub. Pentru a scoate din uz un nod individual, puteți să-l anulați înscrierea și să-l reînscrieți ulterior, dacă este necesar.

Centrul de date în așteptare pentru recuperarea după dezastre

În timpul implementării, configurați un centru de date în așteptare securizat. În cazul unui dezastru al centrului de date, puteți eșua manual implementarea la centrul de date în așteptare.

Înainte de reluarea în caz de nereușită, centrul de date A are noduri HDS active și baza de date principală PostgreSQL sau Microsoft SQL Server, în timp ce B are o copie a fișierului ISO cu configurații suplimentare, VM care sunt înregistrate în organizație și o bază de date în așteptare. După reluarea în caz de nereușită, centrul de date B are noduri HDS active și baza de date principală, în timp ce A are VM neînregistrate și o copie a fișierului ISO, iar baza de date este în modul standby. — ***Comutare automată manuală către centrul de date în așteptare***

Bazele de date ale centrelor de date active și de așteptare sunt sincronizate unele cu altele, ceea ce va minimiza timpul necesar pentru efectuarea comutării automate.

Nodurile active de securitate a datelor hibride trebuie să fie întotdeauna în același centru de date ca serverul de baze de date active.

Suport proxy

Hybrid Data Security acceptă inspectarea explicită, transparentă și proxy-uri care nu inspectează. Puteți lega aceste proxy-uri de implementare, astfel încât să puteți securiza și monitoriza traficul de la întreprindere în cloud. Puteți utiliza o interfață de administrator de platformă pe nodurile pentru gestionarea certificatelor și pentru a verifica starea generală a conectivității după ce ați configurat proxy-ul pe noduri.

Nodurile hibride de securitate a datelor acceptă următoarele opțiuni proxy:

Fără proxy—Setare implicită dacă nu utilizați configurația nodului HDS Trust Store și Proxy pentru a integra un proxy. Nu este necesară actualizarea certificatului.
Proxy transparent fără inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy și nu ar trebui să necesite modificări pentru a funcționa cu un proxy fără inspectare. Nu este necesară actualizarea certificatului.
Proxy transparent pentru tunelare sau inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy. Nu sunt necesare modificări de configurare HTTP sau HTTPS pe noduri. Cu toate acestea, nodurile au nevoie de un certificat rădăcină, astfel încât să aibă încredere în proxy. Proxy-urile de inspectare sunt de obicei utilizate de IT pentru a aplica politici pe care site-urile web pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).
Proxy explicit- Cu proxy explicit, spuneți nodurilor HDS ce server proxy și ce schemă de autentificare să utilizați. Pentru a configura un proxy explicit, trebuie să introduceți următoarele informații pe fiecare nod:
1. IP/FQDN proxy—Adresa care poate fi utilizată pentru a accesa computerul proxy.
2. Port proxy—Un număr de port utilizat de proxy pentru a asculta traficul protejat.
3. Protocol proxy- În funcție de ceea ce acceptă serverul proxy, alegeți dintre următoarele protocoale:
  - HTTP - Vizualizează și controlează toate solicitările pe care le trimite clientul.
  - HTTPS - Oferă un canal serverului. Clientul primește și validează certificatul serverului.
4. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:
  - Fără—Nu este necesară mai multă autentificare.
    
    Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
  - De bază—Utilizat pentru un agent de utilizator HTTP care furnizează un nume de utilizator și o parolă atunci când efectuează o solicitare. Utilizează codificarea Base64.
    
    Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
    
    Vă solicită să introduceți numele de utilizator și parola pe fiecare nod.
  - Rezumat- Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite prin rețea.
    
    Disponibil numai dacă selectați HTTPS ca protocol proxy.
    
    Vă solicită să introduceți numele de utilizator și parola pe fiecare nod.

Exemplu de noduri hibride de securitate a datelor și proxy

Această diagramă afișează un exemplu de conexiune între securitatea datelor hibride, rețea și un proxy. Pentru opțiunile proxy de inspectare transparente și https explicit inspectare, același certificat rădăcină trebuie să fie instalat pe proxy și pe nodurile hibride de securitate a datelor.

Modul de rezolvare DNS extern blocat (configurații proxy explicite)

Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează căutarea DNS și conectivitatea la cloud-ul Cisco Webex. În implementările cu configurații proxy explicite care nu permit rezoluția DNS externă pentru clienții interni, dacă nodul nu poate interoga serverele DNS, acesta intră automat în modul Rezoluție DNS externă blocată. În acest mod, înregistrarea nodului și alte teste de conectivitate proxy pot continua.

Pregătiți mediul dvs.

Cerințe pentru securitatea datelor hibride cu entități găzduite multiple

Cerințe de licență Cisco Webex

Pentru a implementa securitatea datelor hibride cu entități găzduite multiple:

Organizații partenere: Contactați partenerul dvs. Cisco sau managerul de cont și asigurați-vă că funcția entitate găzduită multiplă este activată.
Organizații entitate găzduită: Trebuie să aveți pachetul Pro pentru Cisco Webex Control Hub. (Consultați https://www.cisco.com/go/pro-pack.)

Cerințe desktop docker

Înainte de a instala nodurile HDS, aveți nevoie de Docker Desktop pentru a rula un program de configurare. Docker și-a actualizat recent modelul de licențiere. Este posibil ca organizația să necesite un abonament plătit pentru Docker Desktop. Pentru detalii, consultați postarea de pe blogul Docker, " Docker actualizează și extinde abonamentele noastre de produse".

Cerințe certificat X.509

Lanțul de certificate trebuie să îndeplinească următoarele cerințe:

Tabelul 1. Cerințe privind certificatul X.509 pentru implementarea securității datelor hibride
Obligatoriu	Detalii
Semnat de o Autoritate de certificare (CA) de încredere	În mod implicit, avem încredere în CA-urile din lista Mozilla (cu excepția WoSign și StartCom) la https://wiki.mozilla.org/CA:IncludedCAs.
Conține un nume de domeniu comun (CN) care identifică implementarea securității datelor hibride Nu este un certificat wildcard	CN nu trebuie să fie accesibil sau gazdă live. Vă recomandăm să utilizați un nume care reflectă organizația dvs., de exemplu `hds.company.com`. NC nu trebuie să conțină un * (wildcard). CN este utilizat pentru a verifica nodurile de securitate a datelor hibride pentru clienții Aplicației Webex. Toate nodurile de securitate a datelor hibride din clusterul dvs. utilizează același certificat. KMS se identifică utilizând domeniul CN, nu orice domeniu definit în câmpurile SAN x.509v3. După ce ați înregistrat un nod cu acest certificat, nu acceptăm schimbarea numelui domeniului CN.
Semnătură non-SHA1	Software-ul KMS nu acceptă semnăturile SHA1 pentru validarea conexiunilor la KMS-urile altor organizații.
Formatat ca fișier PKCS #12 protejat prin parolă Utilizați numele prietenos al `kms-private-key` pentru a eticheta certificatul, cheia privată și orice certificate intermediare de încărcat.	Puteți utiliza un convertor, cum ar fi OpenSSL, pentru a schimba formatul certificatului. Va trebui să introduceți parola atunci când rulați instrumentul de configurare HDS.

Software-ul KMS nu impune utilizarea cheii sau restricțiile extinse de utilizare a cheii. Unele autorități de certificare solicită ca restricțiile extinse de utilizare a cheii să fie aplicate fiecărui certificat, cum ar fi autentificarea pe server. Este ok să utilizați autentificarea pe server sau alte setări.

Cerințe pentru gazda virtuală

Gazdele virtuale pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. au următoarele cerințe:

Cel puțin două gazde separate (3 recomandată) se află în același centru de date securizat
VMware ESXi 6.5 (sau o versiune ulterioară) instalat și rulează.

Trebuie să efectuați upgrade dacă aveți o versiune anterioară de ESXi.
Minimum 4 vCPU-uri, 8 GB memorie principală, 30 GB spațiu pe hard disk local per server

Cerințe server de bază de date

Creați o nouă bază de date pentru stocarea cheilor. Nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.

Există două opțiuni pentru serverul de bază de date. Cerințele pentru fiecare dintre acestea sunt următoarele:

Tabelul 2. Cerințele serverului de baze de date în funcție de tipul de bază de date
Parolă	Server Microsoft SQL
PostgreSQL 14, 15 sau 16, instalat și rulează.	Serverul SQL 2016, 2017 sau 2019 (Enterprise sau Standard) este instalat. Serverul SQL 2016 necesită Service Pack 2 și Actualizarea cumulativă 2 sau o versiune ulterioară.
Minimum 8 vCPU-uri, 16 GB memorie principală, spațiu suficient pe hard disk și monitorizare pentru a vă asigura că nu este depășită (se recomandă 2-TB dacă doriți să rulați baza de date pentru o lungă perioadă de timp fără a fi nevoie să creșteți spațiul de stocare)	Minimum 8 vCPU-uri, 16 GB memorie principală, spațiu suficient pe hard disk și monitorizare pentru a vă asigura că nu este depășită (se recomandă 2-TB dacă doriți să rulați baza de date pentru o lungă perioadă de timp fără a fi nevoie să creșteți spațiul de stocare)

Software-ul HDS instalează în prezent următoarele versiuni de drivere pentru comunicarea cu serverul de bază de date:

Parolă	Server Microsoft SQL
Driver Postgres JDBC 42.2.5	Driver 4.6 pentru serverul SQL JDBC Această versiune de driver acceptă SQL Server activat permanent (Instanțe de cluster de reluare în caz de nereușită activată permanent și Grupuri de disponibilitate activate permanent).

Parolă

Server Microsoft SQL

Driver Postgres JDBC 42.2.5

Driver 4.6 pentru serverul SQL JDBC

Această versiune de driver acceptă SQL Server activat permanent (Instanțe de cluster de reluare în caz de nereușită activată permanent și Grupuri de disponibilitate activate permanent).

Cerințe suplimentare pentru autentificarea Windows împotriva Microsoft SQL Server

Dacă doriți ca nodurile HDS să utilizeze autentificarea Windows pentru a obține acces la baza dvs. de date keystore pe Microsoft SQL Server, atunci aveți nevoie de următoarea configurație în mediul dvs.:

Nodurile HDS, infrastructura Active Directory și serverul MS SQL trebuie să fie sincronizate cu NTP.
Contul Windows pe care îl furnizați nodurilor HDS trebuie să aibă acces de citire/scriere la baza de date.
Serverele DNS pe care le furnizați nodurilor HDS trebuie să poată rezolva centrul de distribuție a cheilor (KDC).
Puteți înregistra instanța bazei de date HDS pe serverul Microsoft SQL ca nume principal al serviciului (SPN) în Active Directory. Consultați Înscrierea unui nume principal de serviciu pentru conexiunile Kerberos.

Instrumentul de configurare HDS, lansatorul HDS și KMS local trebuie să utilizeze autentificarea Windows pentru a accesa baza de date din keystore. Aceștia utilizează detaliile din configurația ISO pentru a construi SPN atunci când solicitați acces cu autentificarea Kerberos.

Cerințe de conectivitate externă

Configurați firewall-ul pentru a permite următoarea conectivitate pentru aplicațiile HDS:

Aplicație	Protocol	Port	Direcție din aplicație	Destinație
Noduri de securitate a datelor hibride	TCP	443	HTTPS și WSS de ieșire	Servere Webex: .wbx2.com .ciscospark.com Toate gazdele Common Identity Alte URL-uri listate pentru Securitatea datelor hibride în tabelul URL-uri suplimentare pentru serviciile hibride Webex din Cerințe de rețea pentru serviciile Webex
Instrument de configurare HDS	TCP	443	HTTPS de ieșire	*.wbx2.com Toate gazdele Common Identity hub.docker.com

Nodurile de securitate a datelor hibride funcționează cu traducerea accesului la rețea (NAT) sau în spatele unui firewall, atât timp cât NAT sau firewall permite conexiunile de ieșire necesare la destinațiile de domeniu din tabelul precedent. Pentru conexiunile de intrare la nodurile de securitate a datelor hibride, nu trebuie să fie vizibile porturi de pe internet. În cadrul centrului dvs. de date, clienții au nevoie de acces la nodurile de securitate a datelor hibride de pe porturile TCP 443 și 22, în scopuri administrative.

URL-urile pentru gazdele Common Identity (CI) sunt specifice regiunii. Acestea sunt gazdele CI actuale:

Regiune	URL-uri gazdă Common Identity
Țările din America	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Uniunea Europeană	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapore	https://idbroker-sg.webex.com https://identity-sg.webex.com
Emiratele Arabe Unite	https://idbroker-ae.webex.com https://identity-ae.webex.com

Cerințe server proxy

Acceptăm oficial următoarele soluții proxy care se pot integra cu nodurile hibride de securitate a datelor.
- Proxy transparent - Cisco Web Security Appliance (WSA).
- Proxy explicit - Calmar.
  
  Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea conexiunilor websocket (wss:). Pentru a rezolva această problemă, consultați Configurați proxy-urile Squid pentru securitatea datelor hibride.
Acceptăm următoarele combinații de tip de autentificare pentru proxy-uri explicite:
- Fără autentificare cu HTTP sau HTTPS
- Autentificare de bază cu HTTP sau HTTPS
- Autentificare digest numai cu HTTPS
Pentru un proxy de inspectare transparent sau un proxy explicit HTTPS, trebuie să aveți o copie a certificatului rădăcină al proxy-ului. Instrucțiunile de implementare din acest ghid vă spun cum să încărcați copia în depozitele de încredere ale nodurilor hibride de securitate a datelor.
Rețeaua care găzduiește nodurile HDS trebuie să fie configurată pentru a forța traficul TCP de ieșire pe portul 443 pentru a ruta prin proxy.
Proxy-urile care inspectează traficul web pot interfera cu conexiunile de soclu web. Dacă apare această problemă, ocolirea (nu inspectarea) traficului către wbx2.com și ciscospark.com va rezolva problema.

Completați cerințele preliminare pentru securitatea datelor hibride

Utilizați această listă de verificare pentru a vă asigura că sunteți gata să instalați și să configurați clusterul de securitate a datelor hibride.

1	Asigurați-vă că organizația dvs. parteneră are activată funcția HDS pentru entități găzduite multiple și obțineți acreditările unui cont cu administrator complet pentru partener și drepturi de administrator complet. Asigurați-vă că organizația client Webex este activată pentru Pachetul Pro pentru Cisco Webex Control Hub. Contactați-vă partenerul Cisco sau managerul de cont pentru ajutor cu acest proces. Organizațiile client nu trebuie să aibă nicio implementare HDS existentă.
2	Alegeți un nume de domeniu pentru implementarea HDS (de exemplu, `hds.company.com`) și obțineți un lanț de certificate care conține un certificat X.509, o cheie privată și orice certificate intermediare. Lanțul de certificate trebuie să îndeplinească cerințele din Cerințele de certificat X.509.
3	Pregătiți gazde virtuale identice pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. Aveți nevoie de cel puțin două gazde separate (3 recomandată) care să fie co-localizate în același centru de date securizat, care să îndeplinească cerințele din Cerințele gazdei virtuale.
4	Pregătiți serverul de bază de date care va acționa ca magazin de date cheie pentru cluster, în conformitate cu Cerințele serverului de bază de date. Serverul de baze de date trebuie să fie amplasat în centrul de date securizat cu gazdele virtuale. Creați o bază de date pentru stocarea cheilor. (Trebuie să creați această bază de date – nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.) Colectați detaliile pe care nodurile le vor utiliza pentru a comunica cu serverul de bază de date: numele gazdei sau adresa IP (gazdă) și portul numele bazei de date (dbname) pentru stocarea cheii numele de utilizator și parola unui utilizator cu toate privilegiile în baza de date de stocare a cheii
5	Pentru recuperare rapidă în caz de dezastru, configurați un mediu de rezervă într-un alt centru de date. Mediul de rezervă oglindește mediul de producție al VM-urilor și al unui server de baze de date de rezervă. De exemplu, dacă producția are 3 VM care rulează noduri HDS, mediul de rezervă trebuie să aibă 3 VM.
6	Configurați o gazdă syslog pentru a colecta jurnale de la nodurile din cluster. Colectați adresa de rețea și portul syslog (implicit este UDP 514).
7	Creați o politică de rezervă securizată pentru nodurile de securitate a datelor hibride, serverul de baze de date și gazda syslog. Cel puțin, pentru a preveni pierderea de date nerecuperabile, trebuie să efectuați o copie de rezervă a bazei de date și a fișierului ISO de configurare generat pentru nodurile de securitate a datelor hibride. Deoarece nodurile de securitate a datelor hibride stochează cheile utilizate la criptarea și decriptarea conținutului, nerespectarea menținerii unei implementări operaționale va duce la PIERDEREA IREVERSIBILĂ a conținutului respectiv. Clienții Aplicației Webex își ascund cheile, astfel încât este posibil ca o întrerupere să nu fie vizibilă imediat, dar va deveni evidentă în timp. În timp ce întreruperile temporare sunt imposibil de prevenit, acestea sunt recuperabile. Cu toate acestea, pierderea completă (nu sunt disponibile copii de siguranță) a bazei de date sau a fișierului ISO de configurare va avea ca rezultat date nerecuperabile ale clienților. Operatorii nodurilor de securitate a datelor hibride trebuie să mențină copii de siguranță frecvente ale bazei de date și ale fișierului ISO de configurare și să fie pregătiți să reconstruiască centrul de date de securitate a datelor hibride în cazul unei defecțiuni catastrofale.
8	Asigurați-vă că configurația firewallului permite conectivitatea pentru nodurile de securitate a datelor hibride, așa cum este descris în Cerințe de conectivitate externă.
9	Instalați Docker (https://www.docker.com) pe orice mașină locală care rulează un sistem de operare acceptat (Microsoft Windows 10 Professional sau Enterprise pe 64 de biți sau Mac OSX Yosemite 10.10.3 sau o versiune ulterioară) cu un browser web care îl poate accesa la http://127.0.0.1:8080. Utilizați instanța Docker pentru a descărca și rula instrumentul de configurare HDS, care generează informațiile de configurare locală pentru toate nodurile de securitate a datelor hibride. Este posibil să aveți nevoie de o licență Docker Desktop. Consultați Cerințe desktop docker pentru mai multe informații. Pentru a instala și rula instrumentul de configurare HDS, dispozitivul local trebuie să aibă conectivitatea descrisă în Cerințe de conectivitate externă.
10	Dacă integrați un proxy cu Securitatea datelor hibride, asigurați-vă că acesta îndeplinește Cerințele serverului proxy.

Configurați un cluster de securitate a datelor hibride

Fluxul de activități de implementare a securității datelor hibride

Înainte de a începe

1	Efectuați configurarea inițială și descărcați fișierele de instalare Descărcați fișierul OVA pe computerul dvs. local pentru utilizare ulterioară.
2	Crearea unui ISO de configurare pentru gazdele HDS Utilizați instrumentul de configurare HDS pentru a crea un fișier de configurare ISO pentru nodurile de securitate a datelor hibride.
3	Instalați gazda HDS OVA Creați o mașină virtuală din fișierul OVA și efectuați configurația inițială, cum ar fi setările de rețea. Opțiunea de a configura setările de rețea în timpul implementării OVA a fost testată cu ESXi 6.5. Este posibil ca această opțiune să nu fie disponibilă în versiunile anterioare.
4	Configurați VM de securitate a datelor hibride Conectați-vă la consola VM și setați acreditările de conectare. Configurați setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.
5	Încărcarea și montarea ISO de configurare HDS Configurați VM din fișierul de configurare ISO pe care l-ați creat cu instrumentul de configurare HDS.
6	Configurarea nodului HDS pentru integrarea proxy Dacă mediul de rețea necesită configurație proxy, specificați tipul de proxy pe care îl veți utiliza pentru nod și adăugați certificatul proxy la magazinul de încredere, dacă este necesar.
7	Înscrieți primul nod din cluster Înscrieți VM cu cloudul Cisco Webex ca nod de securitate a datelor hibride.
8	Creați și înscrieți mai multe noduri Finalizați configurarea clusterului.
9	Activați HDS cu entități găzduite multiple în Partner Hub. Activați HDS și gestionați organizațiile de entități găzduite în Partner Hub.

Efectuați configurarea inițială și descărcați fișierele de instalare

În această sarcină, descărcați un fișier OVA pe computerul dvs. (nu pe serverele pe care le configurați ca noduri de securitate a datelor hibride). Veți utiliza acest fișier mai târziu în procesul de instalare.

1	Conectați-vă la Partner Hub, apoi faceți clic pe Servicii.
2	În secțiunea Servicii cloud, găsiți cardul Securitate a datelor hibride, apoi faceți clic pe Configurare.
3	Faceți clic pe Adăugați o resursă și faceți clic pe Descărcați fișierul .OVA din cardul Instalare și configurare software . Versiunile mai vechi ale pachetului software (OVA) nu vor fi compatibile cu cele mai recente upgrade-uri de securitate a datelor hibride. Acest lucru poate duce la probleme în timpul upgrade-ului aplicației. Asigurați-vă că descărcați cea mai recentă versiune a fișierului OVA. De asemenea, puteți descărca OVA în orice moment din secțiunea Ajutor . Faceți clic pe Setări > Ajutor > Descărcați software-ul de securitate a datelor hibride. Fișierul OVA începe automat descărcarea. Salvați fișierul într-o locație de pe computerul dvs.
4	Opțional, faceți clic pe Consultați ghidul de implementare a securității datelor hibride pentru a verifica dacă există o versiune ulterioară a acestui ghid disponibilă.

Crearea unui ISO de configurare pentru gazdele HDS

Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi, utilizați ISO pentru a configura gazda de securitate a datelor hibride.

Înainte de a începe

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită detaliile de autentificare ale unui cont Partner Hub cu drepturi de administrator depline.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker la pasul 5 de mai jos. Acest tabel oferă câteva posibile variabile de mediu:

Descriere

Variabilă

Proxy HTTP fără autentificare

_AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT

Proxy HTTPS fără autentificare

_AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT

Proxy HTTP cu autentificare

_AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT

Proxy HTTPS cu autentificare

_AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT
Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier ori de câte ori efectuați modificări de configurație, cum ar fi:
- Acreditări bază de date
- Actualizări certificat
- Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile bazei de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

1

La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.:

În medii obișnuite:

configurare rmi ciscocitg/hds: stabil

În mediile FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.

2

Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele:

docker login -u hdscustomersro

3

La solicitarea parolei, introduceți acest hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Descărcați cea mai recentă imagine stabilă pentru mediul dvs.:

În medii obișnuite:

configurație ciscocitg/hds docker: stabil

În mediile FedRAMP:

docker extragere ciscocitg/hds-setup-fedramp:stabil

5

Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.:

În medii obișnuite fără un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

În medii obișnuite cu un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

În medii obișnuite cu un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

În mediile FedRAMP fără un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

În mediile FedRAMP cu un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

În mediile FedRAMP cu un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”.

6

Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală.

Utilizați un browser web pentru a accesa gazda locală http://127.0.0.1:8080 și a introduce numele de utilizator de administrator pentru Partner Hub la solicitare.

Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul corespunzător pentru acel cont. Instrumentul afișează apoi mesajul standard de conectare.

7

Când vi se solicită, introduceți acreditările de conectare de administrator Partner Hub, apoi faceți clic pe Conectați-vă pentru a permite accesul la serviciile necesare pentru Securitatea datelor hibride.

8

Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Începeți.

9

Pe pagina Import ISO aveți aceste opțiuni:

Nu—Dacă creați primul nod HDS, nu aveți un fișier ISO de încărcat.
Da—Dacă ați creat deja noduri HDS, selectați fișierul ISO în răsfoire și încărcați-l.

10

Verificați dacă certificatul dvs. X.509 îndeplinește cerințele din Cerințele privind certificatul X.509.

Dacă nu ați încărcat niciodată un certificat înainte, încărcați certificatul X.509, introduceți parola și faceți clic pe Continuați.
Dacă certificatul este OK, faceți clic pe Continuați.
Dacă certificatul dvs. a expirat sau doriți să îl înlocuiți, selectați Nu pentru Continuați să utilizați lanțul de certificate HDS și cheia privată din ISO anterioară?. Încărcați un nou certificat X.509, introduceți parola și faceți clic pe Continuați.

11

Introduceți adresa bazei de date și contul pentru HDS pentru a accesa baza de date cheie:

Selectați Tipul bazei de date (PostgreSQL sau Microsoft SQL Server).

Dacă alegeți Microsoft SQL Server, obțineți un câmp Tip de autentificare.
(Numai Microsoft SQL Server ) Selectați tipul de autentificare:
- Autentificare de bază: Aveți nevoie de un nume de cont SQL Server local în câmpul Nume de utilizator .
- Autentificare Windows: Aveți nevoie de un cont Windows în formatul nume de utilizator@DOMENIU în câmpul Nume de utilizator .
Introduceți adresa serverului de bază de date în forma : sau :.

Exemplu:
dbhost.example.org:1433 sau 198.51.100.17:1433

Puteți utiliza o adresă IP pentru autentificarea de bază, dacă nodurile nu pot utiliza DNS pentru a rezolva numele gazdei.

Dacă utilizați autentificarea Windows, trebuie să introduceți un Nume de domeniu complet calificat, în formatul dbhost.example.org:1433
Introduceți Numele bazei de date.
Introduceți Nume de utilizator și Parolă ale unui utilizator cu toate privilegiile în baza de date de stocare a cheilor.

12

Selectați un Mod de conectare la baza de date TLS:

Mod	Descriere
Preferați TLS (opțiune implicită)	Nodurile HDS nu necesită TLS pentru a se conecta la serverul de baze de date. Dacă activați TLS pe serverul bazei de date, nodurile încearcă o conexiune criptată.
Necesită TLS	Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS.
Solicitați TLS și verificați semnatarul certificatului	Acest mod nu se aplică pentru bazele de date SQL Server. Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS. După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de la serverul de baze de date cu autoritatea de certificare din Certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul scade conexiunea. Utilizați controlul certificat rădăcină bază de date sub lista verticală pentru a încărca certificatul rădăcină pentru această opțiune.
Solicitați TLS și verificați semnatarul certificatului și numele de gazdă	Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS. După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de la serverul de baze de date cu autoritatea de certificare din Certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul scade conexiunea. Nodurile verifică, de asemenea, dacă numele gazdei din certificatul de server se potrivește cu numele gazdei din câmpul Gazdă și port bază de date . Numele trebuie să se potrivească exact sau nodul scade conexiunea. Utilizați controlul certificat rădăcină bază de date sub lista verticală pentru a încărca certificatul rădăcină pentru această opțiune.

Când încărcați certificatul rădăcină (dacă este necesar) și faceți clic pe Continuați, instrumentul de configurare HDS testează conexiunea TLS la serverul de baze de date. Instrumentul verifică, de asemenea, semnatarul certificatului și numele de gazdă, dacă este cazul. Dacă un test nu reușește, instrumentul afișează un mesaj de eroare care descrie problema. Puteți alege dacă să ignorați eroarea și să continuați cu configurarea. (Din cauza diferențelor de conectivitate, nodurile HDS pot stabili conexiunea TLS, chiar dacă mașina instrumentului de configurare HDS nu o poate testa cu succes.)

13

Pe pagina Jurnale de sistem, configurați serverul Syslogd:

Introduceți URL-ul serverului syslog.

Dacă serverul nu este rezolvabil prin DNS de la noduri pentru clusterul dvs. HDS, utilizați o adresă IP în URL.

Exemplu:
udp://10.92.43.23:514 indică conectarea la gazda Syslogd 10.92.43.23 la portul UDP 514.
Dacă configurați serverul să utilizeze criptarea TLS, bifați Serverul syslog este configurat pentru criptarea SSL?.

Dacă bifați această casetă de selectare, asigurați-vă că introduceți un URL TCP, cum ar fi tcp://10.92.43.23:514.
Din lista derulantă Choose syslog recording termination (Alegeți înregistrarea syslog), alegeți setarea corespunzătoare pentru fișierul ISO: Alegeți dacă se utilizează linia nouă pentru Graylog și Rsyslog TCP
- Biți nuli -- \x00
- Linie nouă -- \n—Selectați această opțiune pentru Graylog și Rsyslog TCP.
Faceți clic pe Continuați.

14

(Opțional) Puteți modifica valoarea implicită pentru unii parametri de conexiune la baza de date în Setări avansate. În general, acest parametru este singurul parametru pe care s-ar putea să îl modificați:

app_datasource_connection_pool_maxMărime: 10

15

Faceți clic pe Continuați pe ecranul Resetați parola conturilor de serviciu .

Parolele conturilor de servicii au o durată de viață de nouă luni. Utilizați acest ecran când parolele se apropie de expirare sau doriți să le resetați pentru a anula fișierele ISO anterioare.

16

Faceți clic pe Descărcați fișierul ISO. Salvați fișierul într-o locație ușor de găsit.

17

Faceți o copie de rezervă a fișierului ISO în sistemul local.

Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la acei administratori de securitate a datelor hibride care ar trebui să efectueze modificări de configurație.

18

Pentru a închide instrumentul de configurare, tastați CTRL+C.

Ce este de făcut în continuare

Copie de rezervă a fișierului ISO de configurare. Aveți nevoie de acesta pentru a crea mai multe noduri pentru recuperare sau pentru a efectua modificări de configurație. Dacă pierdeți toate copiile fișierului ISO, ați pierdut și cheia principală. Recuperarea cheilor din baza de date PostgreSQL sau Microsoft SQL Server nu este posibilă.

Nu avem niciodată o copie a acestei chei și nu vă putem ajuta dacă o pierdeți.

Instalați gazda HDS OVA

Utilizați această procedură pentru a crea o mașină virtuală din fișierul OVA.

1	Utilizați clientul VMware vSphere de pe computerul dvs. pentru a vă conecta la gazda virtuală ESXi.
2	Selectați Fișier > Implementare șablon OVF.
3	În expert, specificați locația fișierului OVA pe care l-ați descărcat mai devreme, apoi faceți clic pe Înainte.
4	Pe pagina Selectați un nume și un folder , introduceți un Nume mașină virtuală pentru nod (de exemplu, „HDS_Node_1”), alegeți o locație în care poate fi găzduită implementarea nodului mașinii virtuale, apoi faceți clic pe Înainte.
5	Pe pagina Selectați o resursă de calcul , alegeți resursa de calcul de destinație, apoi faceți clic pe Înainte. Se execută o verificare de validare. După ce se termină, apar detaliile șablonului.
6	Verificați detaliile șablonului, apoi faceți clic pe Înainte.
7	Dacă vi se solicită să alegeți configurația resursei pe pagina Configurare , faceți clic pe 4 CPU , apoi faceți clic pe Înainte.
8	Pe pagina Selectați spațiul de stocare , faceți clic pe Înainte pentru a accepta formatul de disc și politica de stocare VM implicită.
9	Pe pagina Selectați rețele , selectați opțiunea de rețea din lista de intrări pentru a asigura conectivitatea dorită la VM.
10	Pe pagina Particularizare șablon , configurați următoarele setări de rețea: Nume gazdă—Introduceți FQDN (nume de gazdă și domeniu) sau un singur cuvânt nume de gazdă pentru nod. Nu este necesar să setați domeniul ca să corespundă domeniului pe care l-ați utilizat pentru a obține certificatul X.509. Pentru a asigura o înregistrare reușită în cloud, utilizați numai caractere mici în FQDN sau numele gazdei pe care l-ați setat pentru nod. Capitalizarea nu este acceptată în acest moment. Lungimea totală a FQDN nu trebuie să depășească 64 de caractere. Adresă IP— Introduceți adresa IP pentru interfața internă a nodului. Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat. Mască—Introduceți adresa măștii de subrețea în notație cu zecimale. De exemplu, 255.255.255.0. Gateway – Introduceți adresa IP a gateway-ului. Un gateway este un nod de rețea care servește ca punct de acces la o altă rețea. Servere DNS—Introduceți o listă de servere DNS separate prin virgulă, care se ocupă de traducerea numelor de domenii în adrese IP numerice. (Sunt permise până la 4 intrări DNS.) Servere NTP – Introduceți serverul NTP al organizației dvs. sau alt server NTP extern care poate fi utilizat în organizația dvs. Este posibil ca serverele NTP implicite să nu funcționeze pentru toate întreprinderile. De asemenea, puteți utiliza o listă separată prin virgulă pentru a introduce mai multe servere NTP. Implementați toate nodurile din aceeași subrețea sau VLAN, astfel încât toate nodurile dintr-un cluster să fie accesibile de la clienții din rețeaua dvs., în scopuri administrative. Dacă preferați, puteți sări peste configurația setărilor de rețea și să urmați pașii din Configurați VM de securitate a datelor hibride pentru a configura setările de la consola de nod. Opțiunea de a configura setările de rețea în timpul implementării OVA a fost testată cu ESXi 6.5. Este posibil ca această opțiune să nu fie disponibilă în versiunile anterioare.
11	Faceți clic dreapta pe VM nod, apoi alegeți Alimentare > Alimentare pornită. Software-ul de securitate a datelor hibride este instalat ca invitat pe gazda VM. Acum sunteți gata să vă conectați la consolă și să configurați nodul. Sfaturi de depanare Este posibil să întâmpinați o întârziere de câteva minute înainte de apariția containerelor nodului. În timpul primei boot-ări, apare un mesaj firewall de punte pe consolă, în timpul căruia nu vă puteți conecta.

Configurați VM de securitate a datelor hibride

Utilizați această procedură pentru a vă conecta pentru prima dată la consola VM a nodului de securitate a datelor hibride și a seta acreditările de conectare. De asemenea, puteți utiliza consola pentru a configura setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.

1	În clientul VMware vSphere, selectați VM nodul de securitate a datelor hibride și selectați fila Consolă . VM pornește și apare o solicitare de conectare. Dacă mesajul de conectare nu se afișează, apăsați Enter.
2	Utilizați următoarele date de conectare și parolă implicite pentru a vă conecta și a modifica datele de autentificare: Conectați-vă: `administrator` Parolă: `cisco (dezambiguizare)` Din moment ce vă conectați pentru prima dată la VM, trebuie să schimbați parola de administrator.
3	Dacă ați configurat deja setările de rețea în Instalați OVA gazdă HDS, omiteți restul acestei proceduri. În caz contrar, selectați opțiunea Editare configurație din meniul principal.
4	Configurați o configurație statică cu informații despre adresa IP, mască, gateway și DNS. Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat.
5	(Opțional) Schimbați numele de gazdă, domeniul sau serverul(serverele) NTP, dacă este necesar pentru a corespunde politicii dvs. de rețea. Nu este necesar să setați domeniul ca să corespundă domeniului pe care l-ați utilizat pentru a obține certificatul X.509.
6	Salvați configurația de rețea și reporniți VM pentru ca modificările să aibă efect.

Încărcarea și montarea ISO de configurare HDS

Utilizați această procedură pentru a configura mașina virtuală din fișierul ISO pe care l-ați creat cu instrumentul de configurare HDS.

Înainte de a începe

Deoarece fișierul ISO deține cheia principală, acesta ar trebui să fie expus numai pe baza necesității de a cunoaște, pentru accesul VM-urilor de securitate a datelor hibride și al oricăror administratori care ar putea fi nevoiți să facă modificări. Asigurați-vă că numai acei administratori pot accesa dataStore.

1

Încărcați fișierul ISO de pe computerul dvs.:

În panoul de navigare stânga al clientului VMware vSphere, faceți clic pe serverul ESXi.
În lista Hardware a filei Configurare, faceți clic pe Stocare.
În lista Datastores, faceți clic dreapta pe datastore pentru VM-urile dvs. și faceți clic pe Răsfoiți Datastore.
Faceți clic pe pictograma Încărcare fișiere, apoi faceți clic pe Încărcare fișier.
Navigați la locația în care ați descărcat fișierul ISO pe computer și faceți clic pe Deschidere.
Faceți clic pe Da pentru a accepta avertismentul operațiunii de încărcare/descărcare și a închide caseta de dialog a datelor.

2

Montează fișierul ISO:

În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările.
Faceți clic pe OK pentru a accepta avertismentul cu opțiuni de editare restricționate.
Faceți clic pe CD/DVD Drive 1, selectați opțiunea de montare dintr-un fișier ISO de bază de date și navigați la locația în care ați încărcat fișierul ISO de configurare.
Bifați opțiunea Conectat și Conectare la pornire.
Salvați modificările și reporniți mașina virtuală.

Ce este de făcut în continuare

Dacă politica IT solicită, puteți, opțional, să demontați fișierul ISO după ce toate nodurile preiau modificările de configurație. Consultați (Opțional) Demontați ISO după configurarea HDS pentru detalii.

Configurarea nodului HDS pentru integrarea proxy

Dacă mediul de rețea necesită un proxy, utilizați această procedură pentru a specifica tipul de proxy pe care doriți să îl integrați cu Securitatea datelor hibride. Dacă alegeți un proxy de inspectare transparent sau un proxy explicit HTTPS, puteți utiliza interfața nodului pentru a încărca și instala certificatul rădăcină. De asemenea, puteți verifica conexiunea proxy din interfață și puteți depana orice probleme potențiale.

Înainte de a începe

Consultați Suport proxy pentru o prezentare generală a opțiunilor proxy acceptate.
Cerințe server proxy

1	Introduceți URL-ul de configurare a nodului HDS `https://[HDS Node IP sau FQDN]/setup` într-un browser web, introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.
2	Accesați Trust Store & Proxy, apoi alegeți o opțiune: Fără proxy—Opțiunea implicită înainte de a integra un proxy. Nu este necesară actualizarea certificatului. Proxy transparent fără inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy și nu ar trebui să necesite modificări pentru a funcționa cu un proxy fără inspectare. Nu este necesară actualizarea certificatului. Proxy de inspectare transparent—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy. Nu sunt necesare modificări de configurare HTTPS pe implementarea hibride de securitate a datelor, cu toate acestea, nodurile HDS au nevoie de un certificat rădăcină, astfel încât acestea să aibă încredere în proxy. Proxy-urile de inspectare sunt de obicei utilizate de IT pentru a aplica politici pe care site-urile web pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS). Proxy explicit—Cu proxy explicit, spuneți clientului (nodurilor HDS) ce server proxy să utilizeze, iar această opțiune acceptă mai multe tipuri de autentificare. După ce alegeți această opțiune, trebuie să introduceți următoarele informații: IP/FQDN proxy—Adresa care poate fi utilizată pentru a accesa computerul proxy. Port proxy—Un număr de port utilizat de proxy pentru a asculta traficul protejat. Protocol proxy—Alegeți http (vizualizează și controlează toate solicitările primite de la client) sau https (oferă un canal către server, iar clientul primește și validează certificatul serverului). Alegeți o opțiune în funcție de ceea ce acceptă serverul proxy. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare: Fără—Nu este necesară mai multă autentificare. Disponibil pentru proxy-uri HTTP sau HTTPS. De bază—Utilizat pentru un agent de utilizator HTTP care furnizează un nume de utilizator și o parolă atunci când efectuează o solicitare. Utilizează codificarea Base64. Disponibil pentru proxy-uri HTTP sau HTTPS. Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola. Rezumat- Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite prin rețea. Disponibil numai pentru proxy-uri HTTPS. Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola. Urmați pașii următori pentru un proxy de inspectare transparent, un proxy explicit HTTP cu autentificare de bază sau un proxy explicit HTTPS.
3	Faceți clic pe Încărcare certificat rădăcină sau certificat de entitate de sfârșit , apoi navigați la o alegeți certificatul rădăcină pentruproxy. Certificatul este încărcat, dar nu este încă instalat, deoarece trebuie să reporniți nodul pentru a instala certificatul. Faceți clic pe săgeata ghilimelei unghiulare de numele emitentului certificatului pentru a obține mai multe detalii sau faceți clic pe Ștergere dacă ați făcut o greșeală și doriți să reîncărcați fișierul.
4	Faceți clic pe Verificare conexiune proxy pentru a testa conectivitatea la rețea între nod și proxy. Dacă testul de conexiune nu reușește, veți vedea un mesaj de eroare care arată motivul și modul în care puteți corecta problema. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a reușit, nodul nu a reușit să ajungă la serverul DNS. Această condiție este de așteptat în multe configurații proxy explicite. Puteți continua configurarea, iar nodul va funcționa în modul Rezoluție DNS externă blocată. Dacă considerați că aceasta este o eroare, parcurgeți acești pași și apoi consultați Dezactivare mod rezoluție DNS externă blocată.
5	După ce trece testul de conexiune, pentru proxy explicit setat la https numai, activați comutatorul pentru a ruta toate port 443/444 https solicitările de la acest nod prin proxy explicit. Această setare necesită 15 secunde pentru a intra în vigoare.
6	Faceți clic pe Instalare toate certificatele în Depozitul de încredere (apare pentru un proxy explicit HTTPS sau un proxy de inspectare transparent) sau pe Repornire (apare pentru un proxy explicit HTTP), citiți solicitarea, apoi faceți clic pe Instalare dacă sunteți gata. Nodul repornește în câteva minute.
7	După repornirea nodului, conectați-vă din nou, dacă este necesar, apoi deschideți pagina Prezentare generală pentru a verifica verificările de conectivitate pentru a vă asigura că toate sunt în stare verde. Verificarea conexiunii proxy testează numai un subdomeniu de webex.com. Dacă există probleme de conectivitate, o problemă comună este că unele dintre domeniile cloud listate în instrucțiunile de instalare sunt blocate la proxy.

Înscrieți primul nod din cluster

Această sarcină preia nodul generic pe care l-ați creat în Configurați VM de securitate a datelor hibride, înregistrează nodul în cloudul Webex și îl transformă într-un nod de securitate a datelor hibride.

Când înscrieți primul nod, creați un cluster căruia îi este atribuit nodul. Un cluster conține unul sau mai multe noduri implementate pentru a asigura redundanța.

Înainte de a începe

După ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți din nou.
Asigurați-vă că orice blocare a ferestrelor pop-up din browser este dezactivată sau că permiteți o excepție pentru admin.webex.com.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți cardul Securitate a datelor hibride și faceți clic pe Configurare.
4	În pagina care se deschide, faceți clic pe Adăugați o resursă.
5	În primul câmp al cardului Adăugați un nod , introduceți un nume pentru clusterul căruia doriți să îi atribuiți nodul de securitate a datelor hibride. Vă recomandăm să denumiți un cluster în funcție de locul geografic în care se află nodurile clusterului. Exemple: "San Francisco" sau "New York" sau "Dallas"
6	În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Adăugare în partea de jos a ecranului. Această adresă IP sau FQDN trebuie să corespundă adresei IP sau numelui gazdei și domeniului pe care le-ați utilizat în Configurați VM de securitate a datelor hibride. Apare un mesaj care indică faptul că vă puteți înscrie nodul în Webex.
7	Faceți clic pe Accesați nodul. După câteva momente, veți fi redirecționat(ă) către testele de conectivitate a nodului pentru serviciile Webex. Dacă toate testele sunt reușite, apare pagina Permiteți accesul la Nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați organizației dvs. Webex permisiuni pentru a vă accesa nodul.
8	Bifați caseta de selectare Permiteți accesul la nodul de securitate a datelor hibride , apoi faceți clic pe Continuați. Contul dvs. este validat, iar mesajul „Înscriere finalizată” indică faptul că nodul dvs. este acum înscris în cloudul Webex.
9	Faceți clic pe link sau închideți fila pentru a reveni la pagina Securitatea datelor hibride Partner Hub. Pe pagina Securitatea datelor hibride , noul cluster care conține nodul pe care l-ați înscris este afișat în fila Resurse . Nodul va descărca automat cel mai recent software din cloud.

Creați și înscrieți mai multe noduri

Pentru a adăuga noduri suplimentare la clusterul dvs., trebuie doar să creați VM suplimentare și să montați același fișier ISO de configurare, apoi să înregistrați nodul. Vă recomandăm să aveți cel puțin 3 noduri.

Înainte de a începe

După ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți din nou.
Asigurați-vă că orice blocare a ferestrelor pop-up din browser este dezactivată sau că permiteți o excepție pentru admin.webex.com.

1	Creați o nouă mașină virtuală din OVA, repetând pașii din Instalați OVA gazdă HDS.
2	Configurați configurația inițială pe noul VM, repetând pașii din Configurați VM de securitate a datelor hibride.
3	Pe noul VM, repetați pașii din Încărcarea și montarea ISO de configurare HDS.
4	Dacă configurați un proxy pentru implementarea dvs., repetați pașii din Configurați nodul HDS pentru integrarea proxy după cum este necesar pentru nodul nou.
5	Înscrieți nodul. În https://admin.webex.com, selectați Servicii din meniul din partea stângă a ecranului. În secțiunea Servicii cloud, găsiți cardul Securitate a datelor hibride și faceți clic pe Vizualizați toate. Apare pagina Resurse de securitate a datelor hibride. Clusterul nou creat va apărea în pagina Resurse . Faceți clic pe cluster pentru a vizualiza nodurile alocate clusterului. Faceți clic pe Adăugați un nod în partea dreaptă a ecranului. Introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Adăugați. Se deschide o pagină cu un mesaj care indică faptul că vă puteți înscrie nodul în cloudul Webex. După câteva momente, veți fi redirecționat(ă) către testele de conectivitate a nodului pentru serviciile Webex. Dacă toate testele sunt reușite, apare pagina Permiteți accesul la Nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați organizației dvs. permisiuni pentru a vă accesa nodul. Bifați caseta de selectare Permiteți accesul la nodul de securitate a datelor hibride , apoi faceți clic pe Continuați. Contul dvs. este validat, iar mesajul „Înscriere finalizată” indică faptul că nodul dvs. este acum înscris în cloudul Webex. Faceți clic pe link sau închideți fila pentru a reveni la pagina Securitatea datelor hibride Partner Hub. Mesajul pop-up Adăugat la nod apare, de asemenea, în partea de jos a ecranului din Partner Hub. Nodul dvs. este înregistrat.

Gestionați organizațiile entității găzduite pe securitatea datelor hibride cu entități găzduite multiple

Activați HDS cu entități găzduite multiple în Partner Hub

Această sarcină asigură că toți utilizatorii organizațiilor client pot începe să utilizeze HDS pentru cheile de criptare locale și alte servicii de securitate.

Înainte de a începe

Asigurați-vă că ați finalizat configurarea clusterului HDS cu entități găzduite multiple cu numărul necesar de noduri.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Editare setări.
4	Faceți clic pe Activare HDS pe cardul Stare HDS .

Adăugați organizații ale entităților găzduite în Partner Hub

În această sarcină, alocați organizații client la Clusterul dvs. de securitate a datelor hibride.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Vizualizați toate.
4	Faceți clic pe clusterul căruia doriți să i se atribuie un client.
5	Accesați fila Clienți alocați .
6	Faceți clic pe Adăugați clienți.
7	Selectați clientul pe care doriți să îl adăugați din meniul derulant.
8	Faceți clic pe Adăugare, clientul va fi adăugat la cluster.
9	Repetați pașii 6-8 pentru a adăuga mai mulți clienți la clusterul dvs.
10	Faceți clic pe Gata în partea de jos a ecranului după ce ați adăugat clienții.

Ce este de făcut în continuare

Rulați instrumentul de configurare HDS conform detaliilor din Creați chei principale ale clientului (CMK) utilizând instrumentul de configurare HDS pentru a finaliza procesul de configurare.

Creați chei principale ale clientului (CMK) utilizând instrumentul de configurare HDS

Înainte de a începe

Alocați clienți la clusterul corespunzător, după cum este detaliat în Adăugați organizații găzduite în Partner Hub. Rulați instrumentul de configurare HDS pentru a finaliza procesul de configurare pentru organizațiile client nou adăugate.

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită detaliile de autentificare ale unui cont Partner Hub cu drepturi de administrator depline pentru organizația dvs.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker la pasul 5. Acest tabel oferă câteva posibile variabile de mediu:

Descriere	Variabilă
Proxy HTTP fără autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS fără autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP cu autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT`
Proxy HTTPS cu autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT`

Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier ori de câte ori efectuați modificări de configurație, cum ar fi:
- Acreditări bază de date
- Actualizări certificat
- Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile bazei de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi, utilizați ISO pentru a configura gazda de securitate a datelor hibride.

1	La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite: `configurare rmi ciscocitg/hds: stabil` În mediile FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.
2	Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele: `docker login -u hdscustomersro`
3	La solicitarea parolei, introduceți acest hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite: `configurație ciscocitg/hds docker: stabil` În mediile FedRAMP: `docker extragere ciscocitg/hds-setup-fedramp:stabil`
5	Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În mediile FedRAMP fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”.
6	Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală. Utilizați un browser web pentru a accesa gazda locală `http://127.0.0.1:8080` și a introduce numele de utilizator de administrator pentru Partner Hub la solicitare. Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul corespunzător pentru acel cont. Instrumentul afișează apoi mesajul standard de conectare.
7	Când vi se solicită, introduceți acreditările de conectare de administrator Partner Hub, apoi faceți clic pe Conectați-vă pentru a permite accesul la serviciile necesare pentru Securitatea datelor hibride.
8	Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Începeți.
9	Pe pagina Import ISO , faceți clic pe Da.
10	Selectați fișierul dvs. ISO în browser și încărcați-l. Asigurați conexiunea la baza dvs. de date pentru a efectua gestionarea CMK.
11	Accesați fila Administrare CMK entitate găzduită , unde veți găsi următoarele trei modalități de a gestiona CMK entitate găzduită. Creare CMK pentru toate ORGANIZAȚIILE sau Creare CMK - Faceți clic pe acest buton de pe bannerul din partea de sus a ecranului pentru a crea CMK pentru toate organizațiile nou adăugate. Faceți clic pe butonul Gestionare CMK din partea dreaptă a ecranului și faceți clic pe Creare CMK pentru a crea CMK-uri pentru toate organizațiile nou adăugate. Faceți clic… lângă starea în așteptare a gestionării CMK a unei anumite organizații din tabel și faceți clic pe Creați CMK pentru a crea CMK pentru organizația respectivă.
12	Odată ce crearea CMK reușește, starea din tabel se va schimba din În așteptare gestionare CMK în Gestionat CMK.
13	Dacă crearea CMK nu reușește, se va afișa o eroare.

Eliminați organizațiile entității găzduite

Înainte de a începe

După eliminare, utilizatorii organizațiilor client nu vor putea folosi HDS pentru nevoile lor de criptare și vor pierde toate spațiile existente. Înainte de a elimina organizațiile client, contactați-vă partenerul Cisco sau managerul de cont.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Vizualizați toate.
4	În fila Resurse , faceți clic pe clusterul din care doriți să eliminați organizațiile client.
5	În pagina care se deschide, faceți clic pe Clienți alocați.
6	Din lista de organizații client care se afișează, faceți clic pe ... în partea dreaptă a organizației client pe care doriți să o eliminați și faceți clic pe Eliminare din cluster.

Ce este de făcut în continuare

Finalizați procesul de eliminare prin revocarea CMK-urilor organizațiilor client, așa cum este detaliat în Revocarea CMK-urilor entităților găzduite eliminate din HDS.

Revocați CMK-urile entităților găzduite eliminate din HDS.

Înainte de a începe

Eliminați clienții din clusterul corespunzător, așa cum este detaliat în Eliminați organizațiile entității găzduite. Rulați instrumentul de configurare HDS pentru a finaliza procesul de eliminare pentru organizațiile client care au fost eliminate.

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită detaliile de autentificare ale unui cont Partner Hub cu drepturi de administrator depline pentru organizația dvs.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker la pasul 5. Acest tabel oferă câteva posibile variabile de mediu:

Descriere	Variabilă
Proxy HTTP fără autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS fără autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP cu autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT`
Proxy HTTPS cu autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT`

Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier ori de câte ori efectuați modificări de configurație, cum ar fi:
- Acreditări bază de date
- Actualizări certificat
- Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile bazei de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi, utilizați ISO pentru a configura gazda de securitate a datelor hibride.

1	La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite: `configurare rmi ciscocitg/hds: stabil` În mediile FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.
2	Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele: `docker login -u hdscustomersro`
3	La solicitarea parolei, introduceți acest hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite: `configurație ciscocitg/hds docker: stabil` În mediile FedRAMP: `docker extragere ciscocitg/hds-setup-fedramp:stabil`
5	Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În mediile FedRAMP fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”.
6	Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală. Utilizați un browser web pentru a accesa gazda locală `http://127.0.0.1:8080` și a introduce numele de utilizator de administrator pentru Partner Hub la solicitare. Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul corespunzător pentru acel cont. Instrumentul afișează apoi mesajul standard de conectare.
7	Când vi se solicită, introduceți acreditările de conectare de administrator Partner Hub, apoi faceți clic pe Conectați-vă pentru a permite accesul la serviciile necesare pentru Securitatea datelor hibride.
8	Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Începeți.
9	Pe pagina Import ISO , faceți clic pe Da.
10	Selectați fișierul dvs. ISO în browser și încărcați-l.
11	Accesați fila Administrare CMK entitate găzduită , unde veți găsi următoarele trei modalități de a gestiona CMK entitate găzduită. Revocare CMK pentru toate ORGANIZAȚIILE sau Revocare CMK - Faceți clic pe acest buton de pe bannerul din partea de sus a ecranului pentru a revoca CMK-urile tuturor organizațiilor care au fost eliminate. Faceți clic pe butonul Gestionare CMK din partea dreaptă a ecranului și faceți clic pe Revocare CMK pentru a revoca CMK-urile tuturor organizațiilor care au fost eliminate. Faceți clic pe lângă starea CMK pentru a fi revocată a unei anumite organizații din tabel și faceți clic pe Revocare CMK pentru a revoca CMK pentru organizația respectivă.
12	Odată ce revocarea CMK reușește, organizația client nu va mai apărea în tabel.
13	Dacă revocarea CMK nu reușește, se va afișa o eroare.

Testați implementarea securității datelor hibride

Utilizați această procedură pentru a testa scenariile de criptare a securității datelor hibride cu entități găzduite multiple.

Înainte de a începe

Configurați implementarea securității datelor hibride cu entități găzduite multiple.
Asigurați-vă că aveți acces la syslog pentru a verifica dacă solicitările cheie sunt transmise la implementarea securității datelor hibride cu entități găzduite multiple.

1

Tastele pentru un anumit spațiu sunt setate de către creatorul spațiului. Conectați-vă la Aplicația Webex ca unul dintre utilizatorii organizației client, apoi creați un spațiu.

Dacă dezactivați implementarea securității datelor hibride, conținutul din spațiile pe care le creează utilizatorii nu mai este accesibil odată ce copiile din memoria cache a cheilor de criptare sunt înlocuite.

2

Trimiteți mesaje către noul spațiu.

3

Verificați ieșirea syslog pentru a verifica dacă solicitările cheie sunt transmise la implementarea securității datelor hibride.

Pentru a verifica dacă un utilizator stabilește mai întâi un canal securizat către KMS, filtrați după kms.data.method=create și kms.data.type=COLLECTION_KEY_:

Ar trebui să găsiți o intrare precum următoarea (identificatori scurtați pentru lizibilitate):

2020-07-21 17:35:34.562 (+0000) INFORMAȚII KMS [pool-14-thread-1] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Pentru a verifica dacă un utilizator solicită o cheie existentă din KMS, filtrați kms.data.method=retrieve și kms.data.type=KEY:

Ar trebui să găsiți o intrare precum:

2020-07-21 17:44:19.889 (+0000) INFORMAȚII KMS [pool-14-thread-31] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=CHEIE, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Pentru a verifica dacă există un utilizator care solicită crearea unei noi chei KMS, filtrați după kms.data.method=create și kms.data.type=KEY_COLLECTION:

Ar trebui să găsiți o intrare precum:

2020-07-21 17:44:21.975 (+0000) INFORMAȚII KMS [pool-14-thread-33] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Pentru a verifica dacă un utilizator solicită crearea unui nou obiect de resurse KMS (KRO) atunci când este creat un spațiu sau o altă resursă protejată, filtrați după kms.data.method=create și kms.data.type=RESOURCE_COLLECTION:

Ar trebui să găsiți o intrare precum:

2020-07-21 17:44:22.808 (+0000) INFORMAȚII KMS [pool-15-thread-1] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURSĂ_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorizați Securitatea datelor hibride

Un indicator de stare din Partner Hub vă arată dacă implementarea securității datelor hibride cu entități găzduite multiple este în regulă. Pentru o alertă mai proactivă, înscrieți-vă pentru notificări prin e-mail. Veți fi notificat atunci când există alarme sau upgrade-uri de software cu impact asupra serviciului.

1	În Partner Hub, selectați Servicii din meniul din partea stângă a ecranului.
2	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Editare setări. Apare pagina Setări de securitate a datelor hibride.
3	În secțiunea Notificări prin e-mail, introduceți una sau mai multe adrese de e-mail separate prin virgule și apăsați Enter.

Gestionați implementarea HDS

Utilizați sarcinile descrise aici pentru a gestiona implementarea securității datelor hibride.

Setați programarea upgrade-ului clusterului

Upgrade-urile software pentru Securitatea datelor hibride se efectuează automat la nivel de cluster, ceea ce garantează faptul că toate nodurile rulează întotdeauna aceeași versiune software. Upgrade-urile se efectuează în funcție de programul de upgrade pentru cluster. Atunci când un upgrade de software devine disponibil, aveți opțiunea de a efectua manual upgrade-ul clusterului înainte de ora programată pentru upgrade. Puteți seta un anumit program de upgrade sau puteți utiliza programul implicit de upgrade de la ora 3:00 a.m. Zilnic în Statele Unite: America/Los Angeles. De asemenea, puteți alege să amânați un upgrade viitor, dacă este necesar.

Pentru a seta programul de upgrade:

1	Conectați-vă la Hubul pentru parteneri.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Configurare
4	Pe pagina Resurse de securitate a datelor hibride, selectați clusterul.
5	Faceți clic pe fila Setări cluster .
6	În pagina Setări cluster, sub Programare upgrade, selectați ora și fusul orar pentru programarea upgrade-ului. Notă: În fusul orar se afișează următoarea dată și oră de upgrade disponibile. Puteți amâna upgrade-ul până în ziua următoare, dacă este necesar, făcând clic pe Amânare cu 24 de ore.

Modificați configurația nodului

Ocazional, poate fi necesar să modificați configurația nodului hibrid de securitate a datelor dintr-un motiv ar fi:

Modificarea certificatelor x.509 din cauza expirării sau din alte motive.

Nu acceptăm schimbarea numelui de domeniu CN al unui certificat. Domeniul trebuie să se potrivească cu domeniul inițial utilizat pentru înregistrarea clusterului.
Actualizarea setărilor bazei de date pentru a trece la o replică a bazei de date PostgreSQL sau Microsoft SQL Server.

Nu acceptăm migrarea datelor de la PostgreSQL la Microsoft SQL Server sau invers. Pentru a schimba mediul bazei de date, începeți o nouă implementare a Hybrid Data Security.
Crearea unei noi configurații pentru a pregăti un nou centru de date.

De asemenea, în scopuri de securitate, Hybrid Data Security utilizează parole de cont de serviciu care au o durată de viață de nouă luni. După ce instrumentul de instalare HDS generează aceste parole, le implementați la fiecare dintre nodurile HDS în fișierul de configurare ISO. Când parolele organizației se apropie de expirare, primiți o notificare de la echipa Webex pentru a reseta parola pentru contul dvs. (E-mailul include textul „Utilizați API-ul contului de mașină pentru a actualiza parola.”) Dacă parolele nu au expirat încă, instrumentul vă oferă două opțiuni:

Resetare ușoară—Parolele vechi și cele noi funcționează timp de până la 10 zile. Folosiți această perioadă pentru a înlocui treptat fișierul ISO pe noduri.
Resetare forțată—Parolele vechi nu mai funcționează imediat.

Dacă parolele dvs. expiră fără resetare, acest lucru va afecta serviciul HDS, necesitând o resetare hardware imediată și înlocuirea fișierului ISO pe toate nodurile.

Utilizați această procedură pentru a genera un nou fișier ISO de configurare și pentru a-l aplica clusterului dvs.

Înainte de a începe

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită datele de autentificare ale unui cont Partner Hub cu drepturi depline de administrator pentru partener.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker în 1.e. Acest tabel oferă câteva posibile variabile de mediu:

Descriere	Variabilă
Proxy HTTP fără autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS fără autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP cu autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT`
Proxy HTTPS cu autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT`

Aveți nevoie de o copie a fișierului ISO de configurare curent pentru a genera o nouă configurație. ISO conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de ISO când faceți modificări de configurare, inclusiv acreditările bazei de date, actualizări de certificate sau modificări ale politicii de autorizare.

1	Folosind Docker pe o mașină locală, rulați Instrumentul de configurare HDS. La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite: `configurare rmi ciscocitg/hds: stabil` În mediile FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora. Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele: `docker login -u hdscustomersro` La solicitarea parolei, introduceți acest hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite: `configurație ciscocitg/hds docker: stabil` În mediile FedRAMP: `docker extragere ciscocitg/hds-setup-fedramp:stabil` Asigurați-vă că utilizați cel mai recent instrument de configurare pentru această procedură. Versiunile instrumentului create înainte de 22 februarie 2018 nu au ecrane de resetare a parolei. Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În medii obișnuite cu un HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În mediile FedRAMP fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Când containerul se execută, vedeți "Express server de ascultare pe portul 8080." Utilizați un browser pentru a vă conecta la localhost, `http://127.0.0.1:8080`. Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală. Când vi se solicită, introduceți acreditările de conectare ale clientului Partner Hub și apoi faceți clic pe Acceptați pentru a continua. Importați fișierul ISO de configurare curentă. Urmați instrucțiunile pentru a finaliza instrumentul și descărcați fișierul actualizat. Pentru a închide instrumentul de configurare, tastați `CTRL+C`. Creați o copie de rezervă a fișierului actualizat într-un alt centru de date.
2	Dacă aveți un singur nod HDS care rulează, creați un nou VM nod de securitate a datelor hibride și înregistrați-l utilizând noul fișier ISO de configurare. Pentru instrucțiuni mai detaliate, consultați Creați și înscrieți mai multe noduri. Instalați OVA gazdă HDS. Configurați VM HDS. Montați fișierul de configurare actualizat. Înscrieți noul nod în Partner Hub.
3	Pentru nodurile HDS existente care rulează fișierul de configurare mai vechi, montați fișierul ISO. Efectuați următoarea procedură pe fiecare nod pe rând, actualizând fiecare nod înainte de a opri următorul nod: Opriți mașina virtuală. În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările. Faceți clic pe `UNITATE CD/DVD 1`, selectați opțiunea de montare dintr-un fișier ISO și navigați la locația în care ați descărcat noul fișier ISO de configurare. Bifaţi Conectare la pornire. Salvați modificările și porniți mașina virtuală.
4	Repetați pasul 3 pentru a înlocui configurația pe fiecare nod rămas care rulează configurația veche.

Dezactivarea modului de rezoluție DNS extern blocat

Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează căutarea DNS și conectivitatea la cloud-ul Cisco Webex. Dacă serverul DNS al nodului nu poate rezolva numele DNS publice, nodul intră automat în modul Rezoluție DNS externă blocată.

Dacă nodurile sunt capabile să rezolve numele DNS publice prin serverele DNS interne, puteți dezactiva acest mod prin reluarea testului de conexiune proxy pe fiecare nod.

Înainte de a începe

Asigurați-vă că serverele DNS interne pot rezolva numele DNS publice și că nodurile pot comunica cu acestea.

1	Într-un browser web, deschideți interfața nodului Hibrid Data Security (adresa IP/configurare, de exemplu, https://192.0.2.0/setup), introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.
2	Accesați Prezentare generală (pagina implicită). Când este activată, Rezoluția DNS externă blocată este setată la Da.
3	Accesați pagina Trust Store & Proxy.
4	Faceți clic pe Verificare conexiune proxy. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a avut succes, nodul nu a reușit să ajungă la serverul DNS și va rămâne în acest mod. În caz contrar, după ce reporniți nodul și reveniți la pagina Prezentare generală, Rezoluția DNS externă blocată ar trebui să fie setată la nu.

Ce trebuie să faceți în continuare

Repetați testul de conexiune proxy pe fiecare nod din clusterul hibrid de securitate a datelor.

Eliminați un nod

Utilizați această procedură pentru a elimina un nod de securitate a datelor hibride din cloudul Webex. După ce eliminați nodul din cluster, ștergeți mașina virtuală pentru a preveni accesul în continuare la datele dvs. de securitate.

1

Utilizați clientul VMware vSphere de pe computerul dvs. pentru a vă conecta la gazda virtuală ESXi și pentru a porni mașina virtuală.

2

Eliminați nodul:

Conectați-vă la Partner Hub, apoi selectați Servicii.
Pe cardul Securitate a datelor hibride, faceți clic pe Vizualizați toate pentru a afișa pagina Resurse de securitate a datelor hibride.
Selectați clusterul pentru a-și afișa panoul Prezentare generală.
Faceți clic pe nodul pe care doriți să îl eliminați.
Faceți clic pe Anulați înscrierea acestui nod în panoul care apare în partea dreaptă
De asemenea, puteți anula înscrierea nodului făcând clic… în partea dreaptă a nodului și selectând Eliminați acest nod.

3

În clientul vSphere, ștergeți VM. (În panoul de navigare din stânga, faceți clic dreapta pe VM și faceți clic pe Ștergere.)

Dacă nu ștergeți VM, nu uitați să demontați fișierul ISO de configurare. Fără fișierul ISO, nu puteți utiliza VM pentru a accesa datele de securitate.

Recuperarea după dezastru utilizând centrul de date în așteptare

Cel mai critic serviciu pe care clusterul dvs. de securitate a datelor hibride îl oferă este crearea și stocarea cheilor utilizate pentru a cripta mesajele și alt conținut stocat în cloudul Webex. Pentru fiecare utilizator din organizație care este atribuit Securitatea datelor hibride, noile solicitări de creare a cheii sunt direcționate către cluster. Clusterul este, de asemenea, responsabil pentru returnarea cheilor pe care le-a creat oricărui utilizator autorizat să le recupereze, de exemplu, membrilor unui spațiu de conversație.

Deoarece clusterul îndeplinește funcția critică de furnizare a acestor chei, este imperativ ca clusterul să rămână în funcțiune și să fie menținute copiile de rezervă corespunzătoare. Pierderea bazei de date hibride de securitate a datelor sau a ISO-ului de configurare utilizat pentru schemă va duce la PIERDEREA IREVERSIBILĂ a conținutului clientului. Pentru a preveni o astfel de pierdere sunt obligatorii următoarele practici:

Dacă un dezastru face ca implementarea HDS în centrul de date principal să devină indisponibilă, urmați această procedură pentru a trece manual la centrul de date în așteptare.

Înainte de a începe

Anulați înscrierea tuturor nodurilor din Partner Hub, după cum este menționat în Eliminați un nod. Utilizați cel mai recent fișier ISO care a fost configurat în raport cu nodurile clusterului care era activ anterior, pentru a efectua procedura de reluare în caz de nereușită menționată mai jos.

1	Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.
2	Finalizați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit.
3	Faceți o copie de rezervă a fișierului ISO în sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la acei administratori de securitate a datelor hibride care ar trebui să efectueze modificări de configurație.
4	În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările.
5	Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Datastore ISO File. Asigurați-vă că sunt bifate opțiunile Conectat și Conectare la pornire , astfel încât modificările actualizate ale configurației să poată intra în vigoare după pornirea nodurilor.
6	Porniți nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute.
7	Înscrieți nodul în Partner Hub. Consultați Înscrieți primul nod din cluster.
8	Repetați procesul pentru fiecare nod din centrul de date în așteptare.

Ce este de făcut în continuare

După reluarea în caz de nereușită, în cazul în care centrul de date principal redevine activ, anulați înregistrarea nodurilor centrului de date în așteptare și repetați procesul de configurare ISO și de înregistrare a nodurilor centrului de date principal, după cum s-a menționat mai sus.

(Opțional) Demontați ISO după configurarea HDS

Configurația standard HDS rulează cu ISO montat. Dar, unii clienți preferă să nu lase fișierele ISO montate continuu. Puteți demonta fișierul ISO după ce toate nodurile HDS preiau noua configurație.

Încă utilizați fișierele ISO pentru a efectua modificări de configurație. Când creați un nou ISO sau actualizați un ISO prin intermediul instrumentului de configurare, trebuie să montați ISO actualizat pe toate nodurile HDS. După ce toate nodurile au preluat modificările de configurație, puteți demonta din nou ISO cu această procedură.

Înainte de a începe

Efectuați upgrade pentru toate nodurile HDS la versiunea 2021.01.22.4720 sau la o versiune ulterioară.

1	Închideți unul dintre nodurile HDS.
2	În dispozitivul vCenter Server, selectați nodul HDS.
3	Alegeți Editare setări > Unitate CD/DVD și debifați Datastore ISO File.
4	Porniți nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 20 de minute.
5	Repetați la rând pentru fiecare nod HDS.

Soluționați problemele privind securitatea datelor hibride

Vizualizați alertele și soluționarea problemelor

O implementare de securitate a datelor hibride este considerată indisponibilă dacă toate nodurile din cluster sunt inaccesibile sau clusterul funcționează atât de lent încât necesită timp liber. Dacă utilizatorii nu pot contacta Clusterul dvs. de securitate a datelor hibride, vor prezenta următoarele simptome:

Nu se pot crea spații noi (nu se pot crea chei noi)
Mesajele și titlurile spațiului nu au putut fi decriptate pentru:
- Utilizatori noi adăugați într-un spațiu (nu se pot prelua cheile)
- Utilizatori existenți într-un spațiu utilizând un client nou (nu se pot prelua cheile)
Utilizatorii existenți dintr-un spațiu vor continua să ruleze cu succes atât timp cât clienții lor au o memorie cache a cheilor de criptare

Este important să monitorizați în mod corespunzător clusterul de securitate a datelor hibride și să abordați prompt orice alerte pentru a evita întreruperea serviciului.

Alerte

Dacă există o problemă cu configurarea securității datelor hibride, Partner Hub afișează alerte administratorului organizației și trimite e-mailuri la adresa de e-mail configurată. Alertele acoperă multe scenarii comune.

Tabelul 1. Probleme comune și pașii pentru a le rezolva
Alertă	Acțiune
Eroare de acces la baza de date locală.	Verificați dacă există erori la baza de date sau probleme de rețea locală.
Eroare de conexiune la baza de date locală.	Verificați dacă serverul bazei de date este disponibil și dacă s-au utilizat datele de autentificare corecte la contul de serviciu în configurarea nodului.
Acces nereușit la serviciul cloud.	Verificați dacă nodurile pot accesa serverele Webex, conform specificațiilor din Cerințe de conectivitate externă.
Se reînnoiește înscrierea la serviciul cloud.	Înscrierea la serviciile cloud a fost abandonată. Înregistrarea este în curs de reînnoire.
Înscrierea la serviciul cloud a scăzut.	Înscrierea la serviciile cloud a fost încheiată. Serviciul se oprește.
Serviciul nu a fost încă activat.	Activați HDS în Partner Hub.
Domeniul configurat nu corespunde certificatului serverului.	Asigurați-vă că certificatul dvs. de server corespunde domeniului de activare a serviciului configurat. Cauza cea mai probabilă este că certificatul NC a fost modificat recent și este acum diferit de cel utilizat în timpul configurării inițiale.
Nu s-a reușit autentificarea la serviciile cloud.	Verificați acuratețea și posibila expirare a acreditărilor contului de serviciu.
Nu s-a reușit deschiderea fișierului de keystore local.	Verificați integritatea și acuratețea parolei în fișierul de keystore local.
Certificatul serverului local nu este valid.	Verificați data de expirare a certificatului serverului și confirmați că acesta a fost emis de o autoritate de certificare de încredere.
Nu se pot publica măsurătorile.	Verificați accesul rețelei locale la serviciile externe din cloud.
Directorul /media/configdrive/hds nu există.	Verificați configurația de montare ISO pe gazda virtuală. Verificați dacă fișierul ISO există, dacă este configurat pentru montare la repornire și dacă se montează cu succes.
Configurarea organizației entității găzduite nu este finalizată pentru organizațiile adăugate	Finalizați configurarea prin crearea de CMK-uri pentru organizațiile de entități găzduite nou adăugate utilizând Instrumentul de configurare HDS.
Configurarea organizației entității găzduite nu este finalizată pentru organizațiile eliminate	Finalizați configurarea prin revocarea CMK-urilor organizațiilor găzduite care au fost eliminate cu ajutorul Instrumentului de configurare HDS.

Soluționați problemele privind securitatea datelor hibride

Utilizați următoarele indicații generale atunci când depanați problemele cu Securitatea datelor hibride.

1	Consultați Partner Hub pentru orice alerte și remediați orice elemente pe care le găsiți acolo. Consultați imaginea de mai jos pentru referință.
2	Revizuiți ieșirea serverului syslog pentru activitatea din implementarea securității datelor hibride. Filtru pentru cuvinte precum „Avertisment” și „Eroare” pentru a ajuta la depanare.
3	Contactați asistența Cisco.

Alte note

Probleme cunoscute privind securitatea datelor hibride

Dacă închideți clusterul de securitate a datelor hibride (prin ștergerea acestuia din Partner Hub sau prin închiderea tuturor nodurilor), pierdeți fișierul ISO de configurare sau pierdeți accesul la baza de date din keystore, utilizatorii Aplicației Webex din organizațiile client nu mai pot utiliza spațiile din lista lor de persoane care au fost create cu chei din KMS. Nu avem în prezent o soluție sau o soluție pentru această problemă și vă încurajăm să nu închideți serviciile dvs. HDS odată ce acestea gestionează conturile de utilizator active.
Un client care are o conexiune ECDH existentă la un KMS menține această conexiune pentru o perioadă de timp (probabil o oră).

Utilizați OpenSSL pentru a genera un fișier PKCS12

Înainte de a începe

OpenSSL este un instrument care poate fi utilizat pentru a face fișierul PKCS12 în formatul corect pentru încărcarea în instrumentul de configurare HDS. Există și alte modalități de a face acest lucru, iar noi nu sprijinim sau promovăm într-un mod mai presus de altul.
Dacă alegeți să utilizați OpenSSL, vă oferim această procedură ca ghid pentru a vă ajuta să creați un fișier care îndeplinește cerințele de certificat X.509 din Cerințele de certificat X.509. Înțelegeți aceste cerințe înainte de a continua.
Instalați OpenSSL într-un mediu acceptat. Consultați https://www.openssl.org pentru software și documentație.
Creați o cheie privată.
Inițiați această procedură atunci când primiți certificatul de server de la Certificate Authority (CA).

1	Când primiți certificatul de server de la CA, salvați-l ca `hdsnode.pem`.
2	Afișați certificatul ca text și verificați detaliile. `openssl x509 -text -noout -în hdsnode.pem`
3	Utilizați un editor de text pentru a crea un fișier pachet de certificate numit `hdsnode-bundle.pem`. Fișierul pachet trebuie să includă certificatul de server, orice certificate CA intermediare și certificatele CA rădăcină, în formatul de mai jos: `-----începeți certificatul------ ### Certificat de server. ### ------------------------------------ ### Certificat CA intermediar. ### ------------------------------------ ### Certificatul autorității de certificare rădăcină. ### -----încheiere certificat------`
4	Creați fișierul .p12 cu numele prietenos `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -nume kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Verificați detaliile certificatului serverului. `openssl pkcs12 -în hdsnode.p12` Introduceți o parolă la solicitarea de a cripta cheia privată astfel încât să fie afișată în ieșire. Apoi, verificați dacă cheia privată și primul certificat includ liniile `friendlyName: Cheie kms-privată`. Exemplu: bash$ openssl pkcs12 -în hdsnode.p12 Introduceți parola de import: MAC a verificat atributele pungii OK friendlyName: kms-private-cheie localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Atribute cheie: Introduceți fraza de acces PEM: Verificare - Introduceți fraza pass PEM: -----BEGIN CRIPTAT CHEIE PRIVATĂ----- -----END CRIPTAT CHEIE PRIVATĂ------- Atributele pungii prietenoaseName: kms-private-cheie localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us emitent=/C=US/O=Să criptăm/CN=Să criptăm autoritatea X3 -----BEGIN CERTIFICATE----- -----end certificate------- Atribute prietenoase cu pungaNume: CN=Să Criptăm Autoritatea X3,O=Să Criptăm,C=US subject=/C=US/O=Să Criptăm/CN=Să Criptăm Autoritatea X3 emitentă=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE---- -----END CERTIFICATE------

Ce este de făcut în continuare

Reveniți la Finalizați cerințele preliminare pentru securitatea datelor hibride. Veți utiliza fișierul hdsnode.p12 și parola pe care ați setat-o pentru acesta în Creați o configurație ISO pentru gazdele HDS.

Puteți reutiliza aceste fișiere pentru a solicita un nou certificat atunci când certificatul original expiră.

Trafic între nodurile HDS și cloud

Trafic de colectare a măsurătorilor de ieșire

Nodurile de securitate a datelor hibride trimit anumite măsurători în cloudul Webex. Printre acestea se numără măsurătorile de sistem privind numărul maxim de cadre, efectivul de cadre utilizate, sarcina procesorului și numărul de fire de execuție; măsurătorile privind șirurile sincronizate și asincrone; măsurătorile privind alertele care implică un prag de conexiuni de criptare, o latență sau o lungime a cozii de apeluri; măsurătorile privind baza de date și măsurătorile privind conexiunile de criptare. Nodurile trimit material cheie criptat printr-un canal în afara benzii (separat de solicitare).

Trafic de intrare

Nodurile de securitate a datelor hibride primesc următoarele tipuri de trafic de intrare din cloudul Webex:

Solicitări de criptare de la clienți, care sunt rutate de serviciul de criptare
Upgrade-uri la software-ul nodului

Configurarea proxy-urilor Squid pentru securitatea datelor hibride

Websocket nu se poate conecta prin Squid Proxy

Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea conexiunilor websocket (wss:) pe care Securitatea datelor hibride le necesită. Aceste secțiuni oferă îndrumări despre cum să configurați diferite versiuni de Squid pentru a ignora wss: traficul pentru funcționarea corespunzătoare a serviciilor.

Calmar 4 și 5

Adăugați on_unsupported_protocol directiva la squid.conf:

on_unsupported_protocol tunel toate

Calmar 3.5.27

Am testat cu succes Securitatea datelor hibride cu următoarele reguli adăugate la squid.conf. Aceste reguli pot fi modificate pe măsură ce dezvoltăm caracteristici și actualizăm cloud-ul Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 toate ssl_bump stare step2 toate ssl_bump bump3 toate

Informații noi și modificate

Acest tabel acoperă noile funcții sau funcționalități, modificările conținutului existent și orice erori majore care au fost remediate în Ghidul de implementare pentru securitatea datelor hibride cu entități găzduite multiple.

Dată	Modificări efectuate
ianuarie 08, 2025	S-a adăugat o notă în Efectuați configurarea inițială și descărcați fișierele de instalare , precizând că făcând clic pe Configurare pe cardul HDS din Partner Hub este un pas important al procesului de instalare.
ianuarie 07, 2025	Cerințe pentru gazda virtuală, Flux de sarcini de implementare a securității datelor hibride și Instalați HDS OVA gazdă pentru a afișa noua cerință pentru ESXi 7.0.
13 decembrie 2024	Prima publicare.

Dezactivați securitatea datelor hibride cu entități găzduite multiple

Fluxul de activități pentru dezactivarea HDS cu entități găzduite multiple

Urmați acești pași pentru a dezactiva complet HDS cu entități găzduite multiple.

Înainte de a începe

Această sarcină trebuie efectuată numai de un administrator complet pentru partener.

1	Eliminați toți clienții din toate clusterele dvs., după cum este menționat în Eliminați organizațiile entității găzduite.
2	Revocați CMK-urile tuturor clienților, după cum se menționează în Revocați CMK-urile entităților găzduite eliminate din HDS..
3	Eliminați toate nodurile din toate clusterele dvs., așa cum este menționat în Eliminați un nod.
4	Ștergeți toate clusterele din Partner Hub utilizând una dintre următoarele două metode. Faceți clic pe clusterul pe care doriți să îl ștergeți și selectați Ștergeți acest cluster din colțul din dreapta sus al paginii de prezentare generală. În pagina Resurse, faceți clic… pe partea dreaptă a unui cluster și selectați Eliminare cluster.
5	Faceți clic pe fila Setări din pagina de prezentare generală a securității datelor hibride și faceți clic pe Dezactivare HDS pe cardul de stare HDS.

Începeți cu Securitatea datelor hibride cu entități găzduite multiple

Prezentare generală a securității datelor hibride cu entități găzduite multiple

Încă din prima zi, securitatea datelor a fost accentul principal în proiectarea Aplicației Webex. Piatra de temelie a acestei securități este criptarea conținutului end-to-end, activată de clienții Aplicației Webex care interacționează cu Key Management Service (KMS). KMS este responsabil pentru crearea și gestionarea cheilor criptografice pe care clienții le utilizează pentru a cripta și decripta dinamic mesajele și fișierele.

În mod implicit, toți clienții Aplicației Webex primesc criptarea end-to-end cu cheile dinamice stocate în cloud KMS, în domeniul securității Cisco. Hybrid Data Security mută KMS și alte funcții legate de securitate în centrul de date al întreprinderii dvs., deci nimeni în afară de dvs. nu deține cheile conținutului dvs. criptat.

Securitatea datelor hibride cu entități găzduite multiple permite organizațiilor să utilizeze HDS prin intermediul unui partener local de încredere, care poate acționa ca furnizor de servicii și poate gestiona criptarea locală și alte servicii de securitate. Această configurație permite organizației partenere să aibă control complet asupra implementării și gestionării cheilor de criptare și garantează că datele de utilizator ale organizațiilor client sunt în siguranță împotriva accesului extern. Organizațiile partenere configurează instanțele HDS și creează clustere HDS după cum este necesar. Fiecare instanță poate accepta mai multe organizații ale clienților, spre deosebire de o implementare HDS obișnuită, care este limitată la o singură organizație.

Deși organizațiile partenere au control asupra implementării și gestionării, acestea nu au acces la datele și conținutul generate de clienți. Acest acces este limitat la organizațiile clienților și la utilizatorii acestora.

Acest lucru permite, de asemenea, organizațiilor mai mici să profite de HDS, deoarece serviciile de gestionare a cheilor și infrastructura de securitate, cum ar fi centrele de date, sunt deținute de partenerul local de încredere.

Modul în care securitatea datelor hibride cu entități găzduite multiple oferă suveranitatea și controlul datelor

Conținutul generat de utilizatori este protejat împotriva accesului extern, cum ar fi furnizorii de servicii în cloud.
Partenerii locali de încredere gestionează cheile de criptare ale clienților cu care au deja o relație stabilită.
Opțiunea de asistență tehnică locală, dacă aceasta este furnizată de partener.
Acceptă conținut pentru întâlniri, mesagerie și apeluri.

Acest document are scopul de a ajuta organizațiile partenere să configureze și să gestioneze clienții într-un sistem de securitate a datelor hibride cu entități găzduite multiple.

Roluri în securitatea datelor hibride cu entități găzduite multiple

Administrator complet pentru partener - Poate gestiona setările pentru toți clienții pe care partenerul îi administrează. De asemenea, poate aloca roluri de administrator utilizatorilor existenți în organizație și poate aloca anumiți clienți care urmează să fie gestionați de administratorii partenerilor.
Administrator partener - Poate gestiona setările pentru clienții pe care administratorul i-a asigurat sau care au fost alocați utilizatorului.
Administrator cu drepturi depline - Administrator al organizației partenere care este autorizat să efectueze sarcini precum modificarea setărilor organizației, gestionarea licențelor și atribuirea rolurilor.

Configurarea integrală a HDS cu entități găzduite multiple și gestionarea tuturor organizațiilor clienților - Sunt necesare drepturi de administrator complet pentru partener și drepturi de administrator complet.
Gestionarea organizațiilor de entități găzduite alocate - Sunt necesare drepturile de administrator partener și de administrator cu drepturi depline.

Arhitectura domeniului securitate

Arhitectura cloud Webex separă diferite tipuri de servicii în domenii sau domenii de încredere separate, așa cum este descris mai jos.

Pentru a înțelege mai bine Securitatea datelor hibride, să aruncăm o privire mai întâi la acest caz în cloud pur, în care Cisco oferă toate funcțiile din domeniile sale cloud. Serviciul de identitate, singurul loc în care utilizatorii pot fi corelați direct cu informațiile lor personale, cum ar fi adresa de e-mail, este separat logic și fizic de domeniul securității din centrul de date B. Ambele sunt la rândul lor separate de domeniul în care conținutul criptat este stocat în cele din urmă, în centrul de date C.

În această diagramă, clientul este Aplicația Webex care rulează pe laptopul unui utilizator și s-a autentificat în serviciul de identitate. Atunci când utilizatorul compune un mesaj pentru a-l trimite unui spațiu, se efectuează următorii pași:

Clientul stabilește o conexiune securizată cu serviciul de gestionare a cheilor (KMS), apoi solicită o cheie pentru a cripta mesajul. Conexiunea securizată utilizează ECDH, iar KMS criptează cheia utilizând o cheie principală AES-256.
Mesajul este criptat înainte de a părăsi clientul. Clientul îl trimite către serviciul de indexare, care creează indici de căutare criptați pentru a ajuta la căutările viitoare ale conținutului.
Mesajul criptat este trimis către serviciul de conformitate pentru verificări ale conformității.
Mesajul criptat este stocat în domeniul de stocare.

Când implementați Securitatea datelor hibride, mutați funcțiile domeniului de securitate (KMS, indexare și conformitate) în centrul dvs. de date local. Celelalte servicii cloud care alcătuiesc Webex (inclusiv stocarea identității și a conținutului) rămân în domeniile Cisco.

Colaborarea cu alte organizații

Utilizatorii din organizația dvs. pot utiliza în mod regulat Aplicația Webex pentru a colabora cu participanți externi din alte organizații. Când unul dintre utilizatorii dvs. solicită o cheie pentru un spațiu deținut de organizația dvs. (deoarece a fost creat de unul dintre utilizatorii dvs.), KMS-ul trimite cheia către client printr-un canal securizat ECDH. Cu toate acestea, atunci când o altă organizație deține cheia pentru spațiu, KMS-ul dvs. direcționează solicitarea către cloudul Webex printr-un canal ECDH separat pentru a obține cheia de la KMS corespunzător, apoi returnează cheia utilizatorului pe canalul original.

Serviciul KMS care rulează pe Org A validează conexiunile la KMS din alte organizații utilizând certificate x.509 PKI. Consultați Pregătiți mediul dvs. pentru detalii despre generarea unui certificat x.509 pentru a fi utilizat cu implementarea securității datelor hibride cu entități găzduite multiple.

Așteptări privind implementarea securității datelor hibride

O implementare a securității datelor hibride necesită un angajament semnificativ și o conștientizare a riscurilor asociate cu deținerea cheilor de criptare.

Pentru a implementa Securitatea datelor hibride, trebuie să furnizați:

Un centru de date securizat într-o țară care este o locație acceptată pentru planurile Cisco Webex Teams.
Echipamentul, software-ul și accesul la rețea descrise în Pregătiți mediul.

Pierderea completă a ISO-ului de configurare pe care îl creați pentru Securitatea datelor hibride sau a bazei de date pe care o furnizați va duce la pierderea cheilor. Pierderea cheii împiedică utilizatorii să decripteze conținutul spațiului și alte date criptate în Aplicația Webex. Dacă se întâmplă acest lucru, puteți construi o nouă implementare, dar va fi vizibil numai conținut nou. Pentru a evita pierderea accesului la date, trebuie să:

Gestionați copiile de siguranță și recuperarea bazei de date și a configurației ISO.
Fiți pregătiți pentru a efectua recuperarea rapidă în caz de dezastru în cazul în care se produce o catastrofă, cum ar fi eșecul discului bazei de date sau dezastrul centrului de date.

Nu există niciun mecanism de mutare a cheilor înapoi în Cloud după o implementare HDS.

Proces de configurare la nivel înalt

Acest document se referă la configurarea și gestionarea unei implementări a securității datelor hibride cu entități găzduite multiple:

Configurați Securitatea datelor hibride—Aceasta include pregătirea infrastructurii necesare și instalarea software-ului de securitate a datelor hibride, construirea unui cluster HDS, adăugarea de organizații găzduite în cluster și gestionarea cheilor principale ale clientului (CMK). Acest lucru va permite tuturor utilizatorilor din organizațiile client să utilizeze clusterul dvs. de securitate a datelor hibride pentru funcții de securitate.

Fazele de configurare, activare și gestionare sunt tratate în detaliu în următoarele trei capitole.
Mențineți implementarea securității datelor hibride—Webex cloud oferă automat upgrade-uri în curs. Departamentul dvs. IT poate oferi asistență de nivel unu pentru această implementare și poate implica asistența Cisco după cum este necesar. Puteți utiliza notificările pe ecran și puteți configura alerte pe bază de e-mail în Partner Hub.
Înțelegeți alertele obișnuite, pașii de depanare și problemele cunoscute—Dacă întâmpinați probleme la implementarea sau utilizarea Securității datelor hibride, ultimul capitol al acestui ghid și anexa Probleme cunoscute vă pot ajuta să identificați și să remediați problema.

Model de implementare a securității datelor hibride

În centrul de date al întreprinderii, implementați Securitatea datelor hibride ca un singur cluster de noduri pe gazde virtuale separate. Nodurile comunică cu cloudul Webex prin websocketuri securizate și HTTP securizat.

În timpul procesului de instalare, vă oferim fișierul OVA pentru a configura dispozitivul virtual pe VM-urile pe care le furnizați. Utilizați instrumentul de configurare HDS pentru a crea un fișier ISO de configurare a clusterului personalizat, pe care îl montați pe fiecare nod. Clusterul de securitate a datelor hibride utilizează serverul Syslogd furnizat și baza de date PostgreSQL sau Microsoft SQL Server. (Configurați detaliile de conectare Syslogd și a bazei de date în instrumentul de configurare HDS.)

Model de implementare a securității datelor hibride

Numărul minim de noduri pe care le puteți avea într-un cluster este de două. Vă recomandăm cel puțin trei per cluster. Existența mai multor noduri asigură faptul că serviciul nu este întrerupt în timpul unui upgrade de software sau al altei activități de întreținere pe un nod. (Cloudul Webex efectuează upgrade numai pentru un nod la un moment dat.)

Toate nodurile dintr-un cluster accesează același server de date cheie și jurnal de activitate la același server syslog. Nodurile în sine sunt apatride și gestionează solicitările cheie în modul round-robin, așa cum este direcționat de cloud.

Nodurile devin active atunci când le înscrieți în Partner Hub. Pentru a scoate din uz un nod individual, puteți să-l anulați înscrierea și să-l reînscrieți ulterior, dacă este necesar.

Centrul de date în așteptare pentru recuperarea după dezastre

În timpul implementării, configurați un centru de date în așteptare securizat. În cazul unui dezastru al centrului de date, puteți eșua manual implementarea la centrul de date în așteptare.

Bazele de date ale centrelor de date active și de așteptare sunt sincronizate unele cu altele, ceea ce va minimiza timpul necesar pentru efectuarea comutării automate.

Nodurile active de securitate a datelor hibride trebuie să fie întotdeauna în același centru de date ca serverul de baze de date active.

Suport proxy

Hybrid Data Security acceptă inspectarea explicită, transparentă și proxy-uri care nu inspectează. Puteți lega aceste proxy-uri de implementare, astfel încât să puteți securiza și monitoriza traficul de la întreprindere în cloud. Puteți utiliza o interfață de administrator de platformă pe nodurile pentru gestionarea certificatelor și pentru a verifica starea generală a conectivității după ce ați configurat proxy-ul pe noduri.

Nodurile hibride de securitate a datelor acceptă următoarele opțiuni proxy:

Fără proxy—Setare implicită dacă nu utilizați configurația nodului HDS Trust Store și Proxy pentru a integra un proxy. Nu este necesară actualizarea certificatului.
Proxy transparent fără inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy și nu ar trebui să necesite modificări pentru a funcționa cu un proxy fără inspectare. Nu este necesară actualizarea certificatului.
Proxy transparent pentru tunelare sau inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy. Nu sunt necesare modificări de configurare HTTP sau HTTPS pe noduri. Cu toate acestea, nodurile au nevoie de un certificat rădăcină, astfel încât să aibă încredere în proxy. Proxy-urile de inspectare sunt de obicei utilizate de IT pentru a aplica politici pe care site-urile web pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).
Proxy explicit- Cu proxy explicit, spuneți nodurilor HDS ce server proxy și ce schemă de autentificare să utilizați. Pentru a configura un proxy explicit, trebuie să introduceți următoarele informații pe fiecare nod:
1. IP/FQDN proxy—Adresa care poate fi utilizată pentru a accesa computerul proxy.
2. Port proxy—Un număr de port utilizat de proxy pentru a asculta traficul protejat.
3. Protocol proxy- În funcție de ceea ce acceptă serverul proxy, alegeți dintre următoarele protocoale:
  - HTTP - Vizualizează și controlează toate solicitările pe care le trimite clientul.
  - HTTPS - Oferă un canal serverului. Clientul primește și validează certificatul serverului.
4. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:
  - Fără—Nu este necesară mai multă autentificare.
    
    Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
  - De bază—Utilizat pentru un agent de utilizator HTTP care furnizează un nume de utilizator și o parolă atunci când efectuează o solicitare. Utilizează codificarea Base64.
    
    Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
    
    Vă solicită să introduceți numele de utilizator și parola pe fiecare nod.
  - Rezumat- Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite prin rețea.
    
    Disponibil numai dacă selectați HTTPS ca protocol proxy.
    
    Vă solicită să introduceți numele de utilizator și parola pe fiecare nod.

Exemplu de noduri hibride de securitate a datelor și proxy

Această diagramă afișează un exemplu de conexiune între securitatea datelor hibride, rețea și un proxy. Pentru opțiunile proxy de inspectare transparente și https explicit inspectare, același certificat rădăcină trebuie să fie instalat pe proxy și pe nodurile hibride de securitate a datelor.

Modul de rezolvare DNS extern blocat (configurații proxy explicite)

Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează căutarea DNS și conectivitatea la cloud-ul Cisco Webex. În implementările cu configurații proxy explicite care nu permit rezoluția DNS externă pentru clienții interni, dacă nodul nu poate interoga serverele DNS, acesta intră automat în modul Rezoluție DNS externă blocată. În acest mod, înregistrarea nodului și alte teste de conectivitate proxy pot continua.

Pregătiți mediul dvs.

Cerințe pentru securitatea datelor hibride cu entități găzduite multiple

Cerințe de licență Cisco Webex

Pentru a implementa securitatea datelor hibride cu entități găzduite multiple:

Organizații partenere: Contactați partenerul dvs. Cisco sau managerul de cont și asigurați-vă că funcția entitate găzduită multiplă este activată.
Organizații entitate găzduită: Trebuie să aveți pachetul Pro pentru Cisco Webex Control Hub. (Consultați https://www.cisco.com/go/pro-pack.)

Cerințe desktop docker

Înainte de a instala nodurile HDS, aveți nevoie de Docker Desktop pentru a rula un program de configurare. Docker și-a actualizat recent modelul de licențiere. Este posibil ca organizația să necesite un abonament plătit pentru Docker Desktop. Pentru detalii, consultați postarea de pe blogul Docker, " Docker actualizează și extinde abonamentele noastre de produse".

Cerințe certificat X.509

Lanțul de certificate trebuie să îndeplinească următoarele cerințe:

Tabelul 1. Cerințe privind certificatul X.509 pentru implementarea securității datelor hibride
Obligatoriu	Detalii
Semnat de o Autoritate de certificare (CA) de încredere	În mod implicit, avem încredere în CA-urile din lista Mozilla (cu excepția WoSign și StartCom) la https://wiki.mozilla.org/CA:IncludedCAs.
Conține un nume de domeniu comun (CN) care identifică implementarea securității datelor hibride Nu este un certificat wildcard	CN nu trebuie să fie accesibil sau gazdă live. Vă recomandăm să utilizați un nume care reflectă organizația dvs., de exemplu `hds.company.com`. NC nu trebuie să conțină un * (wildcard). CN este utilizat pentru a verifica nodurile de securitate a datelor hibride pentru clienții Aplicației Webex. Toate nodurile de securitate a datelor hibride din clusterul dvs. utilizează același certificat. KMS se identifică utilizând domeniul CN, nu orice domeniu definit în câmpurile SAN x.509v3. După ce ați înregistrat un nod cu acest certificat, nu acceptăm schimbarea numelui domeniului CN.
Semnătură non-SHA1	Software-ul KMS nu acceptă semnăturile SHA1 pentru validarea conexiunilor la KMS-urile altor organizații.
Formatat ca fișier PKCS #12 protejat prin parolă Utilizați numele prietenos al `kms-private-key` pentru a eticheta certificatul, cheia privată și orice certificate intermediare de încărcat.	Puteți utiliza un convertor, cum ar fi OpenSSL, pentru a schimba formatul certificatului. Va trebui să introduceți parola atunci când rulați instrumentul de configurare HDS.

Software-ul KMS nu impune utilizarea cheii sau restricțiile extinse de utilizare a cheii. Unele autorități de certificare solicită ca restricțiile extinse de utilizare a cheii să fie aplicate fiecărui certificat, cum ar fi autentificarea pe server. Este ok să utilizați autentificarea pe server sau alte setări.

Cerințe pentru gazda virtuală

Gazdele virtuale pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. au următoarele cerințe:

Cel puțin două gazde separate (3 recomandată) se află în același centru de date securizat
VMware ESXi 7.0 (sau o versiune ulterioară) instalat și rulează.

Trebuie să efectuați upgrade dacă aveți o versiune anterioară de ESXi.
Minimum 4 vCPU-uri, 8 GB memorie principală, 30 GB spațiu pe hard disk local per server

Cerințe server de bază de date

Creați o nouă bază de date pentru stocarea cheilor. Nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.

Există două opțiuni pentru serverul de bază de date. Cerințele pentru fiecare dintre acestea sunt următoarele:

Tabelul 2. Cerințele serverului de baze de date în funcție de tipul de bază de date
Parolă	Server Microsoft SQL
PostgreSQL 14, 15 sau 16, instalat și rulează.	Serverul SQL 2016, 2017 sau 2019 (Enterprise sau Standard) este instalat. Serverul SQL 2016 necesită Service Pack 2 și Actualizarea cumulativă 2 sau o versiune ulterioară.
Minimum 8 vCPU-uri, 16 GB memorie principală, spațiu suficient pe hard disk și monitorizare pentru a vă asigura că nu este depășită (se recomandă 2-TB dacă doriți să rulați baza de date pentru o lungă perioadă de timp fără a fi nevoie să creșteți spațiul de stocare)	Minimum 8 vCPU-uri, 16 GB memorie principală, spațiu suficient pe hard disk și monitorizare pentru a vă asigura că nu este depășită (se recomandă 2-TB dacă doriți să rulați baza de date pentru o lungă perioadă de timp fără a fi nevoie să creșteți spațiul de stocare)

Software-ul HDS instalează în prezent următoarele versiuni de drivere pentru comunicarea cu serverul de bază de date:

Parolă	Server Microsoft SQL
Driver Postgres JDBC 42.2.5	Driver 4.6 pentru serverul SQL JDBC Această versiune de driver acceptă SQL Server activat permanent (Instanțe de cluster de reluare în caz de nereușită activată permanent și Grupuri de disponibilitate activate permanent).

Parolă

Server Microsoft SQL

Driver Postgres JDBC 42.2.5

Driver 4.6 pentru serverul SQL JDBC

Această versiune de driver acceptă SQL Server activat permanent (Instanțe de cluster de reluare în caz de nereușită activată permanent și Grupuri de disponibilitate activate permanent).

Cerințe suplimentare pentru autentificarea Windows împotriva Microsoft SQL Server

Dacă doriți ca nodurile HDS să utilizeze autentificarea Windows pentru a obține acces la baza dvs. de date keystore pe Microsoft SQL Server, atunci aveți nevoie de următoarea configurație în mediul dvs.:

Nodurile HDS, infrastructura Active Directory și serverul MS SQL trebuie să fie sincronizate cu NTP.
Contul Windows pe care îl furnizați nodurilor HDS trebuie să aibă acces de citire/scriere la baza de date.
Serverele DNS pe care le furnizați nodurilor HDS trebuie să poată rezolva centrul de distribuție a cheilor (KDC).
Puteți înregistra instanța bazei de date HDS pe serverul Microsoft SQL ca nume principal al serviciului (SPN) în Active Directory. Consultați Înscrierea unui nume principal de serviciu pentru conexiunile Kerberos.

Instrumentul de configurare HDS, lansatorul HDS și KMS local trebuie să utilizeze autentificarea Windows pentru a accesa baza de date din keystore. Aceștia utilizează detaliile din configurația ISO pentru a construi SPN atunci când solicitați acces cu autentificarea Kerberos.

Cerințe de conectivitate externă

Configurați firewall-ul pentru a permite următoarea conectivitate pentru aplicațiile HDS:

Aplicație	Protocol	Port	Direcție din aplicație	Destinație
Noduri de securitate a datelor hibride	TCP	443	HTTPS și WSS de ieșire	Servere Webex: .wbx2.com .ciscospark.com Toate gazdele Common Identity Alte URL-uri listate pentru Securitatea datelor hibride în tabelul URL-uri suplimentare pentru serviciile hibride Webex din Cerințe de rețea pentru serviciile Webex
Instrument de configurare HDS	TCP	443	HTTPS de ieșire	*.wbx2.com Toate gazdele Common Identity hub.docker.com

Nodurile de securitate a datelor hibride funcționează cu traducerea accesului la rețea (NAT) sau în spatele unui firewall, atât timp cât NAT sau firewall permite conexiunile de ieșire necesare la destinațiile de domeniu din tabelul precedent. Pentru conexiunile de intrare la nodurile de securitate a datelor hibride, nu trebuie să fie vizibile porturi de pe internet. În cadrul centrului dvs. de date, clienții au nevoie de acces la nodurile de securitate a datelor hibride de pe porturile TCP 443 și 22, în scopuri administrative.

URL-urile pentru gazdele Common Identity (CI) sunt specifice regiunii. Acestea sunt gazdele CI actuale:

Regiune	URL-uri gazdă Common Identity
Țările din America	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Uniunea Europeană	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapore	https://idbroker-sg.webex.com https://identity-sg.webex.com
Emiratele Arabe Unite	https://idbroker-ae.webex.com https://identity-ae.webex.com

Cerințe server proxy

Acceptăm oficial următoarele soluții proxy care se pot integra cu nodurile hibride de securitate a datelor.
- Proxy transparent - Cisco Web Security Appliance (WSA).
- Proxy explicit - Calmar.
  
  Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea conexiunilor websocket (wss:). Pentru a rezolva această problemă, consultați Configurați proxy-urile Squid pentru securitatea datelor hibride.
Acceptăm următoarele combinații de tip de autentificare pentru proxy-uri explicite:
- Fără autentificare cu HTTP sau HTTPS
- Autentificare de bază cu HTTP sau HTTPS
- Autentificare digest numai cu HTTPS
Pentru un proxy de inspectare transparent sau un proxy explicit HTTPS, trebuie să aveți o copie a certificatului rădăcină al proxy-ului. Instrucțiunile de implementare din acest ghid vă spun cum să încărcați copia în depozitele de încredere ale nodurilor hibride de securitate a datelor.
Rețeaua care găzduiește nodurile HDS trebuie să fie configurată pentru a forța traficul TCP de ieșire pe portul 443 pentru a ruta prin proxy.
Proxy-urile care inspectează traficul web pot interfera cu conexiunile de soclu web. Dacă apare această problemă, ocolirea (nu inspectarea) traficului către wbx2.com și ciscospark.com va rezolva problema.

Completați cerințele preliminare pentru securitatea datelor hibride

Utilizați această listă de verificare pentru a vă asigura că sunteți gata să instalați și să configurați clusterul de securitate a datelor hibride.

1	Asigurați-vă că organizația dvs. parteneră are activată funcția HDS pentru entități găzduite multiple și obțineți acreditările unui cont cu administrator complet pentru partener și drepturi de administrator complet. Asigurați-vă că organizația client Webex este activată pentru Pachetul Pro pentru Cisco Webex Control Hub. Contactați-vă partenerul Cisco sau managerul de cont pentru ajutor cu acest proces. Organizațiile client nu trebuie să aibă nicio implementare HDS existentă.
2	Alegeți un nume de domeniu pentru implementarea HDS (de exemplu, `hds.company.com`) și obțineți un lanț de certificate care conține un certificat X.509, o cheie privată și orice certificate intermediare. Lanțul de certificate trebuie să îndeplinească cerințele din Cerințele de certificat X.509.
3	Pregătiți gazde virtuale identice pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. Aveți nevoie de cel puțin două gazde separate (3 recomandată) care să fie co-localizate în același centru de date securizat, care să îndeplinească cerințele din Cerințele gazdei virtuale.
4	Pregătiți serverul de bază de date care va acționa ca magazin de date cheie pentru cluster, în conformitate cu Cerințele serverului de bază de date. Serverul de baze de date trebuie să fie amplasat în centrul de date securizat cu gazdele virtuale. Creați o bază de date pentru stocarea cheilor. (Trebuie să creați această bază de date – nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.) Colectați detaliile pe care nodurile le vor utiliza pentru a comunica cu serverul de bază de date: numele gazdei sau adresa IP (gazdă) și portul numele bazei de date (dbname) pentru stocarea cheii numele de utilizator și parola unui utilizator cu toate privilegiile în baza de date de stocare a cheii
5	Pentru recuperare rapidă în caz de dezastru, configurați un mediu de rezervă într-un alt centru de date. Mediul de rezervă oglindește mediul de producție al VM-urilor și al unui server de baze de date de rezervă. De exemplu, dacă producția are 3 VM care rulează noduri HDS, mediul de rezervă trebuie să aibă 3 VM.
6	Configurați o gazdă syslog pentru a colecta jurnale de la nodurile din cluster. Colectați adresa de rețea și portul syslog (implicit este UDP 514).
7	Creați o politică de rezervă securizată pentru nodurile de securitate a datelor hibride, serverul de baze de date și gazda syslog. Cel puțin, pentru a preveni pierderea de date nerecuperabile, trebuie să efectuați o copie de rezervă a bazei de date și a fișierului ISO de configurare generat pentru nodurile de securitate a datelor hibride. Deoarece nodurile de securitate a datelor hibride stochează cheile utilizate la criptarea și decriptarea conținutului, nerespectarea menținerii unei implementări operaționale va duce la PIERDEREA IREVERSIBILĂ a conținutului respectiv. Clienții Aplicației Webex își ascund cheile, astfel încât este posibil ca o întrerupere să nu fie vizibilă imediat, dar va deveni evidentă în timp. În timp ce întreruperile temporare sunt imposibil de prevenit, acestea sunt recuperabile. Cu toate acestea, pierderea completă (nu sunt disponibile copii de siguranță) a bazei de date sau a fișierului ISO de configurare va avea ca rezultat date nerecuperabile ale clienților. Operatorii nodurilor de securitate a datelor hibride trebuie să mențină copii de siguranță frecvente ale bazei de date și ale fișierului ISO de configurare și să fie pregătiți să reconstruiască centrul de date de securitate a datelor hibride în cazul unei defecțiuni catastrofale.
8	Asigurați-vă că configurația firewallului permite conectivitatea pentru nodurile de securitate a datelor hibride, așa cum este descris în Cerințe de conectivitate externă.
9	Instalați Docker (https://www.docker.com) pe orice mașină locală care rulează un sistem de operare acceptat (Microsoft Windows 10 Professional sau Enterprise pe 64 de biți sau Mac OSX Yosemite 10.10.3 sau o versiune ulterioară) cu un browser web care îl poate accesa la http://127.0.0.1:8080. Utilizați instanța Docker pentru a descărca și rula instrumentul de configurare HDS, care generează informațiile de configurare locală pentru toate nodurile de securitate a datelor hibride. Este posibil să aveți nevoie de o licență Docker Desktop. Consultați Cerințe desktop docker pentru mai multe informații. Pentru a instala și rula instrumentul de configurare HDS, dispozitivul local trebuie să aibă conectivitatea descrisă în Cerințe de conectivitate externă.
10	Dacă integrați un proxy cu Securitatea datelor hibride, asigurați-vă că acesta îndeplinește Cerințele serverului proxy.

Configurați un cluster de securitate a datelor hibride

Fluxul de activități de implementare a securității datelor hibride

Înainte de a începe

1	Efectuați configurarea inițială și descărcați fișierele de instalare Descărcați fișierul OVA pe computerul dvs. local pentru utilizare ulterioară.
2	Crearea unui ISO de configurare pentru gazdele HDS Utilizați instrumentul de configurare HDS pentru a crea un fișier de configurare ISO pentru nodurile de securitate a datelor hibride.
3	Instalați gazda HDS OVA Creați o mașină virtuală din fișierul OVA și efectuați configurația inițială, cum ar fi setările de rețea. Opțiunea de a configura setările de rețea în timpul implementării OVA a fost testată cu ESXi 7.0. Este posibil ca această opțiune să nu fie disponibilă în versiunile anterioare.
4	Configurați VM de securitate a datelor hibride Conectați-vă la consola VM și setați acreditările de conectare. Configurați setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.
5	Încărcarea și montarea ISO de configurare HDS Configurați VM din fișierul de configurare ISO pe care l-ați creat cu instrumentul de configurare HDS.
6	Configurarea nodului HDS pentru integrarea proxy Dacă mediul de rețea necesită configurație proxy, specificați tipul de proxy pe care îl veți utiliza pentru nod și adăugați certificatul proxy la magazinul de încredere, dacă este necesar.
7	Înscrieți primul nod din cluster Înscrieți VM cu cloudul Cisco Webex ca nod de securitate a datelor hibride.
8	Creați și înscrieți mai multe noduri Finalizați configurarea clusterului.
9	Activați HDS cu entități găzduite multiple în Partner Hub. Activați HDS și gestionați organizațiile de entități găzduite în Partner Hub.

Efectuați configurarea inițială și descărcați fișierele de instalare

În această sarcină, descărcați un fișier OVA pe computerul dvs. (nu pe serverele pe care le configurați ca noduri de securitate a datelor hibride). Veți utiliza acest fișier mai târziu în procesul de instalare.

1	Conectați-vă la Partner Hub, apoi faceți clic pe Servicii.
2	În secțiunea Servicii cloud, găsiți cardul Securitate a datelor hibride, apoi faceți clic pe Configurare. Făcând clic pe Configurare în Partner Hub este esențial pentru procesul de implementare. Nu continuați cu instalarea fără a finaliza acest pas.
3	Faceți clic pe Adăugați o resursă și faceți clic pe Descărcați fișierul .OVA din cardul Instalare și configurare software . Versiunile mai vechi ale pachetului software (OVA) nu vor fi compatibile cu cele mai recente upgrade-uri de securitate a datelor hibride. Acest lucru poate duce la probleme în timpul upgrade-ului aplicației. Asigurați-vă că descărcați cea mai recentă versiune a fișierului OVA. De asemenea, puteți descărca OVA în orice moment din secțiunea Ajutor . Faceți clic pe Setări > Ajutor > Descărcați software-ul de securitate a datelor hibride. Fișierul OVA începe automat descărcarea. Salvați fișierul într-o locație de pe computerul dvs.
4	Opțional, faceți clic pe Consultați ghidul de implementare a securității datelor hibride pentru a verifica dacă există o versiune ulterioară a acestui ghid disponibilă.

Crearea unui ISO de configurare pentru gazdele HDS

Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi, utilizați ISO pentru a configura gazda de securitate a datelor hibride.

Înainte de a începe

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită detaliile de autentificare ale unui cont Partner Hub cu drepturi de administrator depline.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker la pasul 5 de mai jos. Acest tabel oferă câteva posibile variabile de mediu:

Descriere

Variabilă

Proxy HTTP fără autentificare

_AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT

Proxy HTTPS fără autentificare

_AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT

Proxy HTTP cu autentificare

_AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT

Proxy HTTPS cu autentificare

_AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT
Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier ori de câte ori efectuați modificări de configurație, cum ar fi:
- Acreditări bază de date
- Actualizări certificat
- Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile bazei de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

1

La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.:

În medii obișnuite:

configurare rmi ciscocitg/hds: stabil

În mediile FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.

2

Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele:

docker login -u hdscustomersro

3

La solicitarea parolei, introduceți acest hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Descărcați cea mai recentă imagine stabilă pentru mediul dvs.:

În medii obișnuite:

configurație ciscocitg/hds docker: stabil

În mediile FedRAMP:

docker extragere ciscocitg/hds-setup-fedramp:stabil

5

Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.:

În medii obișnuite fără un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

În medii obișnuite cu un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

În medii obișnuite cu un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

În mediile FedRAMP fără un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

În mediile FedRAMP cu un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

În mediile FedRAMP cu un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”.

6

Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală.

Utilizați un browser web pentru a accesa gazda locală http://127.0.0.1:8080 și a introduce numele de utilizator de administrator pentru Partner Hub la solicitare.

Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul corespunzător pentru acel cont. Instrumentul afișează apoi mesajul standard de conectare.

7

Când vi se solicită, introduceți acreditările de conectare de administrator Partner Hub, apoi faceți clic pe Conectați-vă pentru a permite accesul la serviciile necesare pentru Securitatea datelor hibride.

8

Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Începeți.

9

Pe pagina Import ISO aveți aceste opțiuni:

Nu—Dacă creați primul nod HDS, nu aveți un fișier ISO de încărcat.
Da—Dacă ați creat deja noduri HDS, selectați fișierul ISO în răsfoire și încărcați-l.

10

Verificați dacă certificatul dvs. X.509 îndeplinește cerințele din Cerințele privind certificatul X.509.

Dacă nu ați încărcat niciodată un certificat înainte, încărcați certificatul X.509, introduceți parola și faceți clic pe Continuați.
Dacă certificatul este OK, faceți clic pe Continuați.
Dacă certificatul dvs. a expirat sau doriți să îl înlocuiți, selectați Nu pentru Continuați să utilizați lanțul de certificate HDS și cheia privată din ISO anterioară?. Încărcați un nou certificat X.509, introduceți parola și faceți clic pe Continuați.

11

Introduceți adresa bazei de date și contul pentru HDS pentru a accesa baza de date cheie:

Selectați Tipul bazei de date (PostgreSQL sau Microsoft SQL Server).

Dacă alegeți Microsoft SQL Server, obțineți un câmp Tip de autentificare.
(Numai Microsoft SQL Server ) Selectați tipul de autentificare:
- Autentificare de bază: Aveți nevoie de un nume de cont SQL Server local în câmpul Nume de utilizator .
- Autentificare Windows: Aveți nevoie de un cont Windows în formatul nume de utilizator@DOMENIU în câmpul Nume de utilizator .
Introduceți adresa serverului de bază de date în forma : sau :.

Exemplu:
dbhost.example.org:1433 sau 198.51.100.17:1433

Puteți utiliza o adresă IP pentru autentificarea de bază, dacă nodurile nu pot utiliza DNS pentru a rezolva numele gazdei.

Dacă utilizați autentificarea Windows, trebuie să introduceți un Nume de domeniu complet calificat, în formatul dbhost.example.org:1433
Introduceți Numele bazei de date.
Introduceți Nume de utilizator și Parolă ale unui utilizator cu toate privilegiile în baza de date de stocare a cheilor.

12

Selectați un Mod de conectare la baza de date TLS:

Mod	Descriere
Preferați TLS (opțiune implicită)	Nodurile HDS nu necesită TLS pentru a se conecta la serverul de baze de date. Dacă activați TLS pe serverul bazei de date, nodurile încearcă o conexiune criptată.
Necesită TLS	Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS.
Solicitați TLS și verificați semnatarul certificatului	Acest mod nu se aplică pentru bazele de date SQL Server. Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS. După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de la serverul de baze de date cu autoritatea de certificare din Certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul scade conexiunea. Utilizați controlul certificat rădăcină bază de date sub lista verticală pentru a încărca certificatul rădăcină pentru această opțiune.
Solicitați TLS și verificați semnatarul certificatului și numele de gazdă	Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS. După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de la serverul de baze de date cu autoritatea de certificare din Certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul scade conexiunea. Nodurile verifică, de asemenea, dacă numele gazdei din certificatul de server se potrivește cu numele gazdei din câmpul Gazdă și port bază de date . Numele trebuie să se potrivească exact sau nodul scade conexiunea. Utilizați controlul certificat rădăcină bază de date sub lista verticală pentru a încărca certificatul rădăcină pentru această opțiune.

Când încărcați certificatul rădăcină (dacă este necesar) și faceți clic pe Continuați, instrumentul de configurare HDS testează conexiunea TLS la serverul de baze de date. Instrumentul verifică, de asemenea, semnatarul certificatului și numele de gazdă, dacă este cazul. Dacă un test nu reușește, instrumentul afișează un mesaj de eroare care descrie problema. Puteți alege dacă să ignorați eroarea și să continuați cu configurarea. (Din cauza diferențelor de conectivitate, nodurile HDS pot stabili conexiunea TLS, chiar dacă mașina instrumentului de configurare HDS nu o poate testa cu succes.)

13

Pe pagina Jurnale de sistem, configurați serverul Syslogd:

Introduceți URL-ul serverului syslog.

Dacă serverul nu este rezolvabil prin DNS de la noduri pentru clusterul dvs. HDS, utilizați o adresă IP în URL.

Exemplu:
udp://10.92.43.23:514 indică conectarea la gazda Syslogd 10.92.43.23 la portul UDP 514.
Dacă configurați serverul să utilizeze criptarea TLS, bifați Serverul syslog este configurat pentru criptarea SSL?.

Dacă bifați această casetă de selectare, asigurați-vă că introduceți un URL TCP, cum ar fi tcp://10.92.43.23:514.
Din lista derulantă Choose syslog recording termination (Alegeți înregistrarea syslog), alegeți setarea corespunzătoare pentru fișierul ISO: Alegeți dacă se utilizează linia nouă pentru Graylog și Rsyslog TCP
- Biți nuli -- \x00
- Linie nouă -- \n—Selectați această opțiune pentru Graylog și Rsyslog TCP.
Faceți clic pe Continuați.

14

(Opțional) Puteți modifica valoarea implicită pentru unii parametri de conexiune la baza de date în Setări avansate. În general, acest parametru este singurul parametru pe care s-ar putea să îl modificați:

app_datasource_connection_pool_maxMărime: 10

15

Faceți clic pe Continuați pe ecranul Resetați parola conturilor de serviciu .

Parolele conturilor de servicii au o durată de viață de nouă luni. Utilizați acest ecran când parolele se apropie de expirare sau doriți să le resetați pentru a anula fișierele ISO anterioare.

16

Faceți clic pe Descărcați fișierul ISO. Salvați fișierul într-o locație ușor de găsit.

17

Faceți o copie de rezervă a fișierului ISO în sistemul local.

Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la acei administratori de securitate a datelor hibride care ar trebui să efectueze modificări de configurație.

18

Pentru a închide instrumentul de configurare, tastați CTRL+C.

Ce este de făcut în continuare

Copie de rezervă a fișierului ISO de configurare. Aveți nevoie de acesta pentru a crea mai multe noduri pentru recuperare sau pentru a efectua modificări de configurație. Dacă pierdeți toate copiile fișierului ISO, ați pierdut și cheia principală. Recuperarea cheilor din baza de date PostgreSQL sau Microsoft SQL Server nu este posibilă.

Nu avem niciodată o copie a acestei chei și nu vă putem ajuta dacă o pierdeți.

Instalați gazda HDS OVA

Utilizați această procedură pentru a crea o mașină virtuală din fișierul OVA.

1	Utilizați clientul VMware vSphere de pe computerul dvs. pentru a vă conecta la gazda virtuală ESXi.
2	Selectați Fișier > Implementare șablon OVF.
3	În expert, specificați locația fișierului OVA pe care l-ați descărcat mai devreme, apoi faceți clic pe Înainte.
4	Pe pagina Selectați un nume și un folder , introduceți un Nume mașină virtuală pentru nod (de exemplu, „HDS_Node_1”), alegeți o locație în care poate fi găzduită implementarea nodului mașinii virtuale, apoi faceți clic pe Înainte.
5	Pe pagina Selectați o resursă de calcul , alegeți resursa de calcul de destinație, apoi faceți clic pe Înainte. Se execută o verificare de validare. După ce se termină, apar detaliile șablonului.
6	Verificați detaliile șablonului, apoi faceți clic pe Înainte.
7	Dacă vi se solicită să alegeți configurația resursei pe pagina Configurare , faceți clic pe 4 CPU , apoi faceți clic pe Înainte.
8	Pe pagina Selectați spațiul de stocare , faceți clic pe Înainte pentru a accepta formatul de disc și politica de stocare VM implicită.
9	Pe pagina Selectați rețele , selectați opțiunea de rețea din lista de intrări pentru a asigura conectivitatea dorită la VM.
10	Pe pagina Particularizare șablon , configurați următoarele setări de rețea: Nume gazdă—Introduceți FQDN (nume de gazdă și domeniu) sau un singur cuvânt nume de gazdă pentru nod. Nu este necesar să setați domeniul ca să corespundă domeniului pe care l-ați utilizat pentru a obține certificatul X.509. Pentru a asigura o înregistrare reușită în cloud, utilizați numai caractere mici în FQDN sau numele gazdei pe care l-ați setat pentru nod. Capitalizarea nu este acceptată în acest moment. Lungimea totală a FQDN nu trebuie să depășească 64 de caractere. Adresă IP— Introduceți adresa IP pentru interfața internă a nodului. Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat. Mască—Introduceți adresa măștii de subrețea în notație cu zecimale. De exemplu, 255.255.255.0. Gateway – Introduceți adresa IP a gateway-ului. Un gateway este un nod de rețea care servește ca punct de acces la o altă rețea. Servere DNS—Introduceți o listă de servere DNS separate prin virgulă, care se ocupă de traducerea numelor de domenii în adrese IP numerice. (Sunt permise până la 4 intrări DNS.) Servere NTP – Introduceți serverul NTP al organizației dvs. sau alt server NTP extern care poate fi utilizat în organizația dvs. Este posibil ca serverele NTP implicite să nu funcționeze pentru toate întreprinderile. De asemenea, puteți utiliza o listă separată prin virgulă pentru a introduce mai multe servere NTP. Implementați toate nodurile din aceeași subrețea sau VLAN, astfel încât toate nodurile dintr-un cluster să fie accesibile de la clienții din rețeaua dvs., în scopuri administrative. Dacă preferați, puteți sări peste configurația setărilor de rețea și să urmați pașii din Configurați VM de securitate a datelor hibride pentru a configura setările de la consola de nod. Opțiunea de a configura setările de rețea în timpul implementării OVA a fost testată cu ESXi 7.0. Este posibil ca această opțiune să nu fie disponibilă în versiunile anterioare.
11	Faceți clic dreapta pe VM nod, apoi alegeți Alimentare > Alimentare pornită. Software-ul de securitate a datelor hibride este instalat ca invitat pe gazda VM. Acum sunteți gata să vă conectați la consolă și să configurați nodul. Sfaturi de depanare Este posibil să întâmpinați o întârziere de câteva minute înainte de apariția containerelor nodului. În timpul primei boot-ări, apare un mesaj firewall de punte pe consolă, în timpul căruia nu vă puteți conecta.

Configurați VM de securitate a datelor hibride

Utilizați această procedură pentru a vă conecta pentru prima dată la consola VM a nodului de securitate a datelor hibride și a seta acreditările de conectare. De asemenea, puteți utiliza consola pentru a configura setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.

1	În clientul VMware vSphere, selectați VM nodul de securitate a datelor hibride și selectați fila Consolă . VM pornește și apare o solicitare de conectare. Dacă mesajul de conectare nu se afișează, apăsați Enter.
2	Utilizați următoarele date de conectare și parolă implicite pentru a vă conecta și a modifica datele de autentificare: Conectați-vă: `administrator` Parolă: `cisco (dezambiguizare)` Din moment ce vă conectați pentru prima dată la VM, trebuie să schimbați parola de administrator.
3	Dacă ați configurat deja setările de rețea în Instalați OVA gazdă HDS, omiteți restul acestei proceduri. În caz contrar, selectați opțiunea Editare configurație din meniul principal.
4	Configurați o configurație statică cu informații despre adresa IP, mască, gateway și DNS. Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat.
5	(Opțional) Schimbați numele de gazdă, domeniul sau serverul(serverele) NTP, dacă este necesar pentru a corespunde politicii dvs. de rețea. Nu este necesar să setați domeniul ca să corespundă domeniului pe care l-ați utilizat pentru a obține certificatul X.509.
6	Salvați configurația de rețea și reporniți VM pentru ca modificările să aibă efect.

Încărcarea și montarea ISO de configurare HDS

Utilizați această procedură pentru a configura mașina virtuală din fișierul ISO pe care l-ați creat cu instrumentul de configurare HDS.

Înainte de a începe

Deoarece fișierul ISO deține cheia principală, acesta ar trebui să fie expus numai pe baza necesității de a cunoaște, pentru accesul VM-urilor de securitate a datelor hibride și al oricăror administratori care ar putea fi nevoiți să facă modificări. Asigurați-vă că numai acei administratori pot accesa dataStore.

1

Încărcați fișierul ISO de pe computerul dvs.:

În panoul de navigare stânga al clientului VMware vSphere, faceți clic pe serverul ESXi.
În lista Hardware a filei Configurare, faceți clic pe Stocare.
În lista Datastores, faceți clic dreapta pe datastore pentru VM-urile dvs. și faceți clic pe Răsfoiți Datastore.
Faceți clic pe pictograma Încărcare fișiere, apoi faceți clic pe Încărcare fișier.
Navigați la locația în care ați descărcat fișierul ISO pe computer și faceți clic pe Deschidere.
Faceți clic pe Da pentru a accepta avertismentul operațiunii de încărcare/descărcare și a închide caseta de dialog a datelor.

2

Montează fișierul ISO:

În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările.
Faceți clic pe OK pentru a accepta avertismentul cu opțiuni de editare restricționate.
Faceți clic pe CD/DVD Drive 1, selectați opțiunea de montare dintr-un fișier ISO de bază de date și navigați la locația în care ați încărcat fișierul ISO de configurare.
Bifați opțiunea Conectat și Conectare la pornire.
Salvați modificările și reporniți mașina virtuală.

Ce este de făcut în continuare

Dacă politica IT solicită, puteți, opțional, să demontați fișierul ISO după ce toate nodurile preiau modificările de configurație. Consultați (Opțional) Demontați ISO după configurarea HDS pentru detalii.

Configurarea nodului HDS pentru integrarea proxy

Dacă mediul de rețea necesită un proxy, utilizați această procedură pentru a specifica tipul de proxy pe care doriți să îl integrați cu Securitatea datelor hibride. Dacă alegeți un proxy de inspectare transparent sau un proxy explicit HTTPS, puteți utiliza interfața nodului pentru a încărca și instala certificatul rădăcină. De asemenea, puteți verifica conexiunea proxy din interfață și puteți depana orice probleme potențiale.

Înainte de a începe

Consultați Suport proxy pentru o prezentare generală a opțiunilor proxy acceptate.
Cerințe server proxy

1	Introduceți URL-ul de configurare a nodului HDS `https://[HDS Node IP sau FQDN]/setup` într-un browser web, introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.
2	Accesați Trust Store & Proxy, apoi alegeți o opțiune: Fără proxy—Opțiunea implicită înainte de a integra un proxy. Nu este necesară actualizarea certificatului. Proxy transparent fără inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy și nu ar trebui să necesite modificări pentru a funcționa cu un proxy fără inspectare. Nu este necesară actualizarea certificatului. Proxy de inspectare transparent—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy. Nu sunt necesare modificări de configurare HTTPS pe implementarea hibride de securitate a datelor, cu toate acestea, nodurile HDS au nevoie de un certificat rădăcină, astfel încât acestea să aibă încredere în proxy. Proxy-urile de inspectare sunt de obicei utilizate de IT pentru a aplica politici pe care site-urile web pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS). Proxy explicit—Cu proxy explicit, spuneți clientului (nodurilor HDS) ce server proxy să utilizeze, iar această opțiune acceptă mai multe tipuri de autentificare. După ce alegeți această opțiune, trebuie să introduceți următoarele informații: IP/FQDN proxy—Adresa care poate fi utilizată pentru a accesa computerul proxy. Port proxy—Un număr de port utilizat de proxy pentru a asculta traficul protejat. Protocol proxy—Alegeți http (vizualizează și controlează toate solicitările primite de la client) sau https (oferă un canal către server, iar clientul primește și validează certificatul serverului). Alegeți o opțiune în funcție de ceea ce acceptă serverul proxy. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare: Fără—Nu este necesară mai multă autentificare. Disponibil pentru proxy-uri HTTP sau HTTPS. De bază—Utilizat pentru un agent de utilizator HTTP care furnizează un nume de utilizator și o parolă atunci când efectuează o solicitare. Utilizează codificarea Base64. Disponibil pentru proxy-uri HTTP sau HTTPS. Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola. Rezumat- Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite prin rețea. Disponibil numai pentru proxy-uri HTTPS. Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola. Urmați pașii următori pentru un proxy de inspectare transparent, un proxy explicit HTTP cu autentificare de bază sau un proxy explicit HTTPS.
3	Faceți clic pe Încărcare certificat rădăcină sau certificat de entitate de sfârșit , apoi navigați la o alegeți certificatul rădăcină pentruproxy. Certificatul este încărcat, dar nu este încă instalat, deoarece trebuie să reporniți nodul pentru a instala certificatul. Faceți clic pe săgeata ghilimelei unghiulare de numele emitentului certificatului pentru a obține mai multe detalii sau faceți clic pe Ștergere dacă ați făcut o greșeală și doriți să reîncărcați fișierul.
4	Faceți clic pe Verificare conexiune proxy pentru a testa conectivitatea la rețea între nod și proxy. Dacă testul de conexiune nu reușește, veți vedea un mesaj de eroare care arată motivul și modul în care puteți corecta problema. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a reușit, nodul nu a reușit să ajungă la serverul DNS. Această condiție este de așteptat în multe configurații proxy explicite. Puteți continua configurarea, iar nodul va funcționa în modul Rezoluție DNS externă blocată. Dacă considerați că aceasta este o eroare, parcurgeți acești pași și apoi consultați Dezactivare mod rezoluție DNS externă blocată.
5	După ce trece testul de conexiune, pentru proxy explicit setat la https numai, activați comutatorul pentru a ruta toate port 443/444 https solicitările de la acest nod prin proxy explicit. Această setare necesită 15 secunde pentru a intra în vigoare.
6	Faceți clic pe Instalare toate certificatele în Depozitul de încredere (apare pentru un proxy explicit HTTPS sau un proxy de inspectare transparent) sau pe Repornire (apare pentru un proxy explicit HTTP), citiți solicitarea, apoi faceți clic pe Instalare dacă sunteți gata. Nodul repornește în câteva minute.
7	După repornirea nodului, conectați-vă din nou, dacă este necesar, apoi deschideți pagina Prezentare generală pentru a verifica verificările de conectivitate pentru a vă asigura că toate sunt în stare verde. Verificarea conexiunii proxy testează numai un subdomeniu de webex.com. Dacă există probleme de conectivitate, o problemă comună este că unele dintre domeniile cloud listate în instrucțiunile de instalare sunt blocate la proxy.

Înscrieți primul nod din cluster

Această sarcină preia nodul generic pe care l-ați creat în Configurați VM de securitate a datelor hibride, înregistrează nodul în cloudul Webex și îl transformă într-un nod de securitate a datelor hibride.

Când înscrieți primul nod, creați un cluster căruia îi este atribuit nodul. Un cluster conține unul sau mai multe noduri implementate pentru a asigura redundanța.

Înainte de a începe

După ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți din nou.
Asigurați-vă că orice blocare a ferestrelor pop-up din browser este dezactivată sau că permiteți o excepție pentru admin.webex.com.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți cardul Securitate a datelor hibride și faceți clic pe Configurare.
4	În pagina care se deschide, faceți clic pe Adăugați o resursă.
5	În primul câmp al cardului Adăugați un nod , introduceți un nume pentru clusterul căruia doriți să îi atribuiți nodul de securitate a datelor hibride. Vă recomandăm să denumiți un cluster în funcție de locul geografic în care se află nodurile clusterului. Exemple: "San Francisco" sau "New York" sau "Dallas"
6	În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Adăugare în partea de jos a ecranului. Această adresă IP sau FQDN trebuie să corespundă adresei IP sau numelui gazdei și domeniului pe care le-ați utilizat în Configurați VM de securitate a datelor hibride. Apare un mesaj care indică faptul că vă puteți înscrie nodul în Webex.
7	Faceți clic pe Accesați nodul. După câteva momente, veți fi redirecționat(ă) către testele de conectivitate a nodului pentru serviciile Webex. Dacă toate testele sunt reușite, apare pagina Permiteți accesul la Nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați organizației dvs. Webex permisiuni pentru a vă accesa nodul.
8	Bifați caseta de selectare Permiteți accesul la nodul de securitate a datelor hibride , apoi faceți clic pe Continuați. Contul dvs. este validat, iar mesajul „Înscriere finalizată” indică faptul că nodul dvs. este acum înscris în cloudul Webex.
9	Faceți clic pe link sau închideți fila pentru a reveni la pagina Securitatea datelor hibride Partner Hub. Pe pagina Securitatea datelor hibride , noul cluster care conține nodul pe care l-ați înscris este afișat în fila Resurse . Nodul va descărca automat cel mai recent software din cloud.

Creați și înscrieți mai multe noduri

Pentru a adăuga noduri suplimentare la clusterul dvs., trebuie doar să creați VM suplimentare și să montați același fișier ISO de configurare, apoi să înregistrați nodul. Vă recomandăm să aveți cel puțin 3 noduri.

Înainte de a începe

După ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți din nou.
Asigurați-vă că orice blocare a ferestrelor pop-up din browser este dezactivată sau că permiteți o excepție pentru admin.webex.com.

1	Creați o nouă mașină virtuală din OVA, repetând pașii din Instalați OVA gazdă HDS.
2	Configurați configurația inițială pe noul VM, repetând pașii din Configurați VM de securitate a datelor hibride.
3	Pe noul VM, repetați pașii din Încărcarea și montarea ISO de configurare HDS.
4	Dacă configurați un proxy pentru implementarea dvs., repetați pașii din Configurați nodul HDS pentru integrarea proxy după cum este necesar pentru nodul nou.
5	Înscrieți nodul. În https://admin.webex.com, selectați Servicii din meniul din partea stângă a ecranului. În secțiunea Servicii cloud, găsiți cardul Securitate a datelor hibride și faceți clic pe Vizualizați toate. Apare pagina Resurse de securitate a datelor hibride. Clusterul nou creat va apărea în pagina Resurse . Faceți clic pe cluster pentru a vizualiza nodurile alocate clusterului. Faceți clic pe Adăugați un nod în partea dreaptă a ecranului. Introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Adăugați. Se deschide o pagină cu un mesaj care indică faptul că vă puteți înscrie nodul în cloudul Webex. După câteva momente, veți fi redirecționat(ă) către testele de conectivitate a nodului pentru serviciile Webex. Dacă toate testele sunt reușite, apare pagina Permiteți accesul la Nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați organizației dvs. permisiuni pentru a vă accesa nodul. Bifați caseta de selectare Permiteți accesul la nodul de securitate a datelor hibride , apoi faceți clic pe Continuați. Contul dvs. este validat, iar mesajul „Înscriere finalizată” indică faptul că nodul dvs. este acum înscris în cloudul Webex. Faceți clic pe link sau închideți fila pentru a reveni la pagina Securitatea datelor hibride Partner Hub. Mesajul pop-up Adăugat la nod apare, de asemenea, în partea de jos a ecranului din Partner Hub. Nodul dvs. este înregistrat.

Gestionați organizațiile entității găzduite pe securitatea datelor hibride cu entități găzduite multiple

Activați HDS cu entități găzduite multiple în Partner Hub

Această sarcină asigură că toți utilizatorii organizațiilor client pot începe să utilizeze HDS pentru cheile de criptare locale și alte servicii de securitate.

Înainte de a începe

Asigurați-vă că ați finalizat configurarea clusterului HDS cu entități găzduite multiple cu numărul necesar de noduri.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Editare setări.
4	Faceți clic pe Activare HDS pe cardul Stare HDS .

Adăugați organizații ale entităților găzduite în Partner Hub

În această sarcină, alocați organizații client la Clusterul dvs. de securitate a datelor hibride.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Vizualizați toate.
4	Faceți clic pe clusterul căruia doriți să i se atribuie un client.
5	Accesați fila Clienți alocați .
6	Faceți clic pe Adăugați clienți.
7	Selectați clientul pe care doriți să îl adăugați din meniul derulant.
8	Faceți clic pe Adăugare, clientul va fi adăugat la cluster.
9	Repetați pașii 6-8 pentru a adăuga mai mulți clienți la clusterul dvs.
10	Faceți clic pe Gata în partea de jos a ecranului după ce ați adăugat clienții.

Ce este de făcut în continuare

Rulați instrumentul de configurare HDS conform detaliilor din Creați chei principale ale clientului (CMK) utilizând instrumentul de configurare HDS pentru a finaliza procesul de configurare.

Creați chei principale ale clientului (CMK) utilizând instrumentul de configurare HDS

Înainte de a începe

Alocați clienți la clusterul corespunzător, după cum este detaliat în Adăugați organizații găzduite în Partner Hub. Rulați instrumentul de configurare HDS pentru a finaliza procesul de configurare pentru organizațiile client nou adăugate.

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită detaliile de autentificare ale unui cont Partner Hub cu drepturi de administrator depline pentru organizația dvs.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker la pasul 5. Acest tabel oferă câteva posibile variabile de mediu:

Descriere	Variabilă
Proxy HTTP fără autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS fără autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP cu autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT`
Proxy HTTPS cu autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT`

Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier ori de câte ori efectuați modificări de configurație, cum ar fi:
- Acreditări bază de date
- Actualizări certificat
- Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile bazei de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi, utilizați ISO pentru a configura gazda de securitate a datelor hibride.

1	La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite: `configurare rmi ciscocitg/hds: stabil` În mediile FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.
2	Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele: `docker login -u hdscustomersro`
3	La solicitarea parolei, introduceți acest hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite: `configurație ciscocitg/hds docker: stabil` În mediile FedRAMP: `docker extragere ciscocitg/hds-setup-fedramp:stabil`
5	Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În mediile FedRAMP fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”.
6	Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală. Utilizați un browser web pentru a accesa gazda locală `http://127.0.0.1:8080` și a introduce numele de utilizator de administrator pentru Partner Hub la solicitare. Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul corespunzător pentru acel cont. Instrumentul afișează apoi mesajul standard de conectare.
7	Când vi se solicită, introduceți acreditările de conectare de administrator Partner Hub, apoi faceți clic pe Conectați-vă pentru a permite accesul la serviciile necesare pentru Securitatea datelor hibride.
8	Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Începeți.
9	Pe pagina Import ISO , faceți clic pe Da.
10	Selectați fișierul dvs. ISO în browser și încărcați-l. Asigurați conexiunea la baza dvs. de date pentru a efectua gestionarea CMK.
11	Accesați fila Administrare CMK entitate găzduită , unde veți găsi următoarele trei modalități de a gestiona CMK entitate găzduită. Creare CMK pentru toate ORGANIZAȚIILE sau Creare CMK - Faceți clic pe acest buton de pe bannerul din partea de sus a ecranului pentru a crea CMK pentru toate organizațiile nou adăugate. Faceți clic pe butonul Gestionare CMK din partea dreaptă a ecranului și faceți clic pe Creare CMK pentru a crea CMK-uri pentru toate organizațiile nou adăugate. Faceți clic… lângă starea în așteptare a gestionării CMK a unei anumite organizații din tabel și faceți clic pe Creați CMK pentru a crea CMK pentru organizația respectivă.
12	Odată ce crearea CMK reușește, starea din tabel se va schimba din În așteptare gestionare CMK în Gestionat CMK.
13	Dacă crearea CMK nu reușește, se va afișa o eroare.

Eliminați organizațiile entității găzduite

Înainte de a începe

După eliminare, utilizatorii organizațiilor client nu vor putea folosi HDS pentru nevoile lor de criptare și vor pierde toate spațiile existente. Înainte de a elimina organizațiile client, contactați-vă partenerul Cisco sau managerul de cont.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Vizualizați toate.
4	În fila Resurse , faceți clic pe clusterul din care doriți să eliminați organizațiile client.
5	În pagina care se deschide, faceți clic pe Clienți alocați.
6	Din lista de organizații client care se afișează, faceți clic pe ... în partea dreaptă a organizației client pe care doriți să o eliminați și faceți clic pe Eliminare din cluster.

Ce este de făcut în continuare

Finalizați procesul de eliminare prin revocarea CMK-urilor organizațiilor client, așa cum este detaliat în Revocarea CMK-urilor entităților găzduite eliminate din HDS.

Revocați CMK-urile entităților găzduite eliminate din HDS.

Înainte de a începe

Eliminați clienții din clusterul corespunzător, așa cum este detaliat în Eliminați organizațiile entității găzduite. Rulați instrumentul de configurare HDS pentru a finaliza procesul de eliminare pentru organizațiile client care au fost eliminate.

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită detaliile de autentificare ale unui cont Partner Hub cu drepturi de administrator depline pentru organizația dvs.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker la pasul 5. Acest tabel oferă câteva posibile variabile de mediu:

Descriere	Variabilă
Proxy HTTP fără autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS fără autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP cu autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT`
Proxy HTTPS cu autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT`

Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier ori de câte ori efectuați modificări de configurație, cum ar fi:
- Acreditări bază de date
- Actualizări certificat
- Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile bazei de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi, utilizați ISO pentru a configura gazda de securitate a datelor hibride.

1	La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite: `configurare rmi ciscocitg/hds: stabil` În mediile FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.
2	Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele: `docker login -u hdscustomersro`
3	La solicitarea parolei, introduceți acest hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite: `configurație ciscocitg/hds docker: stabil` În mediile FedRAMP: `docker extragere ciscocitg/hds-setup-fedramp:stabil`
5	Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În mediile FedRAMP fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”.
6	Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală. Utilizați un browser web pentru a accesa gazda locală `http://127.0.0.1:8080` și a introduce numele de utilizator de administrator pentru Partner Hub la solicitare. Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul corespunzător pentru acel cont. Instrumentul afișează apoi mesajul standard de conectare.
7	Când vi se solicită, introduceți acreditările de conectare de administrator Partner Hub, apoi faceți clic pe Conectați-vă pentru a permite accesul la serviciile necesare pentru Securitatea datelor hibride.
8	Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Începeți.
9	Pe pagina Import ISO , faceți clic pe Da.
10	Selectați fișierul dvs. ISO în browser și încărcați-l.
11	Accesați fila Administrare CMK entitate găzduită , unde veți găsi următoarele trei modalități de a gestiona CMK entitate găzduită. Revocare CMK pentru toate ORGANIZAȚIILE sau Revocare CMK - Faceți clic pe acest buton de pe bannerul din partea de sus a ecranului pentru a revoca CMK-urile tuturor organizațiilor care au fost eliminate. Faceți clic pe butonul Gestionare CMK din partea dreaptă a ecranului și faceți clic pe Revocare CMK pentru a revoca CMK-urile tuturor organizațiilor care au fost eliminate. Faceți clic pe lângă starea CMK pentru a fi revocată a unei anumite organizații din tabel și faceți clic pe Revocare CMK pentru a revoca CMK pentru organizația respectivă.
12	Odată ce revocarea CMK reușește, organizația client nu va mai apărea în tabel.
13	Dacă revocarea CMK nu reușește, se va afișa o eroare.

Testați implementarea securității datelor hibride

Utilizați această procedură pentru a testa scenariile de criptare a securității datelor hibride cu entități găzduite multiple.

Înainte de a începe

Configurați implementarea securității datelor hibride cu entități găzduite multiple.
Asigurați-vă că aveți acces la syslog pentru a verifica dacă solicitările cheie sunt transmise la implementarea securității datelor hibride cu entități găzduite multiple.

1

Tastele pentru un anumit spațiu sunt setate de către creatorul spațiului. Conectați-vă la Aplicația Webex ca unul dintre utilizatorii organizației client, apoi creați un spațiu.

Dacă dezactivați implementarea securității datelor hibride, conținutul din spațiile pe care le creează utilizatorii nu mai este accesibil odată ce copiile din memoria cache a cheilor de criptare sunt înlocuite.

2

Trimiteți mesaje către noul spațiu.

3

Verificați ieșirea syslog pentru a verifica dacă solicitările cheie sunt transmise la implementarea securității datelor hibride.

Pentru a verifica dacă un utilizator stabilește mai întâi un canal securizat către KMS, filtrați după kms.data.method=create și kms.data.type=COLLECTION_KEY_:

Ar trebui să găsiți o intrare precum următoarea (identificatori scurtați pentru lizibilitate):

2020-07-21 17:35:34.562 (+0000) INFORMAȚII KMS [pool-14-thread-1] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Pentru a verifica dacă un utilizator solicită o cheie existentă din KMS, filtrați kms.data.method=retrieve și kms.data.type=KEY:

Ar trebui să găsiți o intrare precum:

2020-07-21 17:44:19.889 (+0000) INFORMAȚII KMS [pool-14-thread-31] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=CHEIE, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Pentru a verifica dacă există un utilizator care solicită crearea unei noi chei KMS, filtrați după kms.data.method=create și kms.data.type=KEY_COLLECTION:

Ar trebui să găsiți o intrare precum:

2020-07-21 17:44:21.975 (+0000) INFORMAȚII KMS [pool-14-thread-33] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Pentru a verifica dacă un utilizator solicită crearea unui nou obiect de resurse KMS (KRO) atunci când este creat un spațiu sau o altă resursă protejată, filtrați după kms.data.method=create și kms.data.type=RESOURCE_COLLECTION:

Ar trebui să găsiți o intrare precum:

2020-07-21 17:44:22.808 (+0000) INFORMAȚII KMS [pool-15-thread-1] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURSĂ_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorizați Securitatea datelor hibride

Un indicator de stare din Partner Hub vă arată dacă implementarea securității datelor hibride cu entități găzduite multiple este în regulă. Pentru o alertă mai proactivă, înscrieți-vă pentru notificări prin e-mail. Veți fi notificat atunci când există alarme sau upgrade-uri de software cu impact asupra serviciului.

1	În Partner Hub, selectați Servicii din meniul din partea stângă a ecranului.
2	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Editare setări. Apare pagina Setări de securitate a datelor hibride.
3	În secțiunea Notificări prin e-mail, introduceți una sau mai multe adrese de e-mail separate prin virgule și apăsați Enter.

Gestionați implementarea HDS

Utilizați sarcinile descrise aici pentru a gestiona implementarea securității datelor hibride.

Setați programarea upgrade-ului clusterului

Upgrade-urile software pentru Securitatea datelor hibride se efectuează automat la nivel de cluster, ceea ce garantează faptul că toate nodurile rulează întotdeauna aceeași versiune software. Upgrade-urile se efectuează în funcție de programul de upgrade pentru cluster. Atunci când un upgrade de software devine disponibil, aveți opțiunea de a efectua manual upgrade-ul clusterului înainte de ora programată pentru upgrade. Puteți seta un anumit program de upgrade sau puteți utiliza programul implicit de upgrade de la ora 3:00 a.m. Zilnic în Statele Unite: America/Los Angeles. De asemenea, puteți alege să amânați un upgrade viitor, dacă este necesar.

Pentru a seta programul de upgrade:

1	Conectați-vă la Hubul pentru parteneri.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Configurare
4	Pe pagina Resurse de securitate a datelor hibride, selectați clusterul.
5	Faceți clic pe fila Setări cluster .
6	În pagina Setări cluster, sub Programare upgrade, selectați ora și fusul orar pentru programarea upgrade-ului. Notă: În fusul orar se afișează următoarea dată și oră de upgrade disponibile. Puteți amâna upgrade-ul până în ziua următoare, dacă este necesar, făcând clic pe Amânare cu 24 de ore.

Modificați configurația nodului

Ocazional, poate fi necesar să modificați configurația nodului hibrid de securitate a datelor dintr-un motiv ar fi:

Modificarea certificatelor x.509 din cauza expirării sau din alte motive.

Nu acceptăm schimbarea numelui de domeniu CN al unui certificat. Domeniul trebuie să se potrivească cu domeniul inițial utilizat pentru înregistrarea clusterului.
Actualizarea setărilor bazei de date pentru a trece la o replică a bazei de date PostgreSQL sau Microsoft SQL Server.

Nu acceptăm migrarea datelor de la PostgreSQL la Microsoft SQL Server sau invers. Pentru a schimba mediul bazei de date, începeți o nouă implementare a Hybrid Data Security.
Crearea unei noi configurații pentru a pregăti un nou centru de date.

De asemenea, în scopuri de securitate, Hybrid Data Security utilizează parole de cont de serviciu care au o durată de viață de nouă luni. După ce instrumentul de instalare HDS generează aceste parole, le implementați la fiecare dintre nodurile HDS în fișierul de configurare ISO. Când parolele organizației se apropie de expirare, primiți o notificare de la echipa Webex pentru a reseta parola pentru contul dvs. (E-mailul include textul „Utilizați API-ul contului de mașină pentru a actualiza parola.”) Dacă parolele nu au expirat încă, instrumentul vă oferă două opțiuni:

Resetare ușoară—Parolele vechi și cele noi funcționează timp de până la 10 zile. Folosiți această perioadă pentru a înlocui treptat fișierul ISO pe noduri.
Resetare forțată—Parolele vechi nu mai funcționează imediat.

Dacă parolele dvs. expiră fără resetare, acest lucru va afecta serviciul HDS, necesitând o resetare hardware imediată și înlocuirea fișierului ISO pe toate nodurile.

Utilizați această procedură pentru a genera un nou fișier ISO de configurare și pentru a-l aplica clusterului dvs.

Înainte de a începe

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită datele de autentificare ale unui cont Partner Hub cu drepturi depline de administrator pentru partener.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker în 1.e. Acest tabel oferă câteva posibile variabile de mediu:

Descriere	Variabilă
Proxy HTTP fără autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS fără autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP cu autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT`
Proxy HTTPS cu autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT`

Aveți nevoie de o copie a fișierului ISO de configurare curent pentru a genera o nouă configurație. ISO conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de ISO când faceți modificări de configurare, inclusiv acreditările bazei de date, actualizări de certificate sau modificări ale politicii de autorizare.

1	Folosind Docker pe o mașină locală, rulați Instrumentul de configurare HDS. La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite: `configurare rmi ciscocitg/hds: stabil` În mediile FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora. Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele: `docker login -u hdscustomersro` La solicitarea parolei, introduceți acest hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite: `configurație ciscocitg/hds docker: stabil` În mediile FedRAMP: `docker extragere ciscocitg/hds-setup-fedramp:stabil` Asigurați-vă că utilizați cel mai recent instrument de configurare pentru această procedură. Versiunile instrumentului create înainte de 22 februarie 2018 nu au ecrane de resetare a parolei. Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În medii obișnuite cu un HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În mediile FedRAMP fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Când containerul se execută, vedeți "Express server de ascultare pe portul 8080." Utilizați un browser pentru a vă conecta la localhost, `http://127.0.0.1:8080`. Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală. Când vi se solicită, introduceți acreditările de conectare ale clientului Partner Hub și apoi faceți clic pe Acceptați pentru a continua. Importați fișierul ISO de configurare curentă. Urmați instrucțiunile pentru a finaliza instrumentul și descărcați fișierul actualizat. Pentru a închide instrumentul de configurare, tastați `CTRL+C`. Creați o copie de rezervă a fișierului actualizat într-un alt centru de date.
2	Dacă aveți un singur nod HDS care rulează, creați un nou VM nod de securitate a datelor hibride și înregistrați-l utilizând noul fișier ISO de configurare. Pentru instrucțiuni mai detaliate, consultați Creați și înscrieți mai multe noduri. Instalați OVA gazdă HDS. Configurați VM HDS. Montați fișierul de configurare actualizat. Înscrieți noul nod în Partner Hub.
3	Pentru nodurile HDS existente care rulează fișierul de configurare mai vechi, montați fișierul ISO. Efectuați următoarea procedură pe fiecare nod pe rând, actualizând fiecare nod înainte de a opri următorul nod: Opriți mașina virtuală. În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările. Faceți clic pe `UNITATE CD/DVD 1`, selectați opțiunea de montare dintr-un fișier ISO și navigați la locația în care ați descărcat noul fișier ISO de configurare. Bifaţi Conectare la pornire. Salvați modificările și porniți mașina virtuală.
4	Repetați pasul 3 pentru a înlocui configurația pe fiecare nod rămas care rulează configurația veche.

Dezactivarea modului de rezoluție DNS extern blocat

Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează căutarea DNS și conectivitatea la cloud-ul Cisco Webex. Dacă serverul DNS al nodului nu poate rezolva numele DNS publice, nodul intră automat în modul Rezoluție DNS externă blocată.

Dacă nodurile sunt capabile să rezolve numele DNS publice prin serverele DNS interne, puteți dezactiva acest mod prin reluarea testului de conexiune proxy pe fiecare nod.

Înainte de a începe

Asigurați-vă că serverele DNS interne pot rezolva numele DNS publice și că nodurile pot comunica cu acestea.

1	Într-un browser web, deschideți interfața nodului Hibrid Data Security (adresa IP/configurare, de exemplu, https://192.0.2.0/setup), introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.
2	Accesați Prezentare generală (pagina implicită). Când este activată, Rezoluția DNS externă blocată este setată la Da.
3	Accesați pagina Trust Store & Proxy.
4	Faceți clic pe Verificare conexiune proxy. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a avut succes, nodul nu a reușit să ajungă la serverul DNS și va rămâne în acest mod. În caz contrar, după ce reporniți nodul și reveniți la pagina Prezentare generală, Rezoluția DNS externă blocată ar trebui să fie setată la nu.

Ce trebuie să faceți în continuare

Repetați testul de conexiune proxy pe fiecare nod din clusterul hibrid de securitate a datelor.

Eliminați un nod

Utilizați această procedură pentru a elimina un nod de securitate a datelor hibride din cloudul Webex. După ce eliminați nodul din cluster, ștergeți mașina virtuală pentru a preveni accesul în continuare la datele dvs. de securitate.

1

Utilizați clientul VMware vSphere de pe computerul dvs. pentru a vă conecta la gazda virtuală ESXi și pentru a porni mașina virtuală.

2

Eliminați nodul:

Conectați-vă la Partner Hub, apoi selectați Servicii.
Pe cardul Securitate a datelor hibride, faceți clic pe Vizualizați toate pentru a afișa pagina Resurse de securitate a datelor hibride.
Selectați clusterul pentru a-și afișa panoul Prezentare generală.
Faceți clic pe nodul pe care doriți să îl eliminați.
Faceți clic pe Anulați înscrierea acestui nod în panoul care apare în partea dreaptă
De asemenea, puteți anula înscrierea nodului făcând clic… în partea dreaptă a nodului și selectând Eliminați acest nod.

3

În clientul vSphere, ștergeți VM. (În panoul de navigare din stânga, faceți clic dreapta pe VM și faceți clic pe Ștergere.)

Dacă nu ștergeți VM, nu uitați să demontați fișierul ISO de configurare. Fără fișierul ISO, nu puteți utiliza VM pentru a accesa datele de securitate.

Recuperarea după dezastru utilizând centrul de date în așteptare

Cel mai critic serviciu pe care clusterul dvs. de securitate a datelor hibride îl oferă este crearea și stocarea cheilor utilizate pentru a cripta mesajele și alt conținut stocat în cloudul Webex. Pentru fiecare utilizator din organizație care este atribuit Securitatea datelor hibride, noile solicitări de creare a cheii sunt direcționate către cluster. Clusterul este, de asemenea, responsabil pentru returnarea cheilor pe care le-a creat oricărui utilizator autorizat să le recupereze, de exemplu, membrilor unui spațiu de conversație.

Deoarece clusterul îndeplinește funcția critică de furnizare a acestor chei, este imperativ ca clusterul să rămână în funcțiune și să fie menținute copiile de rezervă corespunzătoare. Pierderea bazei de date hibride de securitate a datelor sau a ISO-ului de configurare utilizat pentru schemă va duce la PIERDEREA IREVERSIBILĂ a conținutului clientului. Pentru a preveni o astfel de pierdere sunt obligatorii următoarele practici:

Dacă un dezastru face ca implementarea HDS în centrul de date principal să devină indisponibilă, urmați această procedură pentru a trece manual la centrul de date în așteptare.

Înainte de a începe

Anulați înscrierea tuturor nodurilor din Partner Hub, după cum este menționat în Eliminați un nod. Utilizați cel mai recent fișier ISO care a fost configurat în raport cu nodurile clusterului care era activ anterior, pentru a efectua procedura de reluare în caz de nereușită menționată mai jos.

1	Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.
2	Finalizați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit.
3	Faceți o copie de rezervă a fișierului ISO în sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la acei administratori de securitate a datelor hibride care ar trebui să efectueze modificări de configurație.
4	În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările.
5	Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Datastore ISO File. Asigurați-vă că sunt bifate opțiunile Conectat și Conectare la pornire , astfel încât modificările actualizate ale configurației să poată intra în vigoare după pornirea nodurilor.
6	Porniți nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute.
7	Înscrieți nodul în Partner Hub. Consultați Înscrieți primul nod din cluster.
8	Repetați procesul pentru fiecare nod din centrul de date în așteptare.

Ce este de făcut în continuare

După reluarea în caz de nereușită, în cazul în care centrul de date principal redevine activ, anulați înregistrarea nodurilor centrului de date în așteptare și repetați procesul de configurare ISO și de înregistrare a nodurilor centrului de date principal, după cum s-a menționat mai sus.

(Opțional) Demontați ISO după configurarea HDS

Configurația standard HDS rulează cu ISO montat. Dar, unii clienți preferă să nu lase fișierele ISO montate continuu. Puteți demonta fișierul ISO după ce toate nodurile HDS preiau noua configurație.

Încă utilizați fișierele ISO pentru a efectua modificări de configurație. Când creați un nou ISO sau actualizați un ISO prin intermediul instrumentului de configurare, trebuie să montați ISO actualizat pe toate nodurile HDS. După ce toate nodurile au preluat modificările de configurație, puteți demonta din nou ISO cu această procedură.

Înainte de a începe

Efectuați upgrade pentru toate nodurile HDS la versiunea 2021.01.22.4720 sau la o versiune ulterioară.

1	Închideți unul dintre nodurile HDS.
2	În dispozitivul vCenter Server, selectați nodul HDS.
3	Alegeți Editare setări > Unitate CD/DVD și debifați Datastore ISO File.
4	Porniți nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 20 de minute.
5	Repetați la rând pentru fiecare nod HDS.

Soluționați problemele privind securitatea datelor hibride

Vizualizați alertele și soluționarea problemelor

O implementare de securitate a datelor hibride este considerată indisponibilă dacă toate nodurile din cluster sunt inaccesibile sau clusterul funcționează atât de lent încât necesită timp liber. Dacă utilizatorii nu pot contacta Clusterul dvs. de securitate a datelor hibride, vor prezenta următoarele simptome:

Nu se pot crea spații noi (nu se pot crea chei noi)
Mesajele și titlurile spațiului nu au putut fi decriptate pentru:
- Utilizatori noi adăugați într-un spațiu (nu se pot prelua cheile)
- Utilizatori existenți într-un spațiu utilizând un client nou (nu se pot prelua cheile)
Utilizatorii existenți dintr-un spațiu vor continua să ruleze cu succes atât timp cât clienții lor au o memorie cache a cheilor de criptare

Este important să monitorizați în mod corespunzător clusterul de securitate a datelor hibride și să abordați prompt orice alerte pentru a evita întreruperea serviciului.

Alerte

Dacă există o problemă cu configurarea securității datelor hibride, Partner Hub afișează alerte administratorului organizației și trimite e-mailuri la adresa de e-mail configurată. Alertele acoperă multe scenarii comune.

Tabelul 1. Probleme comune și pașii pentru a le rezolva
Alertă	Acțiune
Eroare de acces la baza de date locală.	Verificați dacă există erori la baza de date sau probleme de rețea locală.
Eroare de conexiune la baza de date locală.	Verificați dacă serverul bazei de date este disponibil și dacă s-au utilizat datele de autentificare corecte la contul de serviciu în configurarea nodului.
Acces nereușit la serviciul cloud.	Verificați dacă nodurile pot accesa serverele Webex, conform specificațiilor din Cerințe de conectivitate externă.
Se reînnoiește înscrierea la serviciul cloud.	Înscrierea la serviciile cloud a fost abandonată. Înregistrarea este în curs de reînnoire.
Înscrierea la serviciul cloud a scăzut.	Înscrierea la serviciile cloud a fost încheiată. Serviciul se oprește.
Serviciul nu a fost încă activat.	Activați HDS în Partner Hub.
Domeniul configurat nu corespunde certificatului serverului.	Asigurați-vă că certificatul dvs. de server corespunde domeniului de activare a serviciului configurat. Cauza cea mai probabilă este că certificatul NC a fost modificat recent și este acum diferit de cel utilizat în timpul configurării inițiale.
Nu s-a reușit autentificarea la serviciile cloud.	Verificați acuratețea și posibila expirare a acreditărilor contului de serviciu.
Nu s-a reușit deschiderea fișierului de keystore local.	Verificați integritatea și acuratețea parolei în fișierul de keystore local.
Certificatul serverului local nu este valid.	Verificați data de expirare a certificatului serverului și confirmați că acesta a fost emis de o autoritate de certificare de încredere.
Nu se pot publica măsurătorile.	Verificați accesul rețelei locale la serviciile externe din cloud.
Directorul /media/configdrive/hds nu există.	Verificați configurația de montare ISO pe gazda virtuală. Verificați dacă fișierul ISO există, dacă este configurat pentru montare la repornire și dacă se montează cu succes.
Configurarea organizației entității găzduite nu este finalizată pentru organizațiile adăugate	Finalizați configurarea prin crearea de CMK-uri pentru organizațiile de entități găzduite nou adăugate utilizând Instrumentul de configurare HDS.
Configurarea organizației entității găzduite nu este finalizată pentru organizațiile eliminate	Finalizați configurarea prin revocarea CMK-urilor organizațiilor găzduite care au fost eliminate cu ajutorul Instrumentului de configurare HDS.

Soluționați problemele privind securitatea datelor hibride

Utilizați următoarele indicații generale atunci când depanați problemele cu Securitatea datelor hibride.

1	Consultați Partner Hub pentru orice alerte și remediați orice elemente pe care le găsiți acolo. Consultați imaginea de mai jos pentru referință.
2	Revizuiți ieșirea serverului syslog pentru activitatea din implementarea securității datelor hibride. Filtru pentru cuvinte precum „Avertisment” și „Eroare” pentru a ajuta la depanare.
3	Contactați asistența Cisco.

Alte note

Probleme cunoscute privind securitatea datelor hibride

Dacă închideți clusterul de securitate a datelor hibride (prin ștergerea acestuia din Partner Hub sau prin închiderea tuturor nodurilor), pierdeți fișierul ISO de configurare sau pierdeți accesul la baza de date din keystore, utilizatorii Aplicației Webex din organizațiile client nu mai pot utiliza spațiile din lista lor de persoane care au fost create cu chei din KMS. Nu avem în prezent o soluție sau o soluție pentru această problemă și vă încurajăm să nu închideți serviciile dvs. HDS odată ce acestea gestionează conturile de utilizator active.
Un client care are o conexiune ECDH existentă la un KMS menține această conexiune pentru o perioadă de timp (probabil o oră).

Utilizați OpenSSL pentru a genera un fișier PKCS12

Înainte de a începe

OpenSSL este un instrument care poate fi utilizat pentru a face fișierul PKCS12 în formatul corect pentru încărcarea în instrumentul de configurare HDS. Există și alte modalități de a face acest lucru, iar noi nu sprijinim sau promovăm într-un mod mai presus de altul.
Dacă alegeți să utilizați OpenSSL, vă oferim această procedură ca ghid pentru a vă ajuta să creați un fișier care îndeplinește cerințele de certificat X.509 din Cerințele de certificat X.509. Înțelegeți aceste cerințe înainte de a continua.
Instalați OpenSSL într-un mediu acceptat. Consultați https://www.openssl.org pentru software și documentație.
Creați o cheie privată.
Inițiați această procedură atunci când primiți certificatul de server de la Certificate Authority (CA).

1	Când primiți certificatul de server de la CA, salvați-l ca `hdsnode.pem`.
2	Afișați certificatul ca text și verificați detaliile. `openssl x509 -text -noout -în hdsnode.pem`
3	Utilizați un editor de text pentru a crea un fișier pachet de certificate numit `hdsnode-bundle.pem`. Fișierul pachet trebuie să includă certificatul de server, orice certificate CA intermediare și certificatele CA rădăcină, în formatul de mai jos: `-----începeți certificatul------ ### Certificat de server. ### ------------------------------------ ### Certificat CA intermediar. ### ------------------------------------ ### Certificatul autorității de certificare rădăcină. ### -----încheiere certificat------`
4	Creați fișierul .p12 cu numele prietenos `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -nume kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Verificați detaliile certificatului serverului. `openssl pkcs12 -în hdsnode.p12` Introduceți o parolă la solicitarea de a cripta cheia privată astfel încât să fie afișată în ieșire. Apoi, verificați dacă cheia privată și primul certificat includ liniile `friendlyName: Cheie kms-privată`. Exemplu: bash$ openssl pkcs12 -în hdsnode.p12 Introduceți parola de import: MAC a verificat atributele pungii OK friendlyName: kms-private-cheie localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Atribute cheie: Introduceți fraza de acces PEM: Verificare - Introduceți fraza pass PEM: -----BEGIN CRIPTAT CHEIE PRIVATĂ----- -----END CRIPTAT CHEIE PRIVATĂ------- Atributele pungii prietenoaseName: kms-private-cheie localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us emitent=/C=US/O=Să criptăm/CN=Să criptăm autoritatea X3 -----BEGIN CERTIFICATE----- -----end certificate------- Atribute prietenoase cu pungaNume: CN=Să Criptăm Autoritatea X3,O=Să Criptăm,C=US subject=/C=US/O=Să Criptăm/CN=Să Criptăm Autoritatea X3 emitentă=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE---- -----END CERTIFICATE------

Ce este de făcut în continuare

Reveniți la Finalizați cerințele preliminare pentru securitatea datelor hibride. Veți utiliza fișierul hdsnode.p12 și parola pe care ați setat-o pentru acesta în Creați o configurație ISO pentru gazdele HDS.

Puteți reutiliza aceste fișiere pentru a solicita un nou certificat atunci când certificatul original expiră.

Trafic între nodurile HDS și cloud

Trafic de colectare a măsurătorilor de ieșire

Nodurile de securitate a datelor hibride trimit anumite măsurători în cloudul Webex. Printre acestea se numără măsurătorile de sistem privind numărul maxim de cadre, efectivul de cadre utilizate, sarcina procesorului și numărul de fire de execuție; măsurătorile privind șirurile sincronizate și asincrone; măsurătorile privind alertele care implică un prag de conexiuni de criptare, o latență sau o lungime a cozii de apeluri; măsurătorile privind baza de date și măsurătorile privind conexiunile de criptare. Nodurile trimit material cheie criptat printr-un canal în afara benzii (separat de solicitare).

Trafic de intrare

Nodurile de securitate a datelor hibride primesc următoarele tipuri de trafic de intrare din cloudul Webex:

Solicitări de criptare de la clienți, care sunt rutate de serviciul de criptare
Upgrade-uri la software-ul nodului

Configurarea proxy-urilor Squid pentru securitatea datelor hibride

Websocket nu se poate conecta prin Squid Proxy

Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea conexiunilor websocket (wss:) pe care Securitatea datelor hibride le necesită. Aceste secțiuni oferă îndrumări despre cum să configurați diferite versiuni de Squid pentru a ignora wss: traficul pentru funcționarea corespunzătoare a serviciilor.

Calmar 4 și 5

Adăugați on_unsupported_protocol directiva la squid.conf:

on_unsupported_protocol tunel toate

Calmar 3.5.27

Am testat cu succes Securitatea datelor hibride cu următoarele reguli adăugate la squid.conf. Aceste reguli pot fi modificate pe măsură ce dezvoltăm caracteristici și actualizăm cloud-ul Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 toate ssl_bump stare step2 toate ssl_bump bump3 toate

Informații noi și modificate

Acest tabel acoperă noile funcții sau funcționalități, modificările conținutului existent și orice erori majore care au fost remediate în Ghidul de implementare pentru securitatea datelor hibride cu entități găzduite multiple.

Dată	Modificări efectuate
ianuarie 08, 2025	S-a adăugat o notă în Efectuați configurarea inițială și descărcați fișierele de instalare , precizând că făcând clic pe Configurare pe cardul HDS din Partner Hub este un pas important al procesului de instalare.
ianuarie 07, 2025	Cerințe pentru gazda virtuală, Flux de sarcini de implementare a securității datelor hibride și Instalați HDS OVA gazdă pentru a afișa noua cerință pentru ESXi 7.0.
13 decembrie 2024	Prima publicare.

Dezactivați securitatea datelor hibride cu entități găzduite multiple

Fluxul de activități pentru dezactivarea HDS cu entități găzduite multiple

Urmați acești pași pentru a dezactiva complet HDS cu entități găzduite multiple.

Înainte de a începe

Această sarcină trebuie efectuată numai de un administrator complet pentru partener.

1	Eliminați toți clienții din toate clusterele dvs., după cum este menționat în Eliminați organizațiile entității găzduite.
2	Revocați CMK-urile tuturor clienților, după cum se menționează în Revocați CMK-urile entităților găzduite eliminate din HDS..
3	Eliminați toate nodurile din toate clusterele dvs., așa cum este menționat în Eliminați un nod.
4	Ștergeți toate clusterele din Partner Hub utilizând una dintre următoarele două metode. Faceți clic pe clusterul pe care doriți să îl ștergeți și selectați Ștergeți acest cluster din colțul din dreapta sus al paginii de prezentare generală. În pagina Resurse, faceți clic… pe partea dreaptă a unui cluster și selectați Eliminare cluster.
5	Faceți clic pe fila Setări din pagina de prezentare generală a securității datelor hibride și faceți clic pe Dezactivare HDS pe cardul de stare HDS.

Începeți cu Securitatea datelor hibride cu entități găzduite multiple

Prezentare generală a securității datelor hibride cu entități găzduite multiple

Încă din prima zi, securitatea datelor a fost accentul principal în proiectarea Aplicației Webex. Piatra de temelie a acestei securități este criptarea conținutului end-to-end, activată de clienții Aplicației Webex care interacționează cu Key Management Service (KMS). KMS este responsabil pentru crearea și gestionarea cheilor criptografice pe care clienții le utilizează pentru a cripta și decripta dinamic mesajele și fișierele.

În mod implicit, toți clienții Aplicației Webex primesc criptarea end-to-end cu cheile dinamice stocate în cloud KMS, în domeniul securității Cisco. Hybrid Data Security mută KMS și alte funcții legate de securitate în centrul de date al întreprinderii dvs., deci nimeni în afară de dvs. nu deține cheile conținutului dvs. criptat.

Securitatea datelor hibride cu entități găzduite multiple permite organizațiilor să utilizeze HDS prin intermediul unui partener local de încredere, care poate acționa ca furnizor de servicii și poate gestiona criptarea locală și alte servicii de securitate. Această configurație permite organizației partenere să aibă control complet asupra implementării și gestionării cheilor de criptare și garantează că datele de utilizator ale organizațiilor client sunt în siguranță împotriva accesului extern. Organizațiile partenere configurează instanțele HDS și creează clustere HDS după cum este necesar. Fiecare instanță poate accepta mai multe organizații ale clienților, spre deosebire de o implementare HDS obișnuită, care este limitată la o singură organizație.

Deși organizațiile partenere au control asupra implementării și gestionării, acestea nu au acces la datele și conținutul generate de clienți. Acest acces este limitat la organizațiile clienților și la utilizatorii acestora.

Acest lucru permite, de asemenea, organizațiilor mai mici să profite de HDS, deoarece serviciile de gestionare a cheilor și infrastructura de securitate, cum ar fi centrele de date, sunt deținute de partenerul local de încredere.

Modul în care securitatea datelor hibride cu entități găzduite multiple oferă suveranitatea și controlul datelor

Conținutul generat de utilizatori este protejat împotriva accesului extern, cum ar fi furnizorii de servicii în cloud.
Partenerii locali de încredere gestionează cheile de criptare ale clienților cu care au deja o relație stabilită.
Opțiunea de asistență tehnică locală, dacă aceasta este furnizată de partener.
Acceptă conținut pentru întâlniri, mesagerie și apeluri.

Acest document are scopul de a ajuta organizațiile partenere să configureze și să gestioneze clienții într-un sistem de securitate a datelor hibride cu entități găzduite multiple.

Roluri în securitatea datelor hibride cu entități găzduite multiple

Administrator complet pentru partener - Poate gestiona setările pentru toți clienții pe care partenerul îi administrează. De asemenea, poate aloca roluri de administrator utilizatorilor existenți în organizație și poate aloca anumiți clienți care urmează să fie gestionați de administratorii partenerilor.
Administrator partener - Poate gestiona setările pentru clienții pe care administratorul i-a asigurat sau care au fost alocați utilizatorului.
Administrator cu drepturi depline - Administrator al organizației partenere care este autorizat să efectueze sarcini precum modificarea setărilor organizației, gestionarea licențelor și atribuirea rolurilor.

Configurarea integrală a HDS cu entități găzduite multiple și gestionarea tuturor organizațiilor clienților - Sunt necesare drepturi de administrator complet pentru partener și drepturi de administrator complet.
Gestionarea organizațiilor de entități găzduite alocate - Sunt necesare drepturile de administrator partener și de administrator cu drepturi depline.

Arhitectura domeniului securitate

Arhitectura cloud Webex separă diferite tipuri de servicii în domenii sau domenii de încredere separate, așa cum este descris mai jos.

Pentru a înțelege mai bine Securitatea datelor hibride, să aruncăm o privire mai întâi la acest caz în cloud pur, în care Cisco oferă toate funcțiile din domeniile sale cloud. Serviciul de identitate, singurul loc în care utilizatorii pot fi corelați direct cu informațiile lor personale, cum ar fi adresa de e-mail, este separat logic și fizic de domeniul securității din centrul de date B. Ambele sunt la rândul lor separate de domeniul în care conținutul criptat este stocat în cele din urmă, în centrul de date C.

În această diagramă, clientul este Aplicația Webex care rulează pe laptopul unui utilizator și s-a autentificat în serviciul de identitate. Atunci când utilizatorul compune un mesaj pentru a-l trimite unui spațiu, se efectuează următorii pași:

Clientul stabilește o conexiune securizată cu serviciul de gestionare a cheilor (KMS), apoi solicită o cheie pentru a cripta mesajul. Conexiunea securizată utilizează ECDH, iar KMS criptează cheia utilizând o cheie principală AES-256.
Mesajul este criptat înainte de a părăsi clientul. Clientul îl trimite către serviciul de indexare, care creează indici de căutare criptați pentru a ajuta la căutările viitoare ale conținutului.
Mesajul criptat este trimis către serviciul de conformitate pentru verificări ale conformității.
Mesajul criptat este stocat în domeniul de stocare.

Când implementați Securitatea datelor hibride, mutați funcțiile domeniului de securitate (KMS, indexare și conformitate) în centrul dvs. de date local. Celelalte servicii cloud care alcătuiesc Webex (inclusiv stocarea identității și a conținutului) rămân în domeniile Cisco.

Colaborarea cu alte organizații

Utilizatorii din organizația dvs. pot utiliza în mod regulat Aplicația Webex pentru a colabora cu participanți externi din alte organizații. Când unul dintre utilizatorii dvs. solicită o cheie pentru un spațiu deținut de organizația dvs. (deoarece a fost creat de unul dintre utilizatorii dvs.), KMS-ul trimite cheia către client printr-un canal securizat ECDH. Cu toate acestea, atunci când o altă organizație deține cheia pentru spațiu, KMS-ul dvs. direcționează solicitarea către cloudul Webex printr-un canal ECDH separat pentru a obține cheia de la KMS corespunzător, apoi returnează cheia utilizatorului pe canalul original.

Serviciul KMS care rulează pe Org A validează conexiunile la KMS din alte organizații utilizând certificate x.509 PKI. Consultați Pregătiți mediul dvs. pentru detalii despre generarea unui certificat x.509 pentru a fi utilizat cu implementarea securității datelor hibride cu entități găzduite multiple.

Așteptări privind implementarea securității datelor hibride

O implementare a securității datelor hibride necesită un angajament semnificativ și o conștientizare a riscurilor asociate cu deținerea cheilor de criptare.

Pentru a implementa Securitatea datelor hibride, trebuie să furnizați:

Un centru de date securizat într-o țară care este o locație acceptată pentru planurile Cisco Webex Teams.
Echipamentul, software-ul și accesul la rețea descrise în Pregătiți mediul.

Pierderea completă a ISO-ului de configurare pe care îl creați pentru Securitatea datelor hibride sau a bazei de date pe care o furnizați va duce la pierderea cheilor. Pierderea cheii împiedică utilizatorii să decripteze conținutul spațiului și alte date criptate în Aplicația Webex. Dacă se întâmplă acest lucru, puteți construi o nouă implementare, dar va fi vizibil numai conținut nou. Pentru a evita pierderea accesului la date, trebuie să:

Gestionați copiile de siguranță și recuperarea bazei de date și a configurației ISO.
Fiți pregătiți pentru a efectua recuperarea rapidă în caz de dezastru în cazul în care se produce o catastrofă, cum ar fi eșecul discului bazei de date sau dezastrul centrului de date.

Nu există niciun mecanism de mutare a cheilor înapoi în Cloud după o implementare HDS.

Proces de configurare la nivel înalt

Acest document se referă la configurarea și gestionarea unei implementări a securității datelor hibride cu entități găzduite multiple:

Configurați Securitatea datelor hibride—Aceasta include pregătirea infrastructurii necesare și instalarea software-ului de securitate a datelor hibride, construirea unui cluster HDS, adăugarea de organizații găzduite în cluster și gestionarea cheilor principale ale clientului (CMK). Acest lucru va permite tuturor utilizatorilor din organizațiile client să utilizeze clusterul dvs. de securitate a datelor hibride pentru funcții de securitate.

Fazele de configurare, activare și gestionare sunt tratate în detaliu în următoarele trei capitole.
Mențineți implementarea securității datelor hibride—Webex cloud oferă automat upgrade-uri în curs. Departamentul dvs. IT poate oferi asistență de nivel unu pentru această implementare și poate implica asistența Cisco după cum este necesar. Puteți utiliza notificările pe ecran și puteți configura alerte pe bază de e-mail în Partner Hub.
Înțelegeți alertele obișnuite, pașii de depanare și problemele cunoscute—Dacă întâmpinați probleme la implementarea sau utilizarea Securității datelor hibride, ultimul capitol al acestui ghid și anexa Probleme cunoscute vă pot ajuta să identificați și să remediați problema.

Model de implementare a securității datelor hibride

În centrul de date al întreprinderii, implementați Securitatea datelor hibride ca un singur cluster de noduri pe gazde virtuale separate. Nodurile comunică cu cloudul Webex prin websocketuri securizate și HTTP securizat.

În timpul procesului de instalare, vă oferim fișierul OVA pentru a configura dispozitivul virtual pe VM-urile pe care le furnizați. Utilizați instrumentul de configurare HDS pentru a crea un fișier ISO de configurare a clusterului personalizat, pe care îl montați pe fiecare nod. Clusterul de securitate a datelor hibride utilizează serverul Syslogd furnizat și baza de date PostgreSQL sau Microsoft SQL Server. (Configurați detaliile de conectare Syslogd și a bazei de date în instrumentul de configurare HDS.)

Model de implementare a securității datelor hibride

Numărul minim de noduri pe care le puteți avea într-un cluster este de două. Vă recomandăm cel puțin trei per cluster. Existența mai multor noduri asigură faptul că serviciul nu este întrerupt în timpul unui upgrade de software sau al altei activități de întreținere pe un nod. (Cloudul Webex efectuează upgrade numai pentru un nod la un moment dat.)

Toate nodurile dintr-un cluster accesează același server de date cheie și jurnal de activitate la același server syslog. Nodurile în sine sunt apatride și gestionează solicitările cheie în modul round-robin, așa cum este direcționat de cloud.

Nodurile devin active atunci când le înscrieți în Partner Hub. Pentru a scoate din uz un nod individual, puteți să-l anulați înscrierea și să-l reînscrieți ulterior, dacă este necesar.

Centrul de date în așteptare pentru recuperarea după dezastre

În timpul implementării, configurați un centru de date în așteptare securizat. În cazul unui dezastru al centrului de date, puteți eșua manual implementarea la centrul de date în așteptare.

Bazele de date ale centrelor de date active și de așteptare sunt sincronizate unele cu altele, ceea ce va minimiza timpul necesar pentru efectuarea comutării automate.

Nodurile active de securitate a datelor hibride trebuie să fie întotdeauna în același centru de date ca serverul de baze de date active.

Suport proxy

Hybrid Data Security acceptă inspectarea explicită, transparentă și proxy-uri care nu inspectează. Puteți lega aceste proxy-uri de implementare, astfel încât să puteți securiza și monitoriza traficul de la întreprindere în cloud. Puteți utiliza o interfață de administrator de platformă pe nodurile pentru gestionarea certificatelor și pentru a verifica starea generală a conectivității după ce ați configurat proxy-ul pe noduri.

Nodurile hibride de securitate a datelor acceptă următoarele opțiuni proxy:

Fără proxy—Setare implicită dacă nu utilizați configurația nodului HDS Trust Store și Proxy pentru a integra un proxy. Nu este necesară actualizarea certificatului.
Proxy transparent fără inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy și nu ar trebui să necesite modificări pentru a funcționa cu un proxy fără inspectare. Nu este necesară actualizarea certificatului.
Proxy transparent pentru tunelare sau inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy. Nu sunt necesare modificări de configurare HTTP sau HTTPS pe noduri. Cu toate acestea, nodurile au nevoie de un certificat rădăcină, astfel încât să aibă încredere în proxy. Proxy-urile de inspectare sunt de obicei utilizate de IT pentru a aplica politici pe care site-urile web pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).
Proxy explicit- Cu proxy explicit, spuneți nodurilor HDS ce server proxy și ce schemă de autentificare să utilizați. Pentru a configura un proxy explicit, trebuie să introduceți următoarele informații pe fiecare nod:
1. IP/FQDN proxy—Adresa care poate fi utilizată pentru a accesa computerul proxy.
2. Port proxy—Un număr de port utilizat de proxy pentru a asculta traficul protejat.
3. Protocol proxy- În funcție de ceea ce acceptă serverul proxy, alegeți dintre următoarele protocoale:
  - HTTP - Vizualizează și controlează toate solicitările pe care le trimite clientul.
  - HTTPS - Oferă un canal serverului. Clientul primește și validează certificatul serverului.
4. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:
  - Fără—Nu este necesară mai multă autentificare.
    
    Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
  - De bază—Utilizat pentru un agent de utilizator HTTP care furnizează un nume de utilizator și o parolă atunci când efectuează o solicitare. Utilizează codificarea Base64.
    
    Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
    
    Vă solicită să introduceți numele de utilizator și parola pe fiecare nod.
  - Rezumat- Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite prin rețea.
    
    Disponibil numai dacă selectați HTTPS ca protocol proxy.
    
    Vă solicită să introduceți numele de utilizator și parola pe fiecare nod.

Exemplu de noduri hibride de securitate a datelor și proxy

Această diagramă afișează un exemplu de conexiune între securitatea datelor hibride, rețea și un proxy. Pentru opțiunile proxy de inspectare transparente și https explicit inspectare, același certificat rădăcină trebuie să fie instalat pe proxy și pe nodurile hibride de securitate a datelor.

Modul de rezolvare DNS extern blocat (configurații proxy explicite)

Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează căutarea DNS și conectivitatea la cloud-ul Cisco Webex. În implementările cu configurații proxy explicite care nu permit rezoluția DNS externă pentru clienții interni, dacă nodul nu poate interoga serverele DNS, acesta intră automat în modul Rezoluție DNS externă blocată. În acest mod, înregistrarea nodului și alte teste de conectivitate proxy pot continua.

Pregătiți mediul dvs.

Cerințe pentru securitatea datelor hibride cu entități găzduite multiple

Cerințe de licență Cisco Webex

Pentru a implementa securitatea datelor hibride cu entități găzduite multiple:

Organizații partenere: Contactați partenerul dvs. Cisco sau managerul de cont și asigurați-vă că funcția entitate găzduită multiplă este activată.
Organizații entitate găzduită: Trebuie să aveți pachetul Pro pentru Cisco Webex Control Hub. (Consultați https://www.cisco.com/go/pro-pack.)

Cerințe desktop docker

Înainte de a instala nodurile HDS, aveți nevoie de Docker Desktop pentru a rula un program de configurare. Docker și-a actualizat recent modelul de licențiere. Este posibil ca organizația să necesite un abonament plătit pentru Docker Desktop. Pentru detalii, consultați postarea de pe blogul Docker, " Docker actualizează și extinde abonamentele noastre de produse".

Cerințe certificat X.509

Lanțul de certificate trebuie să îndeplinească următoarele cerințe:

Tabelul 1. Cerințe privind certificatul X.509 pentru implementarea securității datelor hibride
Obligatoriu	Detalii
Semnat de o Autoritate de certificare (CA) de încredere	În mod implicit, avem încredere în CA-urile din lista Mozilla (cu excepția WoSign și StartCom) la https://wiki.mozilla.org/CA:IncludedCAs.
Conține un nume de domeniu comun (CN) care identifică implementarea securității datelor hibride Nu este un certificat wildcard	CN nu trebuie să fie accesibil sau gazdă live. Vă recomandăm să utilizați un nume care reflectă organizația dvs., de exemplu `hds.company.com`. NC nu trebuie să conțină un * (wildcard). CN este utilizat pentru a verifica nodurile de securitate a datelor hibride pentru clienții Aplicației Webex. Toate nodurile de securitate a datelor hibride din clusterul dvs. utilizează același certificat. KMS se identifică utilizând domeniul CN, nu orice domeniu definit în câmpurile SAN x.509v3. După ce ați înregistrat un nod cu acest certificat, nu acceptăm schimbarea numelui domeniului CN.
Semnătură non-SHA1	Software-ul KMS nu acceptă semnăturile SHA1 pentru validarea conexiunilor la KMS-urile altor organizații.
Formatat ca fișier PKCS #12 protejat prin parolă Utilizați numele prietenos al `kms-private-key` pentru a eticheta certificatul, cheia privată și orice certificate intermediare de încărcat.	Puteți utiliza un convertor, cum ar fi OpenSSL, pentru a schimba formatul certificatului. Va trebui să introduceți parola atunci când rulați instrumentul de configurare HDS.

Software-ul KMS nu impune utilizarea cheii sau restricțiile extinse de utilizare a cheii. Unele autorități de certificare solicită ca restricțiile extinse de utilizare a cheii să fie aplicate fiecărui certificat, cum ar fi autentificarea pe server. Este ok să utilizați autentificarea pe server sau alte setări.

Cerințe pentru gazda virtuală

Gazdele virtuale pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. au următoarele cerințe:

Cel puțin două gazde separate (3 recomandată) se află în același centru de date securizat
VMware ESXi 7.0 (sau o versiune ulterioară) instalat și rulează.

Trebuie să efectuați upgrade dacă aveți o versiune anterioară de ESXi.
Minimum 4 vCPU-uri, 8 GB memorie principală, 30 GB spațiu pe hard disk local per server

Cerințe server de bază de date

Creați o nouă bază de date pentru stocarea cheilor. Nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.

Există două opțiuni pentru serverul de bază de date. Cerințele pentru fiecare dintre acestea sunt următoarele:

Tabelul 2. Cerințele serverului de baze de date în funcție de tipul de bază de date
Parolă	Server Microsoft SQL
PostgreSQL 14, 15 sau 16, instalat și rulează.	Serverul SQL 2016, 2017 sau 2019 (Enterprise sau Standard) este instalat. Serverul SQL 2016 necesită Service Pack 2 și Actualizarea cumulativă 2 sau o versiune ulterioară.
Minimum 8 vCPU-uri, 16 GB memorie principală, spațiu suficient pe hard disk și monitorizare pentru a vă asigura că nu este depășită (se recomandă 2-TB dacă doriți să rulați baza de date pentru o lungă perioadă de timp fără a fi nevoie să creșteți spațiul de stocare)	Minimum 8 vCPU-uri, 16 GB memorie principală, spațiu suficient pe hard disk și monitorizare pentru a vă asigura că nu este depășită (se recomandă 2-TB dacă doriți să rulați baza de date pentru o lungă perioadă de timp fără a fi nevoie să creșteți spațiul de stocare)

Software-ul HDS instalează în prezent următoarele versiuni de drivere pentru comunicarea cu serverul de bază de date:

Parolă

Server Microsoft SQL

Driver Postgres JDBC 42.2.5

Driver 4.6 pentru serverul SQL JDBC

Această versiune de driver acceptă SQL Server activat permanent (Instanțe de cluster de reluare în caz de nereușită activată permanent și Grupuri de disponibilitate activate permanent).

Cerințe suplimentare pentru autentificarea Windows împotriva Microsoft SQL Server

Dacă doriți ca nodurile HDS să utilizeze autentificarea Windows pentru a obține acces la baza dvs. de date keystore pe Microsoft SQL Server, atunci aveți nevoie de următoarea configurație în mediul dvs.:

Nodurile HDS, infrastructura Active Directory și serverul MS SQL trebuie să fie sincronizate cu NTP.
Contul Windows pe care îl furnizați nodurilor HDS trebuie să aibă acces de citire/scriere la baza de date.
Serverele DNS pe care le furnizați nodurilor HDS trebuie să poată rezolva centrul de distribuție a cheilor (KDC).
Puteți înregistra instanța bazei de date HDS pe serverul Microsoft SQL ca nume principal al serviciului (SPN) în Active Directory. Consultați Înscrierea unui nume principal de serviciu pentru conexiunile Kerberos.

Instrumentul de configurare HDS, lansatorul HDS și KMS local trebuie să utilizeze autentificarea Windows pentru a accesa baza de date din keystore. Aceștia utilizează detaliile din configurația ISO pentru a construi SPN atunci când solicitați acces cu autentificarea Kerberos.

Cerințe de conectivitate externă

Configurați firewall-ul pentru a permite următoarea conectivitate pentru aplicațiile HDS:

Aplicație	Protocol	Port	Direcție din aplicație	Destinație
Noduri de securitate a datelor hibride	TCP	443	HTTPS și WSS de ieșire	Servere Webex: .wbx2.com .ciscospark.com Toate gazdele Common Identity Alte URL-uri listate pentru Securitatea datelor hibride în tabelul URL-uri suplimentare pentru serviciile hibride Webex din Cerințe de rețea pentru serviciile Webex
Instrument de configurare HDS	TCP	443	HTTPS de ieșire	*.wbx2.com Toate gazdele Common Identity hub.docker.com

Nodurile de securitate a datelor hibride funcționează cu traducerea accesului la rețea (NAT) sau în spatele unui firewall, atât timp cât NAT sau firewall permite conexiunile de ieșire necesare la destinațiile de domeniu din tabelul precedent. Pentru conexiunile de intrare la nodurile de securitate a datelor hibride, nu trebuie să fie vizibile porturi de pe internet. În cadrul centrului dvs. de date, clienții au nevoie de acces la nodurile de securitate a datelor hibride de pe porturile TCP 443 și 22, în scopuri administrative.

URL-urile pentru gazdele Common Identity (CI) sunt specifice regiunii. Acestea sunt gazdele CI actuale:

Regiune	URL-uri gazdă Common Identity
Țările din America	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Uniunea Europeană	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapore	https://idbroker-sg.webex.com https://identity-sg.webex.com
Emiratele Arabe Unite	https://idbroker-ae.webex.com https://identity-ae.webex.com

Cerințe server proxy

Acceptăm oficial următoarele soluții proxy care se pot integra cu nodurile hibride de securitate a datelor.
- Proxy transparent - Cisco Web Security Appliance (WSA).
- Proxy explicit - Calmar.
  
  Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea conexiunilor websocket (wss:). Pentru a rezolva această problemă, consultați Configurați proxy-urile Squid pentru securitatea datelor hibride.
Acceptăm următoarele combinații de tip de autentificare pentru proxy-uri explicite:
- Fără autentificare cu HTTP sau HTTPS
- Autentificare de bază cu HTTP sau HTTPS
- Autentificare digest numai cu HTTPS
Pentru un proxy de inspectare transparent sau un proxy explicit HTTPS, trebuie să aveți o copie a certificatului rădăcină al proxy-ului. Instrucțiunile de implementare din acest ghid vă spun cum să încărcați copia în depozitele de încredere ale nodurilor hibride de securitate a datelor.
Rețeaua care găzduiește nodurile HDS trebuie să fie configurată pentru a forța traficul TCP de ieșire pe portul 443 pentru a ruta prin proxy.
Proxy-urile care inspectează traficul web pot interfera cu conexiunile de soclu web. Dacă apare această problemă, ocolirea (nu inspectarea) traficului către wbx2.com și ciscospark.com va rezolva problema.

Completați cerințele preliminare pentru securitatea datelor hibride

Utilizați această listă de verificare pentru a vă asigura că sunteți gata să instalați și să configurați clusterul de securitate a datelor hibride.

1	Asigurați-vă că organizația dvs. parteneră are activată funcția HDS pentru entități găzduite multiple și obțineți acreditările unui cont cu administrator complet pentru partener și drepturi de administrator complet. Asigurați-vă că organizația client Webex este activată pentru Pachetul Pro pentru Cisco Webex Control Hub. Contactați-vă partenerul Cisco sau managerul de cont pentru ajutor cu acest proces. Organizațiile client nu trebuie să aibă nicio implementare HDS existentă.
2	Alegeți un nume de domeniu pentru implementarea HDS (de exemplu, `hds.company.com`) și obțineți un lanț de certificate care conține un certificat X.509, o cheie privată și orice certificate intermediare. Lanțul de certificate trebuie să îndeplinească cerințele din Cerințele de certificat X.509.
3	Pregătiți gazde virtuale identice pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. Aveți nevoie de cel puțin două gazde separate (3 recomandată) care să fie co-localizate în același centru de date securizat, care să îndeplinească cerințele din Cerințele gazdei virtuale.
4	Pregătiți serverul de bază de date care va acționa ca magazin de date cheie pentru cluster, în conformitate cu Cerințele serverului de bază de date. Serverul de baze de date trebuie să fie amplasat în centrul de date securizat cu gazdele virtuale. Creați o bază de date pentru stocarea cheilor. (Trebuie să creați această bază de date – nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.) Colectați detaliile pe care nodurile le vor utiliza pentru a comunica cu serverul de bază de date: numele gazdei sau adresa IP (gazdă) și portul numele bazei de date (dbname) pentru stocarea cheii numele de utilizator și parola unui utilizator cu toate privilegiile în baza de date de stocare a cheii
5	Pentru recuperare rapidă în caz de dezastru, configurați un mediu de rezervă într-un alt centru de date. Mediul de rezervă oglindește mediul de producție al VM-urilor și al unui server de baze de date de rezervă. De exemplu, dacă producția are 3 VM care rulează noduri HDS, mediul de rezervă trebuie să aibă 3 VM.
6	Configurați o gazdă syslog pentru a colecta jurnale de la nodurile din cluster. Colectați adresa de rețea și portul syslog (implicit este UDP 514).
7	Creați o politică de rezervă securizată pentru nodurile de securitate a datelor hibride, serverul de baze de date și gazda syslog. Cel puțin, pentru a preveni pierderea de date nerecuperabile, trebuie să efectuați o copie de rezervă a bazei de date și a fișierului ISO de configurare generat pentru nodurile de securitate a datelor hibride. Deoarece nodurile de securitate a datelor hibride stochează cheile utilizate la criptarea și decriptarea conținutului, nerespectarea menținerii unei implementări operaționale va duce la PIERDEREA IREVERSIBILĂ a conținutului respectiv. Clienții Aplicației Webex își ascund cheile, astfel încât este posibil ca o întrerupere să nu fie vizibilă imediat, dar va deveni evidentă în timp. În timp ce întreruperile temporare sunt imposibil de prevenit, acestea sunt recuperabile. Cu toate acestea, pierderea completă (nu sunt disponibile copii de siguranță) a bazei de date sau a fișierului ISO de configurare va avea ca rezultat date nerecuperabile ale clienților. Operatorii nodurilor de securitate a datelor hibride trebuie să mențină copii de siguranță frecvente ale bazei de date și ale fișierului ISO de configurare și să fie pregătiți să reconstruiască centrul de date de securitate a datelor hibride în cazul unei defecțiuni catastrofale.
8	Asigurați-vă că configurația firewallului permite conectivitatea pentru nodurile de securitate a datelor hibride, așa cum este descris în Cerințe de conectivitate externă.
9	Instalați Docker (https://www.docker.com) pe orice mașină locală care rulează un sistem de operare acceptat (Microsoft Windows 10 Professional sau Enterprise pe 64 de biți sau Mac OSX Yosemite 10.10.3 sau o versiune ulterioară) cu un browser web care îl poate accesa la http://127.0.0.1:8080. Utilizați instanța Docker pentru a descărca și rula instrumentul de configurare HDS, care generează informațiile de configurare locală pentru toate nodurile de securitate a datelor hibride. Este posibil să aveți nevoie de o licență Docker Desktop. Consultați Cerințe desktop docker pentru mai multe informații. Pentru a instala și rula instrumentul de configurare HDS, dispozitivul local trebuie să aibă conectivitatea descrisă în Cerințe de conectivitate externă.
10	Dacă integrați un proxy cu Securitatea datelor hibride, asigurați-vă că acesta îndeplinește Cerințele serverului proxy.

Configurați un cluster de securitate a datelor hibride

Fluxul de activități de implementare a securității datelor hibride

Înainte de a începe

1	Efectuați configurarea inițială și descărcați fișierele de instalare Descărcați fișierul OVA pe computerul dvs. local pentru utilizare ulterioară.
2	Crearea unui ISO de configurare pentru gazdele HDS Utilizați instrumentul de configurare HDS pentru a crea un fișier de configurare ISO pentru nodurile de securitate a datelor hibride.
3	Instalați gazda HDS OVA Creați o mașină virtuală din fișierul OVA și efectuați configurația inițială, cum ar fi setările de rețea. Opțiunea de a configura setările de rețea în timpul implementării OVA a fost testată cu ESXi 7.0. Este posibil ca această opțiune să nu fie disponibilă în versiunile anterioare.
4	Configurați VM de securitate a datelor hibride Conectați-vă la consola VM și setați acreditările de conectare. Configurați setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.
5	Încărcarea și montarea ISO de configurare HDS Configurați VM din fișierul de configurare ISO pe care l-ați creat cu instrumentul de configurare HDS.
6	Configurarea nodului HDS pentru integrarea proxy Dacă mediul de rețea necesită configurație proxy, specificați tipul de proxy pe care îl veți utiliza pentru nod și adăugați certificatul proxy la magazinul de încredere, dacă este necesar.
7	Înscrieți primul nod din cluster Înscrieți VM cu cloudul Cisco Webex ca nod de securitate a datelor hibride.
8	Creați și înscrieți mai multe noduri Finalizați configurarea clusterului.
9	Activați HDS cu entități găzduite multiple în Partner Hub. Activați HDS și gestionați organizațiile de entități găzduite în Partner Hub.

Efectuați configurarea inițială și descărcați fișierele de instalare

În această sarcină, descărcați un fișier OVA pe computerul dvs. (nu pe serverele pe care le configurați ca noduri de securitate a datelor hibride). Veți utiliza acest fișier mai târziu în procesul de instalare.

1	Conectați-vă la Partner Hub, apoi faceți clic pe Servicii.
2	În secțiunea Servicii cloud, găsiți cardul Securitate a datelor hibride, apoi faceți clic pe Configurare. Făcând clic pe Configurare în Partner Hub este esențial pentru procesul de implementare. Nu continuați cu instalarea fără a finaliza acest pas.
3	Faceți clic pe Adăugați o resursă și faceți clic pe Descărcați fișierul .OVA din cardul Instalare și configurare software . Versiunile mai vechi ale pachetului software (OVA) nu vor fi compatibile cu cele mai recente upgrade-uri de securitate a datelor hibride. Acest lucru poate duce la probleme în timpul upgrade-ului aplicației. Asigurați-vă că descărcați cea mai recentă versiune a fișierului OVA. De asemenea, puteți descărca OVA în orice moment din secțiunea Ajutor . Faceți clic pe Setări > Ajutor > Descărcați software-ul de securitate a datelor hibride. Fișierul OVA începe automat descărcarea. Salvați fișierul într-o locație de pe computerul dvs.
4	Opțional, faceți clic pe Consultați ghidul de implementare a securității datelor hibride pentru a verifica dacă există o versiune ulterioară a acestui ghid disponibilă.

Crearea unui ISO de configurare pentru gazdele HDS

Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi, utilizați ISO pentru a configura gazda de securitate a datelor hibride.

Înainte de a începe

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită detaliile de autentificare ale unui cont Partner Hub cu drepturi de administrator depline.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker la pasul 5 de mai jos. Acest tabel oferă câteva posibile variabile de mediu:

Descriere

Variabilă

Proxy HTTP fără autentificare

_AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT

Proxy HTTPS fără autentificare

_AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT

Proxy HTTP cu autentificare

_AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT

Proxy HTTPS cu autentificare

_AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT
Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier ori de câte ori efectuați modificări de configurație, cum ar fi:
- Acreditări bază de date
- Actualizări certificat
- Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile bazei de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

1

La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.:

În medii obișnuite:

configurare rmi ciscocitg/hds: stabil

În mediile FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.

2

Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele:

docker login -u hdscustomersro

3

La solicitarea parolei, introduceți acest hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Descărcați cea mai recentă imagine stabilă pentru mediul dvs.:

În medii obișnuite:

configurație ciscocitg/hds docker: stabil

În mediile FedRAMP:

docker extragere ciscocitg/hds-setup-fedramp:stabil

5

Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.:

În medii obișnuite fără un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

În medii obișnuite cu un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

În medii obișnuite cu un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

În mediile FedRAMP fără un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

În mediile FedRAMP cu un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

În mediile FedRAMP cu un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”.

6

Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală.

Utilizați un browser web pentru a accesa gazda locală http://127.0.0.1:8080 și a introduce numele de utilizator de administrator pentru Partner Hub la solicitare.

Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul corespunzător pentru acel cont. Instrumentul afișează apoi mesajul standard de conectare.

7

Când vi se solicită, introduceți acreditările de conectare de administrator Partner Hub, apoi faceți clic pe Conectați-vă pentru a permite accesul la serviciile necesare pentru Securitatea datelor hibride.

8

Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Începeți.

9

Pe pagina Import ISO aveți aceste opțiuni:

Nu—Dacă creați primul nod HDS, nu aveți un fișier ISO de încărcat.
Da—Dacă ați creat deja noduri HDS, selectați fișierul ISO în răsfoire și încărcați-l.

10

Verificați dacă certificatul dvs. X.509 îndeplinește cerințele din Cerințele privind certificatul X.509.

Dacă nu ați încărcat niciodată un certificat înainte, încărcați certificatul X.509, introduceți parola și faceți clic pe Continuați.
Dacă certificatul este OK, faceți clic pe Continuați.
Dacă certificatul dvs. a expirat sau doriți să îl înlocuiți, selectați Nu pentru Continuați să utilizați lanțul de certificate HDS și cheia privată din ISO anterioară?. Încărcați un nou certificat X.509, introduceți parola și faceți clic pe Continuați.

11

Introduceți adresa bazei de date și contul pentru HDS pentru a accesa baza de date cheie:

Selectați Tipul bazei de date (PostgreSQL sau Microsoft SQL Server).

Dacă alegeți Microsoft SQL Server, obțineți un câmp Tip de autentificare.
(Numai Microsoft SQL Server ) Selectați tipul de autentificare:
- Autentificare de bază: Aveți nevoie de un nume de cont SQL Server local în câmpul Nume de utilizator .
- Autentificare Windows: Aveți nevoie de un cont Windows în formatul nume de utilizator@DOMENIU în câmpul Nume de utilizator .
Introduceți adresa serverului de bază de date în forma : sau :.

Exemplu:
dbhost.example.org:1433 sau 198.51.100.17:1433

Puteți utiliza o adresă IP pentru autentificarea de bază, dacă nodurile nu pot utiliza DNS pentru a rezolva numele gazdei.

Dacă utilizați autentificarea Windows, trebuie să introduceți un Nume de domeniu complet calificat, în formatul dbhost.example.org:1433
Introduceți Numele bazei de date.
Introduceți Nume de utilizator și Parolă ale unui utilizator cu toate privilegiile în baza de date de stocare a cheilor.

12

Selectați un Mod de conectare la baza de date TLS:

Mod	Descriere
Preferați TLS (opțiune implicită)	Nodurile HDS nu necesită TLS pentru a se conecta la serverul de baze de date. Dacă activați TLS pe serverul bazei de date, nodurile încearcă o conexiune criptată.
Necesită TLS	Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS.
Solicitați TLS și verificați semnatarul certificatului	Acest mod nu se aplică pentru bazele de date SQL Server. Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS. După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de la serverul de baze de date cu autoritatea de certificare din Certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul scade conexiunea. Utilizați controlul certificat rădăcină bază de date sub lista verticală pentru a încărca certificatul rădăcină pentru această opțiune.
Solicitați TLS și verificați semnatarul certificatului și numele de gazdă	Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS. După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de la serverul de baze de date cu autoritatea de certificare din Certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul scade conexiunea. Nodurile verifică, de asemenea, dacă numele gazdei din certificatul de server se potrivește cu numele gazdei din câmpul Gazdă și port bază de date . Numele trebuie să se potrivească exact sau nodul scade conexiunea. Utilizați controlul certificat rădăcină bază de date sub lista verticală pentru a încărca certificatul rădăcină pentru această opțiune.

Când încărcați certificatul rădăcină (dacă este necesar) și faceți clic pe Continuați, instrumentul de configurare HDS testează conexiunea TLS la serverul de baze de date. Instrumentul verifică, de asemenea, semnatarul certificatului și numele de gazdă, dacă este cazul. Dacă un test nu reușește, instrumentul afișează un mesaj de eroare care descrie problema. Puteți alege dacă să ignorați eroarea și să continuați cu configurarea. (Din cauza diferențelor de conectivitate, nodurile HDS pot stabili conexiunea TLS, chiar dacă mașina instrumentului de configurare HDS nu o poate testa cu succes.)

13

Pe pagina Jurnale de sistem, configurați serverul Syslogd:

Introduceți URL-ul serverului syslog.

Dacă serverul nu este rezolvabil prin DNS de la noduri pentru clusterul dvs. HDS, utilizați o adresă IP în URL.

Exemplu:
udp://10.92.43.23:514 indică conectarea la gazda Syslogd 10.92.43.23 la portul UDP 514.
Dacă configurați serverul să utilizeze criptarea TLS, bifați Serverul syslog este configurat pentru criptarea SSL?.

Dacă bifați această casetă de selectare, asigurați-vă că introduceți un URL TCP, cum ar fi tcp://10.92.43.23:514.
Din lista derulantă Choose syslog recording termination (Alegeți înregistrarea syslog), alegeți setarea corespunzătoare pentru fișierul ISO: Alegeți dacă se utilizează linia nouă pentru Graylog și Rsyslog TCP
- Biți nuli -- \x00
- Linie nouă -- \n—Selectați această opțiune pentru Graylog și Rsyslog TCP.
Faceți clic pe Continuați.

14

(Opțional) Puteți modifica valoarea implicită pentru unii parametri de conexiune la baza de date în Setări avansate. În general, acest parametru este singurul parametru pe care s-ar putea să îl modificați:

app_datasource_connection_pool_maxMărime: 10

15

Faceți clic pe Continuați pe ecranul Resetați parola conturilor de serviciu .

Parolele conturilor de servicii au o durată de viață de nouă luni. Utilizați acest ecran când parolele se apropie de expirare sau doriți să le resetați pentru a anula fișierele ISO anterioare.

16

Faceți clic pe Descărcați fișierul ISO. Salvați fișierul într-o locație ușor de găsit.

17

Faceți o copie de rezervă a fișierului ISO în sistemul local.

Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la acei administratori de securitate a datelor hibride care ar trebui să efectueze modificări de configurație.

18

Pentru a închide instrumentul de configurare, tastați CTRL+C.

Ce este de făcut în continuare

Copie de rezervă a fișierului ISO de configurare. Aveți nevoie de acesta pentru a crea mai multe noduri pentru recuperare sau pentru a efectua modificări de configurație. Dacă pierdeți toate copiile fișierului ISO, ați pierdut și cheia principală. Recuperarea cheilor din baza de date PostgreSQL sau Microsoft SQL Server nu este posibilă.

Nu avem niciodată o copie a acestei chei și nu vă putem ajuta dacă o pierdeți.

Instalați gazda HDS OVA

Utilizați această procedură pentru a crea o mașină virtuală din fișierul OVA.

1	Utilizați clientul VMware vSphere de pe computerul dvs. pentru a vă conecta la gazda virtuală ESXi.
2	Selectați Fișier > Implementare șablon OVF.
3	În expert, specificați locația fișierului OVA pe care l-ați descărcat mai devreme, apoi faceți clic pe Înainte.
4	Pe pagina Selectați un nume și un folder , introduceți un Nume mașină virtuală pentru nod (de exemplu, „HDS_Node_1”), alegeți o locație în care poate fi găzduită implementarea nodului mașinii virtuale, apoi faceți clic pe Înainte.
5	Pe pagina Selectați o resursă de calcul , alegeți resursa de calcul de destinație, apoi faceți clic pe Înainte. Se execută o verificare de validare. După ce se termină, apar detaliile șablonului.
6	Verificați detaliile șablonului, apoi faceți clic pe Înainte.
7	Dacă vi se solicită să alegeți configurația resursei pe pagina Configurare , faceți clic pe 4 CPU , apoi faceți clic pe Înainte.
8	Pe pagina Selectați spațiul de stocare , faceți clic pe Înainte pentru a accepta formatul de disc și politica de stocare VM implicită.
9	Pe pagina Selectați rețele , selectați opțiunea de rețea din lista de intrări pentru a asigura conectivitatea dorită la VM.
10	Pe pagina Particularizare șablon , configurați următoarele setări de rețea: Nume gazdă—Introduceți FQDN (nume de gazdă și domeniu) sau un singur cuvânt nume de gazdă pentru nod. Nu este necesar să setați domeniul ca să corespundă domeniului pe care l-ați utilizat pentru a obține certificatul X.509. Pentru a asigura o înregistrare reușită în cloud, utilizați numai caractere mici în FQDN sau numele gazdei pe care l-ați setat pentru nod. Capitalizarea nu este acceptată în acest moment. Lungimea totală a FQDN nu trebuie să depășească 64 de caractere. Adresă IP— Introduceți adresa IP pentru interfața internă a nodului. Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat. Mască—Introduceți adresa măștii de subrețea în notație cu zecimale. De exemplu, 255.255.255.0. Gateway – Introduceți adresa IP a gateway-ului. Un gateway este un nod de rețea care servește ca punct de acces la o altă rețea. Servere DNS—Introduceți o listă de servere DNS separate prin virgulă, care se ocupă de traducerea numelor de domenii în adrese IP numerice. (Sunt permise până la 4 intrări DNS.) Servere NTP – Introduceți serverul NTP al organizației dvs. sau alt server NTP extern care poate fi utilizat în organizația dvs. Este posibil ca serverele NTP implicite să nu funcționeze pentru toate întreprinderile. De asemenea, puteți utiliza o listă separată prin virgulă pentru a introduce mai multe servere NTP. Implementați toate nodurile din aceeași subrețea sau VLAN, astfel încât toate nodurile dintr-un cluster să fie accesibile de la clienții din rețeaua dvs., în scopuri administrative. Dacă preferați, puteți sări peste configurația setărilor de rețea și să urmați pașii din Configurați VM de securitate a datelor hibride pentru a configura setările de la consola de nod. Opțiunea de a configura setările de rețea în timpul implementării OVA a fost testată cu ESXi 7.0. Este posibil ca această opțiune să nu fie disponibilă în versiunile anterioare.
11	Faceți clic dreapta pe VM nod, apoi alegeți Alimentare > Alimentare pornită. Software-ul de securitate a datelor hibride este instalat ca invitat pe gazda VM. Acum sunteți gata să vă conectați la consolă și să configurați nodul. Sfaturi de depanare Este posibil să întâmpinați o întârziere de câteva minute înainte de apariția containerelor nodului. În timpul primei boot-ări, apare un mesaj firewall de punte pe consolă, în timpul căruia nu vă puteți conecta.

Configurați VM de securitate a datelor hibride

Utilizați această procedură pentru a vă conecta pentru prima dată la consola VM a nodului de securitate a datelor hibride și a seta acreditările de conectare. De asemenea, puteți utiliza consola pentru a configura setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.

1	În clientul VMware vSphere, selectați VM nodul de securitate a datelor hibride și selectați fila Consolă . VM pornește și apare o solicitare de conectare. Dacă mesajul de conectare nu se afișează, apăsați Enter.
2	Utilizați următoarele date de conectare și parolă implicite pentru a vă conecta și a modifica datele de autentificare: Conectați-vă: `administrator` Parolă: `cisco (dezambiguizare)` Din moment ce vă conectați pentru prima dată la VM, trebuie să schimbați parola de administrator.
3	Dacă ați configurat deja setările de rețea în Instalați OVA gazdă HDS, omiteți restul acestei proceduri. În caz contrar, selectați opțiunea Editare configurație din meniul principal.
4	Configurați o configurație statică cu informații despre adresa IP, mască, gateway și DNS. Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat.
5	(Opțional) Schimbați numele de gazdă, domeniul sau serverul(serverele) NTP, dacă este necesar pentru a corespunde politicii dvs. de rețea. Nu este necesar să setați domeniul ca să corespundă domeniului pe care l-ați utilizat pentru a obține certificatul X.509.
6	Salvați configurația de rețea și reporniți VM pentru ca modificările să aibă efect.

Încărcarea și montarea ISO de configurare HDS

Utilizați această procedură pentru a configura mașina virtuală din fișierul ISO pe care l-ați creat cu instrumentul de configurare HDS.

Înainte de a începe

Deoarece fișierul ISO deține cheia principală, acesta ar trebui să fie expus numai pe baza necesității de a cunoaște, pentru accesul VM-urilor de securitate a datelor hibride și al oricăror administratori care ar putea fi nevoiți să facă modificări. Asigurați-vă că numai acei administratori pot accesa dataStore.

1

Încărcați fișierul ISO de pe computerul dvs.:

În panoul de navigare stânga al clientului VMware vSphere, faceți clic pe serverul ESXi.
În lista Hardware a filei Configurare, faceți clic pe Stocare.
În lista Datastores, faceți clic dreapta pe datastore pentru VM-urile dvs. și faceți clic pe Răsfoiți Datastore.
Faceți clic pe pictograma Încărcare fișiere, apoi faceți clic pe Încărcare fișier.
Navigați la locația în care ați descărcat fișierul ISO pe computer și faceți clic pe Deschidere.
Faceți clic pe Da pentru a accepta avertismentul operațiunii de încărcare/descărcare și a închide caseta de dialog a datelor.

2

Montează fișierul ISO:

În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările.
Faceți clic pe OK pentru a accepta avertismentul cu opțiuni de editare restricționate.
Faceți clic pe CD/DVD Drive 1, selectați opțiunea de montare dintr-un fișier ISO de bază de date și navigați la locația în care ați încărcat fișierul ISO de configurare.
Bifați opțiunea Conectat și Conectare la pornire.
Salvați modificările și reporniți mașina virtuală.

Ce este de făcut în continuare

Dacă politica IT solicită, puteți, opțional, să demontați fișierul ISO după ce toate nodurile preiau modificările de configurație. Consultați (Opțional) Demontați ISO după configurarea HDS pentru detalii.

Configurarea nodului HDS pentru integrarea proxy

Dacă mediul de rețea necesită un proxy, utilizați această procedură pentru a specifica tipul de proxy pe care doriți să îl integrați cu Securitatea datelor hibride. Dacă alegeți un proxy de inspectare transparent sau un proxy explicit HTTPS, puteți utiliza interfața nodului pentru a încărca și instala certificatul rădăcină. De asemenea, puteți verifica conexiunea proxy din interfață și puteți depana orice probleme potențiale.

Înainte de a începe

Consultați Suport proxy pentru o prezentare generală a opțiunilor proxy acceptate.
Cerințe server proxy

1	Introduceți URL-ul de configurare a nodului HDS `https://[HDS Node IP sau FQDN]/setup` într-un browser web, introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.
2	Accesați Trust Store & Proxy, apoi alegeți o opțiune: Fără proxy—Opțiunea implicită înainte de a integra un proxy. Nu este necesară actualizarea certificatului. Proxy transparent fără inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy și nu ar trebui să necesite modificări pentru a funcționa cu un proxy fără inspectare. Nu este necesară actualizarea certificatului. Proxy de inspectare transparent—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy. Nu sunt necesare modificări de configurare HTTPS pe implementarea hibride de securitate a datelor, cu toate acestea, nodurile HDS au nevoie de un certificat rădăcină, astfel încât acestea să aibă încredere în proxy. Proxy-urile de inspectare sunt de obicei utilizate de IT pentru a aplica politici pe care site-urile web pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS). Proxy explicit—Cu proxy explicit, spuneți clientului (nodurilor HDS) ce server proxy să utilizeze, iar această opțiune acceptă mai multe tipuri de autentificare. După ce alegeți această opțiune, trebuie să introduceți următoarele informații: IP/FQDN proxy—Adresa care poate fi utilizată pentru a accesa computerul proxy. Port proxy—Un număr de port utilizat de proxy pentru a asculta traficul protejat. Protocol proxy—Alegeți http (vizualizează și controlează toate solicitările primite de la client) sau https (oferă un canal către server, iar clientul primește și validează certificatul serverului). Alegeți o opțiune în funcție de ceea ce acceptă serverul proxy. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare: Fără—Nu este necesară mai multă autentificare. Disponibil pentru proxy-uri HTTP sau HTTPS. De bază—Utilizat pentru un agent de utilizator HTTP care furnizează un nume de utilizator și o parolă atunci când efectuează o solicitare. Utilizează codificarea Base64. Disponibil pentru proxy-uri HTTP sau HTTPS. Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola. Rezumat- Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite prin rețea. Disponibil numai pentru proxy-uri HTTPS. Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola. Urmați pașii următori pentru un proxy de inspectare transparent, un proxy explicit HTTP cu autentificare de bază sau un proxy explicit HTTPS.
3	Faceți clic pe Încărcare certificat rădăcină sau certificat de entitate de sfârșit , apoi navigați la o alegeți certificatul rădăcină pentruproxy. Certificatul este încărcat, dar nu este încă instalat, deoarece trebuie să reporniți nodul pentru a instala certificatul. Faceți clic pe săgeata ghilimelei unghiulare de numele emitentului certificatului pentru a obține mai multe detalii sau faceți clic pe Ștergere dacă ați făcut o greșeală și doriți să reîncărcați fișierul.
4	Faceți clic pe Verificare conexiune proxy pentru a testa conectivitatea la rețea între nod și proxy. Dacă testul de conexiune nu reușește, veți vedea un mesaj de eroare care arată motivul și modul în care puteți corecta problema. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a reușit, nodul nu a reușit să ajungă la serverul DNS. Această condiție este de așteptat în multe configurații proxy explicite. Puteți continua configurarea, iar nodul va funcționa în modul Rezoluție DNS externă blocată. Dacă considerați că aceasta este o eroare, parcurgeți acești pași și apoi consultați Dezactivare mod rezoluție DNS externă blocată.
5	După ce trece testul de conexiune, pentru proxy explicit setat la https numai, activați comutatorul pentru a ruta toate port 443/444 https solicitările de la acest nod prin proxy explicit. Această setare necesită 15 secunde pentru a intra în vigoare.
6	Faceți clic pe Instalare toate certificatele în Depozitul de încredere (apare pentru un proxy explicit HTTPS sau un proxy de inspectare transparent) sau pe Repornire (apare pentru un proxy explicit HTTP), citiți solicitarea, apoi faceți clic pe Instalare dacă sunteți gata. Nodul repornește în câteva minute.
7	După repornirea nodului, conectați-vă din nou, dacă este necesar, apoi deschideți pagina Prezentare generală pentru a verifica verificările de conectivitate pentru a vă asigura că toate sunt în stare verde. Verificarea conexiunii proxy testează numai un subdomeniu de webex.com. Dacă există probleme de conectivitate, o problemă comună este că unele dintre domeniile cloud listate în instrucțiunile de instalare sunt blocate la proxy.

Înscrieți primul nod din cluster

Această sarcină preia nodul generic pe care l-ați creat în Configurați VM de securitate a datelor hibride, înregistrează nodul în cloudul Webex și îl transformă într-un nod de securitate a datelor hibride.

Când înscrieți primul nod, creați un cluster căruia îi este atribuit nodul. Un cluster conține unul sau mai multe noduri implementate pentru a asigura redundanța.

Înainte de a începe

După ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți din nou.
Asigurați-vă că orice blocare a ferestrelor pop-up din browser este dezactivată sau că permiteți o excepție pentru admin.webex.com.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți cardul Securitate a datelor hibride și faceți clic pe Configurare.
4	În pagina care se deschide, faceți clic pe Adăugați o resursă.
5	În primul câmp al cardului Adăugați un nod , introduceți un nume pentru clusterul căruia doriți să îi atribuiți nodul de securitate a datelor hibride. Vă recomandăm să denumiți un cluster în funcție de locul geografic în care se află nodurile clusterului. Exemple: "San Francisco" sau "New York" sau "Dallas"
6	În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Adăugare în partea de jos a ecranului. Această adresă IP sau FQDN trebuie să corespundă adresei IP sau numelui gazdei și domeniului pe care le-ați utilizat în Configurați VM de securitate a datelor hibride. Apare un mesaj care indică faptul că vă puteți înscrie nodul în Webex.
7	Faceți clic pe Accesați nodul. După câteva momente, veți fi redirecționat(ă) către testele de conectivitate a nodului pentru serviciile Webex. Dacă toate testele sunt reușite, apare pagina Permiteți accesul la Nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați organizației dvs. Webex permisiuni pentru a vă accesa nodul.
8	Bifați caseta de selectare Permiteți accesul la nodul de securitate a datelor hibride , apoi faceți clic pe Continuați. Contul dvs. este validat, iar mesajul „Înscriere finalizată” indică faptul că nodul dvs. este acum înscris în cloudul Webex.
9	Faceți clic pe link sau închideți fila pentru a reveni la pagina Securitatea datelor hibride Partner Hub. Pe pagina Securitatea datelor hibride , noul cluster care conține nodul pe care l-ați înscris este afișat în fila Resurse . Nodul va descărca automat cel mai recent software din cloud.

Creați și înscrieți mai multe noduri

Pentru a adăuga noduri suplimentare la clusterul dvs., trebuie doar să creați VM suplimentare și să montați același fișier ISO de configurare, apoi să înregistrați nodul. Vă recomandăm să aveți cel puțin 3 noduri.

Înainte de a începe

După ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți din nou.
Asigurați-vă că orice blocare a ferestrelor pop-up din browser este dezactivată sau că permiteți o excepție pentru admin.webex.com.

1	Creați o nouă mașină virtuală din OVA, repetând pașii din Instalați OVA gazdă HDS.
2	Configurați configurația inițială pe noul VM, repetând pașii din Configurați VM de securitate a datelor hibride.
3	Pe noul VM, repetați pașii din Încărcarea și montarea ISO de configurare HDS.
4	Dacă configurați un proxy pentru implementarea dvs., repetați pașii din Configurați nodul HDS pentru integrarea proxy după cum este necesar pentru nodul nou.
5	Înscrieți nodul. În https://admin.webex.com, selectați Servicii din meniul din partea stângă a ecranului. În secțiunea Servicii cloud, găsiți cardul Securitate a datelor hibride și faceți clic pe Vizualizați toate. Apare pagina Resurse de securitate a datelor hibride. Clusterul nou creat va apărea în pagina Resurse . Faceți clic pe cluster pentru a vizualiza nodurile alocate clusterului. Faceți clic pe Adăugați un nod în partea dreaptă a ecranului. Introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Adăugați. Se deschide o pagină cu un mesaj care indică faptul că vă puteți înscrie nodul în cloudul Webex. După câteva momente, veți fi redirecționat(ă) către testele de conectivitate a nodului pentru serviciile Webex. Dacă toate testele sunt reușite, apare pagina Permiteți accesul la Nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați organizației dvs. permisiuni pentru a vă accesa nodul. Bifați caseta de selectare Permiteți accesul la nodul de securitate a datelor hibride , apoi faceți clic pe Continuați. Contul dvs. este validat, iar mesajul „Înscriere finalizată” indică faptul că nodul dvs. este acum înscris în cloudul Webex. Faceți clic pe link sau închideți fila pentru a reveni la pagina Securitatea datelor hibride Partner Hub. Mesajul pop-up Adăugat la nod apare, de asemenea, în partea de jos a ecranului din Partner Hub. Nodul dvs. este înregistrat.

Gestionați organizațiile entității găzduite pe securitatea datelor hibride cu entități găzduite multiple

Activați HDS cu entități găzduite multiple în Partner Hub

Această sarcină asigură că toți utilizatorii organizațiilor client pot începe să utilizeze HDS pentru cheile de criptare locale și alte servicii de securitate.

Înainte de a începe

Asigurați-vă că ați finalizat configurarea clusterului HDS cu entități găzduite multiple cu numărul necesar de noduri.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Editare setări.
4	Faceți clic pe Activare HDS pe cardul Stare HDS .

Adăugați organizații ale entităților găzduite în Partner Hub

În această sarcină, alocați organizații client la Clusterul dvs. de securitate a datelor hibride.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Vizualizați toate.
4	Faceți clic pe clusterul căruia doriți să i se atribuie un client.
5	Accesați fila Clienți alocați .
6	Faceți clic pe Adăugați clienți.
7	Selectați clientul pe care doriți să îl adăugați din meniul derulant.
8	Faceți clic pe Adăugare, clientul va fi adăugat la cluster.
9	Repetați pașii 6-8 pentru a adăuga mai mulți clienți la clusterul dvs.
10	Faceți clic pe Gata în partea de jos a ecranului după ce ați adăugat clienții.

Ce este de făcut în continuare

Rulați instrumentul de configurare HDS conform detaliilor din Creați chei principale ale clientului (CMK) utilizând instrumentul de configurare HDS pentru a finaliza procesul de configurare.

Creați chei principale ale clientului (CMK) utilizând instrumentul de configurare HDS

Înainte de a începe

Alocați clienți la clusterul corespunzător, după cum este detaliat în Adăugați organizații găzduite în Partner Hub. Rulați instrumentul de configurare HDS pentru a finaliza procesul de configurare pentru organizațiile client nou adăugate.

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită detaliile de autentificare ale unui cont Partner Hub cu drepturi de administrator depline pentru organizația dvs.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker la pasul 5. Acest tabel oferă câteva posibile variabile de mediu:

Descriere	Variabilă
Proxy HTTP fără autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS fără autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP cu autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT`
Proxy HTTPS cu autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT`

Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier ori de câte ori efectuați modificări de configurație, cum ar fi:
- Acreditări bază de date
- Actualizări certificat
- Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile bazei de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi, utilizați ISO pentru a configura gazda de securitate a datelor hibride.

1	La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite: `configurare rmi ciscocitg/hds: stabil` În mediile FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.
2	Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele: `docker login -u hdscustomersro`
3	La solicitarea parolei, introduceți acest hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite: `configurație ciscocitg/hds docker: stabil` În mediile FedRAMP: `docker extragere ciscocitg/hds-setup-fedramp:stabil`
5	Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În mediile FedRAMP fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”.
6	Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală. Utilizați un browser web pentru a accesa gazda locală `http://127.0.0.1:8080` și a introduce numele de utilizator de administrator pentru Partner Hub la solicitare. Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul corespunzător pentru acel cont. Instrumentul afișează apoi mesajul standard de conectare.
7	Când vi se solicită, introduceți acreditările de conectare de administrator Partner Hub, apoi faceți clic pe Conectați-vă pentru a permite accesul la serviciile necesare pentru Securitatea datelor hibride.
8	Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Începeți.
9	Pe pagina Import ISO , faceți clic pe Da.
10	Selectați fișierul dvs. ISO în browser și încărcați-l. Asigurați conexiunea la baza dvs. de date pentru a efectua gestionarea CMK.
11	Accesați fila Administrare CMK entitate găzduită , unde veți găsi următoarele trei modalități de a gestiona CMK entitate găzduită. Creare CMK pentru toate ORGANIZAȚIILE sau Creare CMK - Faceți clic pe acest buton de pe bannerul din partea de sus a ecranului pentru a crea CMK pentru toate organizațiile nou adăugate. Faceți clic pe butonul Gestionare CMK din partea dreaptă a ecranului și faceți clic pe Creare CMK pentru a crea CMK-uri pentru toate organizațiile nou adăugate. Faceți clic… lângă starea în așteptare a gestionării CMK a unei anumite organizații din tabel și faceți clic pe Creați CMK pentru a crea CMK pentru organizația respectivă.
12	Odată ce crearea CMK reușește, starea din tabel se va schimba din În așteptare gestionare CMK în Gestionat CMK.
13	Dacă crearea CMK nu reușește, se va afișa o eroare.

Eliminați organizațiile entității găzduite

Înainte de a începe

După eliminare, utilizatorii organizațiilor client nu vor putea folosi HDS pentru nevoile lor de criptare și vor pierde toate spațiile existente. Înainte de a elimina organizațiile client, contactați-vă partenerul Cisco sau managerul de cont.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Vizualizați toate.
4	În fila Resurse , faceți clic pe clusterul din care doriți să eliminați organizațiile client.
5	În pagina care se deschide, faceți clic pe Clienți alocați.
6	Din lista de organizații client care se afișează, faceți clic pe ... în partea dreaptă a organizației client pe care doriți să o eliminați și faceți clic pe Eliminare din cluster.

Ce este de făcut în continuare

Finalizați procesul de eliminare prin revocarea CMK-urilor organizațiilor client, așa cum este detaliat în Revocarea CMK-urilor entităților găzduite eliminate din HDS.

Revocați CMK-urile entităților găzduite eliminate din HDS.

Înainte de a începe

Eliminați clienții din clusterul corespunzător, așa cum este detaliat în Eliminați organizațiile entității găzduite. Rulați instrumentul de configurare HDS pentru a finaliza procesul de eliminare pentru organizațiile client care au fost eliminate.

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită detaliile de autentificare ale unui cont Partner Hub cu drepturi de administrator depline pentru organizația dvs.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker la pasul 5. Acest tabel oferă câteva posibile variabile de mediu:

Descriere	Variabilă
Proxy HTTP fără autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS fără autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP cu autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT`
Proxy HTTPS cu autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT`

Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier ori de câte ori efectuați modificări de configurație, cum ar fi:
- Acreditări bază de date
- Actualizări certificat
- Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile bazei de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi, utilizați ISO pentru a configura gazda de securitate a datelor hibride.

1	La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite: `configurare rmi ciscocitg/hds: stabil` În mediile FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.
2	Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele: `docker login -u hdscustomersro`
3	La solicitarea parolei, introduceți acest hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite: `configurație ciscocitg/hds docker: stabil` În mediile FedRAMP: `docker extragere ciscocitg/hds-setup-fedramp:stabil`
5	Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În mediile FedRAMP fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”.
6	Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală. Utilizați un browser web pentru a accesa gazda locală `http://127.0.0.1:8080` și a introduce numele de utilizator de administrator pentru Partner Hub la solicitare. Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul corespunzător pentru acel cont. Instrumentul afișează apoi mesajul standard de conectare.
7	Când vi se solicită, introduceți acreditările de conectare de administrator Partner Hub, apoi faceți clic pe Conectați-vă pentru a permite accesul la serviciile necesare pentru Securitatea datelor hibride.
8	Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Începeți.
9	Pe pagina Import ISO , faceți clic pe Da.
10	Selectați fișierul dvs. ISO în browser și încărcați-l.
11	Accesați fila Administrare CMK entitate găzduită , unde veți găsi următoarele trei modalități de a gestiona CMK entitate găzduită. Revocare CMK pentru toate ORGANIZAȚIILE sau Revocare CMK - Faceți clic pe acest buton de pe bannerul din partea de sus a ecranului pentru a revoca CMK-urile tuturor organizațiilor care au fost eliminate. Faceți clic pe butonul Gestionare CMK din partea dreaptă a ecranului și faceți clic pe Revocare CMK pentru a revoca CMK-urile tuturor organizațiilor care au fost eliminate. Faceți clic pe lângă starea CMK pentru a fi revocată a unei anumite organizații din tabel și faceți clic pe Revocare CMK pentru a revoca CMK pentru organizația respectivă.
12	Odată ce revocarea CMK reușește, organizația client nu va mai apărea în tabel.
13	Dacă revocarea CMK nu reușește, se va afișa o eroare.

Testați implementarea securității datelor hibride

Utilizați această procedură pentru a testa scenariile de criptare a securității datelor hibride cu entități găzduite multiple.

Înainte de a începe

Configurați implementarea securității datelor hibride cu entități găzduite multiple.
Asigurați-vă că aveți acces la syslog pentru a verifica dacă solicitările cheie sunt transmise la implementarea securității datelor hibride cu entități găzduite multiple.

1

Tastele pentru un anumit spațiu sunt setate de către creatorul spațiului. Conectați-vă la Aplicația Webex ca unul dintre utilizatorii organizației client, apoi creați un spațiu.

Dacă dezactivați implementarea securității datelor hibride, conținutul din spațiile pe care le creează utilizatorii nu mai este accesibil odată ce copiile din memoria cache a cheilor de criptare sunt înlocuite.

2

Trimiteți mesaje către noul spațiu.

3

Verificați ieșirea syslog pentru a verifica dacă solicitările cheie sunt transmise la implementarea securității datelor hibride.

Pentru a verifica dacă un utilizator stabilește mai întâi un canal securizat către KMS, filtrați după kms.data.method=create și kms.data.type=COLLECTION_KEY_:

Ar trebui să găsiți o intrare precum următoarea (identificatori scurtați pentru lizibilitate):

2020-07-21 17:35:34.562 (+0000) INFORMAȚII KMS [pool-14-thread-1] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Pentru a verifica dacă un utilizator solicită o cheie existentă din KMS, filtrați kms.data.method=retrieve și kms.data.type=KEY:

Ar trebui să găsiți o intrare precum:

2020-07-21 17:44:19.889 (+0000) INFORMAȚII KMS [pool-14-thread-31] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=CHEIE, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Pentru a verifica dacă există un utilizator care solicită crearea unei noi chei KMS, filtrați după kms.data.method=create și kms.data.type=KEY_COLLECTION:

Ar trebui să găsiți o intrare precum:

2020-07-21 17:44:21.975 (+0000) INFORMAȚII KMS [pool-14-thread-33] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Pentru a verifica dacă un utilizator solicită crearea unui nou obiect de resurse KMS (KRO) atunci când este creat un spațiu sau o altă resursă protejată, filtrați după kms.data.method=create și kms.data.type=RESOURCE_COLLECTION:

Ar trebui să găsiți o intrare precum:

2020-07-21 17:44:22.808 (+0000) INFORMAȚII KMS [pool-15-thread-1] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURSĂ_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorizați Securitatea datelor hibride

Un indicator de stare din Partner Hub vă arată dacă implementarea securității datelor hibride cu entități găzduite multiple este în regulă. Pentru o alertă mai proactivă, înscrieți-vă pentru notificări prin e-mail. Veți fi notificat atunci când există alarme sau upgrade-uri de software cu impact asupra serviciului.

1	În Partner Hub, selectați Servicii din meniul din partea stângă a ecranului.
2	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Editare setări. Apare pagina Setări de securitate a datelor hibride.
3	În secțiunea Notificări prin e-mail, introduceți una sau mai multe adrese de e-mail separate prin virgule și apăsați Enter.

Gestionați implementarea HDS

Utilizați sarcinile descrise aici pentru a gestiona implementarea securității datelor hibride.

Setați programarea upgrade-ului clusterului

Upgrade-urile software pentru Securitatea datelor hibride se efectuează automat la nivel de cluster, ceea ce garantează faptul că toate nodurile rulează întotdeauna aceeași versiune software. Upgrade-urile se efectuează în funcție de programul de upgrade pentru cluster. Atunci când un upgrade de software devine disponibil, aveți opțiunea de a efectua manual upgrade-ul clusterului înainte de ora programată pentru upgrade. Puteți seta un anumit program de upgrade sau puteți utiliza programul implicit de upgrade de la ora 3:00 a.m. Zilnic în Statele Unite: America/Los Angeles. De asemenea, puteți alege să amânați un upgrade viitor, dacă este necesar.

Pentru a seta programul de upgrade:

1	Conectați-vă la Hubul pentru parteneri.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Configurare
4	Pe pagina Resurse de securitate a datelor hibride, selectați clusterul.
5	Faceți clic pe fila Setări cluster .
6	În pagina Setări cluster, sub Programare upgrade, selectați ora și fusul orar pentru programarea upgrade-ului. Notă: În fusul orar se afișează următoarea dată și oră de upgrade disponibile. Puteți amâna upgrade-ul până în ziua următoare, dacă este necesar, făcând clic pe Amânare cu 24 de ore.

Modificați configurația nodului

Ocazional, poate fi necesar să modificați configurația nodului hibrid de securitate a datelor dintr-un motiv ar fi:

Modificarea certificatelor x.509 din cauza expirării sau din alte motive.

Nu acceptăm schimbarea numelui de domeniu CN al unui certificat. Domeniul trebuie să se potrivească cu domeniul inițial utilizat pentru înregistrarea clusterului.
Actualizarea setărilor bazei de date pentru a trece la o replică a bazei de date PostgreSQL sau Microsoft SQL Server.

Nu acceptăm migrarea datelor de la PostgreSQL la Microsoft SQL Server sau invers. Pentru a schimba mediul bazei de date, începeți o nouă implementare a Hybrid Data Security.
Crearea unei noi configurații pentru a pregăti un nou centru de date.

De asemenea, în scopuri de securitate, Hybrid Data Security utilizează parole de cont de serviciu care au o durată de viață de nouă luni. După ce instrumentul de instalare HDS generează aceste parole, le implementați la fiecare dintre nodurile HDS în fișierul de configurare ISO. Când parolele organizației se apropie de expirare, primiți o notificare de la echipa Webex pentru a reseta parola pentru contul dvs. (E-mailul include textul „Utilizați API-ul contului de mașină pentru a actualiza parola.”) Dacă parolele nu au expirat încă, instrumentul vă oferă două opțiuni:

Resetare ușoară—Parolele vechi și cele noi funcționează timp de până la 10 zile. Folosiți această perioadă pentru a înlocui treptat fișierul ISO pe noduri.
Resetare forțată—Parolele vechi nu mai funcționează imediat.

Dacă parolele dvs. expiră fără resetare, acest lucru va afecta serviciul HDS, necesitând o resetare hardware imediată și înlocuirea fișierului ISO pe toate nodurile.

Utilizați această procedură pentru a genera un nou fișier ISO de configurare și pentru a-l aplica clusterului dvs.

Înainte de a începe

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită datele de autentificare ale unui cont Partner Hub cu drepturi depline de administrator pentru partener.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker în 1.e. Acest tabel oferă câteva posibile variabile de mediu:

Descriere	Variabilă
Proxy HTTP fără autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS fără autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP cu autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT`
Proxy HTTPS cu autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT`

Aveți nevoie de o copie a fișierului ISO de configurare curent pentru a genera o nouă configurație. ISO conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de ISO când faceți modificări de configurare, inclusiv acreditările bazei de date, actualizări de certificate sau modificări ale politicii de autorizare.

1	Folosind Docker pe o mașină locală, rulați Instrumentul de configurare HDS. La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite: `configurare rmi ciscocitg/hds: stabil` În mediile FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora. Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele: `docker login -u hdscustomersro` La solicitarea parolei, introduceți acest hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite: `configurație ciscocitg/hds docker: stabil` În mediile FedRAMP: `docker extragere ciscocitg/hds-setup-fedramp:stabil` Asigurați-vă că utilizați cel mai recent instrument de configurare pentru această procedură. Versiunile instrumentului create înainte de 22 februarie 2018 nu au ecrane de resetare a parolei. Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În medii obișnuite cu un HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În mediile FedRAMP fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Când containerul se execută, vedeți "Express server de ascultare pe portul 8080." Utilizați un browser pentru a vă conecta la localhost, `http://127.0.0.1:8080`. Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală. Când vi se solicită, introduceți acreditările de conectare ale clientului Partner Hub și apoi faceți clic pe Acceptați pentru a continua. Importați fișierul ISO de configurare curentă. Urmați instrucțiunile pentru a finaliza instrumentul și descărcați fișierul actualizat. Pentru a închide instrumentul de configurare, tastați `CTRL+C`. Creați o copie de rezervă a fișierului actualizat într-un alt centru de date.
2	Dacă aveți un singur nod HDS care rulează, creați un nou VM nod de securitate a datelor hibride și înregistrați-l utilizând noul fișier ISO de configurare. Pentru instrucțiuni mai detaliate, consultați Creați și înscrieți mai multe noduri. Instalați OVA gazdă HDS. Configurați VM HDS. Montați fișierul de configurare actualizat. Înscrieți noul nod în Partner Hub.
3	Pentru nodurile HDS existente care rulează fișierul de configurare mai vechi, montați fișierul ISO. Efectuați următoarea procedură pe fiecare nod pe rând, actualizând fiecare nod înainte de a opri următorul nod: Opriți mașina virtuală. În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările. Faceți clic pe `UNITATE CD/DVD 1`, selectați opțiunea de montare dintr-un fișier ISO și navigați la locația în care ați descărcat noul fișier ISO de configurare. Bifaţi Conectare la pornire. Salvați modificările și porniți mașina virtuală.
4	Repetați pasul 3 pentru a înlocui configurația pe fiecare nod rămas care rulează configurația veche.

Dezactivarea modului de rezoluție DNS extern blocat

Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează căutarea DNS și conectivitatea la cloud-ul Cisco Webex. Dacă serverul DNS al nodului nu poate rezolva numele DNS publice, nodul intră automat în modul Rezoluție DNS externă blocată.

Dacă nodurile sunt capabile să rezolve numele DNS publice prin serverele DNS interne, puteți dezactiva acest mod prin reluarea testului de conexiune proxy pe fiecare nod.

Înainte de a începe

Asigurați-vă că serverele DNS interne pot rezolva numele DNS publice și că nodurile pot comunica cu acestea.

1	Într-un browser web, deschideți interfața nodului Hibrid Data Security (adresa IP/configurare, de exemplu, https://192.0.2.0/setup), introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.
2	Accesați Prezentare generală (pagina implicită). Când este activată, Rezoluția DNS externă blocată este setată la Da.
3	Accesați pagina Trust Store & Proxy.
4	Faceți clic pe Verificare conexiune proxy. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a avut succes, nodul nu a reușit să ajungă la serverul DNS și va rămâne în acest mod. În caz contrar, după ce reporniți nodul și reveniți la pagina Prezentare generală, Rezoluția DNS externă blocată ar trebui să fie setată la nu.

Ce trebuie să faceți în continuare

Repetați testul de conexiune proxy pe fiecare nod din clusterul hibrid de securitate a datelor.

Eliminați un nod

Utilizați această procedură pentru a elimina un nod de securitate a datelor hibride din cloudul Webex. După ce eliminați nodul din cluster, ștergeți mașina virtuală pentru a preveni accesul în continuare la datele dvs. de securitate.

1

Utilizați clientul VMware vSphere de pe computerul dvs. pentru a vă conecta la gazda virtuală ESXi și pentru a porni mașina virtuală.

2

Eliminați nodul:

Conectați-vă la Partner Hub, apoi selectați Servicii.
Pe cardul Securitate a datelor hibride, faceți clic pe Vizualizați toate pentru a afișa pagina Resurse de securitate a datelor hibride.
Selectați clusterul pentru a-și afișa panoul Prezentare generală.
Faceți clic pe nodul pe care doriți să îl eliminați.
Faceți clic pe Anulați înscrierea acestui nod în panoul care apare în partea dreaptă
De asemenea, puteți anula înscrierea nodului făcând clic… în partea dreaptă a nodului și selectând Eliminați acest nod.

3

În clientul vSphere, ștergeți VM. (În panoul de navigare din stânga, faceți clic dreapta pe VM și faceți clic pe Ștergere.)

Dacă nu ștergeți VM, nu uitați să demontați fișierul ISO de configurare. Fără fișierul ISO, nu puteți utiliza VM pentru a accesa datele de securitate.

Recuperarea după dezastru utilizând centrul de date în așteptare

Cel mai critic serviciu pe care clusterul dvs. de securitate a datelor hibride îl oferă este crearea și stocarea cheilor utilizate pentru a cripta mesajele și alt conținut stocat în cloudul Webex. Pentru fiecare utilizator din organizație care este atribuit Securitatea datelor hibride, noile solicitări de creare a cheii sunt direcționate către cluster. Clusterul este, de asemenea, responsabil pentru returnarea cheilor pe care le-a creat oricărui utilizator autorizat să le recupereze, de exemplu, membrilor unui spațiu de conversație.

Deoarece clusterul îndeplinește funcția critică de furnizare a acestor chei, este imperativ ca clusterul să rămână în funcțiune și să fie menținute copiile de rezervă corespunzătoare. Pierderea bazei de date hibride de securitate a datelor sau a ISO-ului de configurare utilizat pentru schemă va duce la PIERDEREA IREVERSIBILĂ a conținutului clientului. Pentru a preveni o astfel de pierdere sunt obligatorii următoarele practici:

Dacă un dezastru face ca implementarea HDS în centrul de date principal să devină indisponibilă, urmați această procedură pentru a trece manual la centrul de date în așteptare.

Înainte de a începe

Anulați înscrierea tuturor nodurilor din Partner Hub, după cum este menționat în Eliminați un nod. Utilizați cel mai recent fișier ISO care a fost configurat în raport cu nodurile clusterului care era activ anterior, pentru a efectua procedura de reluare în caz de nereușită menționată mai jos.

1	Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.
2	Finalizați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit.
3	Faceți o copie de rezervă a fișierului ISO în sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la acei administratori de securitate a datelor hibride care ar trebui să efectueze modificări de configurație.
4	În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările.
5	Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Datastore ISO File. Asigurați-vă că sunt bifate opțiunile Conectat și Conectare la pornire , astfel încât modificările actualizate ale configurației să poată intra în vigoare după pornirea nodurilor.
6	Porniți nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute.
7	Înscrieți nodul în Partner Hub. Consultați Înscrieți primul nod din cluster.
8	Repetați procesul pentru fiecare nod din centrul de date în așteptare.

Ce este de făcut în continuare

După reluarea în caz de nereușită, în cazul în care centrul de date principal redevine activ, anulați înregistrarea nodurilor centrului de date în așteptare și repetați procesul de configurare ISO și de înregistrare a nodurilor centrului de date principal, după cum s-a menționat mai sus.

(Opțional) Demontați ISO după configurarea HDS

Configurația standard HDS rulează cu ISO montat. Dar, unii clienți preferă să nu lase fișierele ISO montate continuu. Puteți demonta fișierul ISO după ce toate nodurile HDS preiau noua configurație.

Încă utilizați fișierele ISO pentru a efectua modificări de configurație. Când creați un nou ISO sau actualizați un ISO prin intermediul instrumentului de configurare, trebuie să montați ISO actualizat pe toate nodurile HDS. După ce toate nodurile au preluat modificările de configurație, puteți demonta din nou ISO cu această procedură.

Înainte de a începe

Efectuați upgrade pentru toate nodurile HDS la versiunea 2021.01.22.4720 sau la o versiune ulterioară.

1	Închideți unul dintre nodurile HDS.
2	În dispozitivul vCenter Server, selectați nodul HDS.
3	Alegeți Editare setări > Unitate CD/DVD și debifați Datastore ISO File.
4	Porniți nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 20 de minute.
5	Repetați la rând pentru fiecare nod HDS.

Soluționați problemele privind securitatea datelor hibride

Vizualizați alertele și soluționarea problemelor

O implementare de securitate a datelor hibride este considerată indisponibilă dacă toate nodurile din cluster sunt inaccesibile sau clusterul funcționează atât de lent încât necesită timp liber. Dacă utilizatorii nu pot contacta Clusterul dvs. de securitate a datelor hibride, vor prezenta următoarele simptome:

Nu se pot crea spații noi (nu se pot crea chei noi)
Mesajele și titlurile spațiului nu au putut fi decriptate pentru:
- Utilizatori noi adăugați într-un spațiu (nu se pot prelua cheile)
- Utilizatori existenți într-un spațiu utilizând un client nou (nu se pot prelua cheile)
Utilizatorii existenți dintr-un spațiu vor continua să ruleze cu succes atât timp cât clienții lor au o memorie cache a cheilor de criptare

Este important să monitorizați în mod corespunzător clusterul de securitate a datelor hibride și să abordați prompt orice alerte pentru a evita întreruperea serviciului.

Alerte

Dacă există o problemă cu configurarea securității datelor hibride, Partner Hub afișează alerte administratorului organizației și trimite e-mailuri la adresa de e-mail configurată. Alertele acoperă multe scenarii comune.

Tabelul 1. Probleme comune și pașii pentru a le rezolva
Alertă	Acțiune
Eroare de acces la baza de date locală.	Verificați dacă există erori la baza de date sau probleme de rețea locală.
Eroare de conexiune la baza de date locală.	Verificați dacă serverul bazei de date este disponibil și dacă s-au utilizat datele de autentificare corecte la contul de serviciu în configurarea nodului.
Acces nereușit la serviciul cloud.	Verificați dacă nodurile pot accesa serverele Webex, conform specificațiilor din Cerințe de conectivitate externă.
Se reînnoiește înscrierea la serviciul cloud.	Înscrierea la serviciile cloud a fost abandonată. Înregistrarea este în curs de reînnoire.
Înscrierea la serviciul cloud a scăzut.	Înscrierea la serviciile cloud a fost încheiată. Serviciul se oprește.
Serviciul nu a fost încă activat.	Activați HDS în Partner Hub.
Domeniul configurat nu corespunde certificatului serverului.	Asigurați-vă că certificatul dvs. de server corespunde domeniului de activare a serviciului configurat. Cauza cea mai probabilă este că certificatul NC a fost modificat recent și este acum diferit de cel utilizat în timpul configurării inițiale.
Nu s-a reușit autentificarea la serviciile cloud.	Verificați acuratețea și posibila expirare a acreditărilor contului de serviciu.
Nu s-a reușit deschiderea fișierului de keystore local.	Verificați integritatea și acuratețea parolei în fișierul de keystore local.
Certificatul serverului local nu este valid.	Verificați data de expirare a certificatului serverului și confirmați că acesta a fost emis de o autoritate de certificare de încredere.
Nu se pot publica măsurătorile.	Verificați accesul rețelei locale la serviciile externe din cloud.
Directorul /media/configdrive/hds nu există.	Verificați configurația de montare ISO pe gazda virtuală. Verificați dacă fișierul ISO există, dacă este configurat pentru montare la repornire și dacă se montează cu succes.
Configurarea organizației entității găzduite nu este finalizată pentru organizațiile adăugate	Finalizați configurarea prin crearea de CMK-uri pentru organizațiile de entități găzduite nou adăugate utilizând Instrumentul de configurare HDS.
Configurarea organizației entității găzduite nu este finalizată pentru organizațiile eliminate	Finalizați configurarea prin revocarea CMK-urilor organizațiilor găzduite care au fost eliminate cu ajutorul Instrumentului de configurare HDS.

Soluționați problemele privind securitatea datelor hibride

Utilizați următoarele indicații generale atunci când depanați problemele cu Securitatea datelor hibride.

1	Consultați Partner Hub pentru orice alerte și remediați orice elemente pe care le găsiți acolo. Consultați imaginea de mai jos pentru referință.
2	Revizuiți ieșirea serverului syslog pentru activitatea din implementarea securității datelor hibride. Filtru pentru cuvinte precum „Avertisment” și „Eroare” pentru a ajuta la depanare.
3	Contactați asistența Cisco.

Alte note

Probleme cunoscute privind securitatea datelor hibride

Dacă închideți clusterul de securitate a datelor hibride (prin ștergerea acestuia din Partner Hub sau prin închiderea tuturor nodurilor), pierdeți fișierul ISO de configurare sau pierdeți accesul la baza de date din keystore, utilizatorii Aplicației Webex din organizațiile client nu mai pot utiliza spațiile din lista lor de persoane care au fost create cu chei din KMS. Nu avem în prezent o soluție sau o soluție pentru această problemă și vă încurajăm să nu închideți serviciile dvs. HDS odată ce acestea gestionează conturile de utilizator active.
Un client care are o conexiune ECDH existentă la un KMS menține această conexiune pentru o perioadă de timp (probabil o oră).

Utilizați OpenSSL pentru a genera un fișier PKCS12

Înainte de a începe

OpenSSL este un instrument care poate fi utilizat pentru a face fișierul PKCS12 în formatul corect pentru încărcarea în instrumentul de configurare HDS. Există și alte modalități de a face acest lucru, iar noi nu sprijinim sau promovăm într-un mod mai presus de altul.
Dacă alegeți să utilizați OpenSSL, vă oferim această procedură ca ghid pentru a vă ajuta să creați un fișier care îndeplinește cerințele de certificat X.509 din Cerințele de certificat X.509. Înțelegeți aceste cerințe înainte de a continua.
Instalați OpenSSL într-un mediu acceptat. Consultați https://www.openssl.org pentru software și documentație.
Creați o cheie privată.
Inițiați această procedură atunci când primiți certificatul de server de la Certificate Authority (CA).

1	Când primiți certificatul de server de la CA, salvați-l ca `hdsnode.pem`.
2	Afișați certificatul ca text și verificați detaliile. `openssl x509 -text -noout -în hdsnode.pem`
3	Utilizați un editor de text pentru a crea un fișier pachet de certificate numit `hdsnode-bundle.pem`. Fișierul pachet trebuie să includă certificatul de server, orice certificate CA intermediare și certificatele CA rădăcină, în formatul de mai jos: `-----începeți certificatul------ ### Certificat de server. ### ------------------------------------ ### Certificat CA intermediar. ### ------------------------------------ ### Certificatul autorității de certificare rădăcină. ### -----încheiere certificat------`
4	Creați fișierul .p12 cu numele prietenos `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -nume kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Verificați detaliile certificatului serverului. `openssl pkcs12 -în hdsnode.p12` Introduceți o parolă la solicitarea de a cripta cheia privată astfel încât să fie afișată în ieșire. Apoi, verificați dacă cheia privată și primul certificat includ liniile `friendlyName: Cheie kms-privată`. Exemplu: bash$ openssl pkcs12 -în hdsnode.p12 Introduceți parola de import: MAC a verificat atributele pungii OK friendlyName: kms-private-cheie localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Atribute cheie: Introduceți fraza de acces PEM: Verificare - Introduceți fraza pass PEM: -----BEGIN CRIPTAT CHEIE PRIVATĂ----- -----END CRIPTAT CHEIE PRIVATĂ------- Atributele pungii prietenoaseName: kms-private-cheie localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us emitent=/C=US/O=Să criptăm/CN=Să criptăm autoritatea X3 -----BEGIN CERTIFICATE----- -----end certificate------- Atribute prietenoase cu pungaNume: CN=Să Criptăm Autoritatea X3,O=Să Criptăm,C=US subject=/C=US/O=Să Criptăm/CN=Să Criptăm Autoritatea X3 emitentă=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE---- -----END CERTIFICATE------

Ce este de făcut în continuare

Reveniți la Finalizați cerințele preliminare pentru securitatea datelor hibride. Veți utiliza fișierul hdsnode.p12 și parola pe care ați setat-o pentru acesta în Creați o configurație ISO pentru gazdele HDS.

Puteți reutiliza aceste fișiere pentru a solicita un nou certificat atunci când certificatul original expiră.

Trafic între nodurile HDS și cloud

Trafic de colectare a măsurătorilor de ieșire

Nodurile de securitate a datelor hibride trimit anumite măsurători în cloudul Webex. Printre acestea se numără măsurătorile de sistem privind numărul maxim de cadre, efectivul de cadre utilizate, sarcina procesorului și numărul de fire de execuție; măsurătorile privind șirurile sincronizate și asincrone; măsurătorile privind alertele care implică un prag de conexiuni de criptare, o latență sau o lungime a cozii de apeluri; măsurătorile privind baza de date și măsurătorile privind conexiunile de criptare. Nodurile trimit material cheie criptat printr-un canal în afara benzii (separat de solicitare).

Trafic de intrare

Nodurile de securitate a datelor hibride primesc următoarele tipuri de trafic de intrare din cloudul Webex:

Solicitări de criptare de la clienți, care sunt rutate de serviciul de criptare
Upgrade-uri la software-ul nodului

Configurarea proxy-urilor Squid pentru securitatea datelor hibride

Websocket nu se poate conecta prin Squid Proxy

Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea conexiunilor websocket (wss:) pe care Securitatea datelor hibride le necesită. Aceste secțiuni oferă îndrumări despre cum să configurați diferite versiuni de Squid pentru a ignora wss: traficul pentru funcționarea corespunzătoare a serviciilor.

Calmar 4 și 5

Adăugați on_unsupported_protocol directiva la squid.conf:

on_unsupported_protocol tunel toate

Calmar 3.5.27

Am testat cu succes Securitatea datelor hibride cu următoarele reguli adăugate la squid.conf. Aceste reguli pot fi modificate pe măsură ce dezvoltăm caracteristici și actualizăm cloud-ul Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 toate ssl_bump stare step2 toate ssl_bump bump3 toate

Informații noi și modificate

Acest tabel acoperă noile funcții sau funcționalități, modificările conținutului existent și orice erori majore care au fost remediate în Ghidul de implementare pentru securitatea datelor hibride cu entități găzduite multiple.

Dată	Modificări efectuate
ianuarie 08, 2025	S-a adăugat o notă în Efectuați configurarea inițială și descărcați fișierele de instalare , precizând că făcând clic pe Configurare pe cardul HDS din Partner Hub este un pas important al procesului de instalare.
ianuarie 07, 2025	Cerințe pentru gazda virtuală, Flux de sarcini de implementare a securității datelor hibride și Instalați HDS OVA gazdă pentru a afișa noua cerință pentru ESXi 7.0.
13 decembrie 2024	Prima publicare.

Dezactivați securitatea datelor hibride cu entități găzduite multiple

Fluxul de activități pentru dezactivarea HDS cu entități găzduite multiple

Urmați acești pași pentru a dezactiva complet HDS cu entități găzduite multiple.

Înainte de a începe

Această sarcină trebuie efectuată numai de un administrator complet pentru partener.

1	Eliminați toți clienții din toate clusterele dvs., după cum este menționat în Eliminați organizațiile entității găzduite.
2	Revocați CMK-urile tuturor clienților, după cum se menționează în Revocați CMK-urile entităților găzduite eliminate din HDS..
3	Eliminați toate nodurile din toate clusterele dvs., așa cum este menționat în Eliminați un nod.
4	Ștergeți toate clusterele din Partner Hub utilizând una dintre următoarele două metode. Faceți clic pe clusterul pe care doriți să îl ștergeți și selectați Ștergeți acest cluster din colțul din dreapta sus al paginii de prezentare generală. În pagina Resurse, faceți clic… pe partea dreaptă a unui cluster și selectați Eliminare cluster.
5	Faceți clic pe fila Setări din pagina de prezentare generală a securității datelor hibride și faceți clic pe Dezactivare HDS pe cardul de stare HDS.

Începeți cu Securitatea datelor hibride cu entități găzduite multiple

Prezentare generală a securității datelor hibride cu entități găzduite multiple

Încă din prima zi, securitatea datelor a fost accentul principal în proiectarea Aplicației Webex. Piatra de temelie a acestei securități este criptarea conținutului end-to-end, activată de clienții Aplicației Webex care interacționează cu Key Management Service (KMS). KMS este responsabil pentru crearea și gestionarea cheilor criptografice pe care clienții le utilizează pentru a cripta și decripta dinamic mesajele și fișierele.

În mod implicit, toți clienții Aplicației Webex primesc criptarea end-to-end cu cheile dinamice stocate în cloud KMS, în domeniul securității Cisco. Hybrid Data Security mută KMS și alte funcții legate de securitate în centrul de date al întreprinderii dvs., deci nimeni în afară de dvs. nu deține cheile conținutului dvs. criptat.

Securitatea datelor hibride cu entități găzduite multiple permite organizațiilor să utilizeze HDS prin intermediul unui partener local de încredere, care poate acționa ca furnizor de servicii și poate gestiona criptarea locală și alte servicii de securitate. Această configurație permite organizației partenere să aibă control complet asupra implementării și gestionării cheilor de criptare și garantează că datele de utilizator ale organizațiilor client sunt în siguranță împotriva accesului extern. Organizațiile partenere configurează instanțele HDS și creează clustere HDS după cum este necesar. Fiecare instanță poate accepta mai multe organizații ale clienților, spre deosebire de o implementare HDS obișnuită, care este limitată la o singură organizație.

Deși organizațiile partenere au control asupra implementării și gestionării, acestea nu au acces la datele și conținutul generate de clienți. Acest acces este limitat la organizațiile clienților și la utilizatorii acestora.

Acest lucru permite, de asemenea, organizațiilor mai mici să profite de HDS, deoarece serviciile de gestionare a cheilor și infrastructura de securitate, cum ar fi centrele de date, sunt deținute de partenerul local de încredere.

Modul în care securitatea datelor hibride cu entități găzduite multiple oferă suveranitatea și controlul datelor

Conținutul generat de utilizatori este protejat împotriva accesului extern, cum ar fi furnizorii de servicii în cloud.
Partenerii locali de încredere gestionează cheile de criptare ale clienților cu care au deja o relație stabilită.
Opțiunea de asistență tehnică locală, dacă aceasta este furnizată de partener.
Acceptă conținut pentru întâlniri, mesagerie și apeluri.

Acest document are scopul de a ajuta organizațiile partenere să configureze și să gestioneze clienții într-un sistem de securitate a datelor hibride cu entități găzduite multiple.

Roluri în securitatea datelor hibride cu entități găzduite multiple

Administrator complet pentru partener - Poate gestiona setările pentru toți clienții pe care partenerul îi administrează. De asemenea, poate aloca roluri de administrator utilizatorilor existenți în organizație și poate aloca anumiți clienți care urmează să fie gestionați de administratorii partenerilor.
Administrator partener - Poate gestiona setările pentru clienții pe care administratorul i-a asigurat sau care au fost alocați utilizatorului.
Administrator cu drepturi depline - Administrator al organizației partenere care este autorizat să efectueze sarcini precum modificarea setărilor organizației, gestionarea licențelor și atribuirea rolurilor.

Configurarea integrală a HDS cu entități găzduite multiple și gestionarea tuturor organizațiilor clienților - Sunt necesare drepturi de administrator complet pentru partener și drepturi de administrator complet.
Gestionarea organizațiilor de entități găzduite alocate - Sunt necesare drepturile de administrator partener și de administrator cu drepturi depline.

Arhitectura domeniului securitate

Arhitectura cloud Webex separă diferite tipuri de servicii în domenii sau domenii de încredere separate, așa cum este descris mai jos.

Pentru a înțelege mai bine Securitatea datelor hibride, să aruncăm o privire mai întâi la acest caz în cloud pur, în care Cisco oferă toate funcțiile din domeniile sale cloud. Serviciul de identitate, singurul loc în care utilizatorii pot fi corelați direct cu informațiile lor personale, cum ar fi adresa de e-mail, este separat logic și fizic de domeniul securității din centrul de date B. Ambele sunt la rândul lor separate de domeniul în care conținutul criptat este stocat în cele din urmă, în centrul de date C.

În această diagramă, clientul este Aplicația Webex care rulează pe laptopul unui utilizator și s-a autentificat în serviciul de identitate. Atunci când utilizatorul compune un mesaj pentru a-l trimite unui spațiu, se efectuează următorii pași:

Clientul stabilește o conexiune securizată cu serviciul de gestionare a cheilor (KMS), apoi solicită o cheie pentru a cripta mesajul. Conexiunea securizată utilizează ECDH, iar KMS criptează cheia utilizând o cheie principală AES-256.
Mesajul este criptat înainte de a părăsi clientul. Clientul îl trimite către serviciul de indexare, care creează indici de căutare criptați pentru a ajuta la căutările viitoare ale conținutului.
Mesajul criptat este trimis către serviciul de conformitate pentru verificări ale conformității.
Mesajul criptat este stocat în domeniul de stocare.

Când implementați Securitatea datelor hibride, mutați funcțiile domeniului de securitate (KMS, indexare și conformitate) în centrul dvs. de date local. Celelalte servicii cloud care alcătuiesc Webex (inclusiv stocarea identității și a conținutului) rămân în domeniile Cisco.

Colaborarea cu alte organizații

Utilizatorii din organizația dvs. pot utiliza în mod regulat Aplicația Webex pentru a colabora cu participanți externi din alte organizații. Când unul dintre utilizatorii dvs. solicită o cheie pentru un spațiu deținut de organizația dvs. (deoarece a fost creat de unul dintre utilizatorii dvs.), KMS-ul trimite cheia către client printr-un canal securizat ECDH. Cu toate acestea, atunci când o altă organizație deține cheia pentru spațiu, KMS-ul dvs. direcționează solicitarea către cloudul Webex printr-un canal ECDH separat pentru a obține cheia de la KMS corespunzător, apoi returnează cheia utilizatorului pe canalul original.

Serviciul KMS care rulează pe Org A validează conexiunile la KMS din alte organizații utilizând certificate x.509 PKI. Consultați Pregătiți mediul dvs. pentru detalii despre generarea unui certificat x.509 pentru a fi utilizat cu implementarea securității datelor hibride cu entități găzduite multiple.

Așteptări privind implementarea securității datelor hibride

O implementare a securității datelor hibride necesită un angajament semnificativ și o conștientizare a riscurilor asociate cu deținerea cheilor de criptare.

Pentru a implementa Securitatea datelor hibride, trebuie să furnizați:

Un centru de date securizat într-o țară care este o locație acceptată pentru planurile Cisco Webex Teams.
Echipamentul, software-ul și accesul la rețea descrise în Pregătiți mediul.

Pierderea completă a ISO-ului de configurare pe care îl creați pentru Securitatea datelor hibride sau a bazei de date pe care o furnizați va duce la pierderea cheilor. Pierderea cheii împiedică utilizatorii să decripteze conținutul spațiului și alte date criptate în Aplicația Webex. Dacă se întâmplă acest lucru, puteți construi o nouă implementare, dar va fi vizibil numai conținut nou. Pentru a evita pierderea accesului la date, trebuie să:

Gestionați copiile de siguranță și recuperarea bazei de date și a configurației ISO.
Fiți pregătiți pentru a efectua recuperarea rapidă în caz de dezastru în cazul în care se produce o catastrofă, cum ar fi eșecul discului bazei de date sau dezastrul centrului de date.

Nu există niciun mecanism de mutare a cheilor înapoi în Cloud după o implementare HDS.

Proces de configurare la nivel înalt

Acest document se referă la configurarea și gestionarea unei implementări a securității datelor hibride cu entități găzduite multiple:

Configurați Securitatea datelor hibride—Aceasta include pregătirea infrastructurii necesare și instalarea software-ului de securitate a datelor hibride, construirea unui cluster HDS, adăugarea de organizații găzduite în cluster și gestionarea cheilor principale ale clientului (CMK). Acest lucru va permite tuturor utilizatorilor din organizațiile client să utilizeze clusterul dvs. de securitate a datelor hibride pentru funcții de securitate.

Fazele de configurare, activare și gestionare sunt tratate în detaliu în următoarele trei capitole.
Mențineți implementarea securității datelor hibride—Webex cloud oferă automat upgrade-uri în curs. Departamentul dvs. IT poate oferi asistență de nivel unu pentru această implementare și poate implica asistența Cisco după cum este necesar. Puteți utiliza notificările pe ecran și puteți configura alerte pe bază de e-mail în Partner Hub.
Înțelegeți alertele obișnuite, pașii de depanare și problemele cunoscute—Dacă întâmpinați probleme la implementarea sau utilizarea Securității datelor hibride, ultimul capitol al acestui ghid și anexa Probleme cunoscute vă pot ajuta să identificați și să remediați problema.

Model de implementare a securității datelor hibride

În centrul de date al întreprinderii, implementați Securitatea datelor hibride ca un singur cluster de noduri pe gazde virtuale separate. Nodurile comunică cu cloudul Webex prin websocketuri securizate și HTTP securizat.

În timpul procesului de instalare, vă oferim fișierul OVA pentru a configura dispozitivul virtual pe VM-urile pe care le furnizați. Utilizați instrumentul de configurare HDS pentru a crea un fișier ISO de configurare a clusterului personalizat, pe care îl montați pe fiecare nod. Clusterul de securitate a datelor hibride utilizează serverul Syslogd furnizat și baza de date PostgreSQL sau Microsoft SQL Server. (Configurați detaliile de conectare Syslogd și a bazei de date în instrumentul de configurare HDS.)

Model de implementare a securității datelor hibride

Numărul minim de noduri pe care le puteți avea într-un cluster este de două. Vă recomandăm cel puțin trei per cluster. Existența mai multor noduri asigură faptul că serviciul nu este întrerupt în timpul unui upgrade de software sau al altei activități de întreținere pe un nod. (Cloudul Webex efectuează upgrade numai pentru un nod la un moment dat.)

Toate nodurile dintr-un cluster accesează același server de date cheie și jurnal de activitate la același server syslog. Nodurile în sine sunt apatride și gestionează solicitările cheie în modul round-robin, așa cum este direcționat de cloud.

Nodurile devin active atunci când le înscrieți în Partner Hub. Pentru a scoate din uz un nod individual, puteți să-l anulați înscrierea și să-l reînscrieți ulterior, dacă este necesar.

Centrul de date în așteptare pentru recuperarea după dezastre

În timpul implementării, configurați un centru de date în așteptare securizat. În cazul unui dezastru al centrului de date, puteți eșua manual implementarea la centrul de date în așteptare.

Bazele de date ale centrelor de date active și de așteptare sunt sincronizate unele cu altele, ceea ce va minimiza timpul necesar pentru efectuarea comutării automate.

Nodurile active de securitate a datelor hibride trebuie să fie întotdeauna în același centru de date ca serverul de baze de date active.

Suport proxy

Hybrid Data Security acceptă inspectarea explicită, transparentă și proxy-uri care nu inspectează. Puteți lega aceste proxy-uri de implementare, astfel încât să puteți securiza și monitoriza traficul de la întreprindere în cloud. Puteți utiliza o interfață de administrator de platformă pe nodurile pentru gestionarea certificatelor și pentru a verifica starea generală a conectivității după ce ați configurat proxy-ul pe noduri.

Nodurile hibride de securitate a datelor acceptă următoarele opțiuni proxy:

Fără proxy—Setare implicită dacă nu utilizați configurația nodului HDS Trust Store și Proxy pentru a integra un proxy. Nu este necesară actualizarea certificatului.
Proxy transparent fără inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy și nu ar trebui să necesite modificări pentru a funcționa cu un proxy fără inspectare. Nu este necesară actualizarea certificatului.
Proxy transparent pentru tunelare sau inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy. Nu sunt necesare modificări de configurare HTTP sau HTTPS pe noduri. Cu toate acestea, nodurile au nevoie de un certificat rădăcină, astfel încât să aibă încredere în proxy. Proxy-urile de inspectare sunt de obicei utilizate de IT pentru a aplica politici pe care site-urile web pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).
Proxy explicit- Cu proxy explicit, spuneți nodurilor HDS ce server proxy și ce schemă de autentificare să utilizați. Pentru a configura un proxy explicit, trebuie să introduceți următoarele informații pe fiecare nod:
1. IP/FQDN proxy—Adresa care poate fi utilizată pentru a accesa computerul proxy.
2. Port proxy—Un număr de port utilizat de proxy pentru a asculta traficul protejat.
3. Protocol proxy- În funcție de ceea ce acceptă serverul proxy, alegeți dintre următoarele protocoale:
  - HTTP - Vizualizează și controlează toate solicitările pe care le trimite clientul.
  - HTTPS - Oferă un canal serverului. Clientul primește și validează certificatul serverului.
4. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:
  - Fără—Nu este necesară mai multă autentificare.
    
    Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
  - De bază—Utilizat pentru un agent de utilizator HTTP care furnizează un nume de utilizator și o parolă atunci când efectuează o solicitare. Utilizează codificarea Base64.
    
    Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
    
    Vă solicită să introduceți numele de utilizator și parola pe fiecare nod.
  - Rezumat- Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite prin rețea.
    
    Disponibil numai dacă selectați HTTPS ca protocol proxy.
    
    Vă solicită să introduceți numele de utilizator și parola pe fiecare nod.

Exemplu de noduri hibride de securitate a datelor și proxy

Această diagramă afișează un exemplu de conexiune între securitatea datelor hibride, rețea și un proxy. Pentru opțiunile proxy de inspectare transparente și https explicit inspectare, același certificat rădăcină trebuie să fie instalat pe proxy și pe nodurile hibride de securitate a datelor.

Modul de rezolvare DNS extern blocat (configurații proxy explicite)

Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează căutarea DNS și conectivitatea la cloud-ul Cisco Webex. În implementările cu configurații proxy explicite care nu permit rezoluția DNS externă pentru clienții interni, dacă nodul nu poate interoga serverele DNS, acesta intră automat în modul Rezoluție DNS externă blocată. În acest mod, înregistrarea nodului și alte teste de conectivitate proxy pot continua.

Pregătiți mediul dvs.

Cerințe pentru securitatea datelor hibride cu entități găzduite multiple

Cerințe de licență Cisco Webex

Pentru a implementa securitatea datelor hibride cu entități găzduite multiple:

Organizații partenere: Contactați partenerul dvs. Cisco sau managerul de cont și asigurați-vă că funcția entitate găzduită multiplă este activată.
Organizații entitate găzduită: Trebuie să aveți pachetul Pro pentru Cisco Webex Control Hub. (Consultați https://www.cisco.com/go/pro-pack.)

Cerințe desktop docker

Înainte de a instala nodurile HDS, aveți nevoie de Docker Desktop pentru a rula un program de configurare. Docker și-a actualizat recent modelul de licențiere. Este posibil ca organizația să necesite un abonament plătit pentru Docker Desktop. Pentru detalii, consultați postarea de pe blogul Docker, " Docker actualizează și extinde abonamentele noastre de produse".

Cerințe certificat X.509

Lanțul de certificate trebuie să îndeplinească următoarele cerințe:

Tabelul 1. Cerințe privind certificatul X.509 pentru implementarea securității datelor hibride
Obligatoriu	Detalii
Semnat de o Autoritate de certificare (CA) de încredere	În mod implicit, avem încredere în CA-urile din lista Mozilla (cu excepția WoSign și StartCom) la https://wiki.mozilla.org/CA:IncludedCAs.
Conține un nume de domeniu comun (CN) care identifică implementarea securității datelor hibride Nu este un certificat wildcard	CN nu trebuie să fie accesibil sau gazdă live. Vă recomandăm să utilizați un nume care reflectă organizația dvs., de exemplu `hds.company.com`. NC nu trebuie să conțină un * (wildcard). CN este utilizat pentru a verifica nodurile de securitate a datelor hibride pentru clienții Aplicației Webex. Toate nodurile de securitate a datelor hibride din clusterul dvs. utilizează același certificat. KMS se identifică utilizând domeniul CN, nu orice domeniu definit în câmpurile SAN x.509v3. După ce ați înregistrat un nod cu acest certificat, nu acceptăm schimbarea numelui domeniului CN.
Semnătură non-SHA1	Software-ul KMS nu acceptă semnăturile SHA1 pentru validarea conexiunilor la KMS-urile altor organizații.
Formatat ca fișier PKCS #12 protejat prin parolă Utilizați numele prietenos al `kms-private-key` pentru a eticheta certificatul, cheia privată și orice certificate intermediare de încărcat.	Puteți utiliza un convertor, cum ar fi OpenSSL, pentru a schimba formatul certificatului. Va trebui să introduceți parola atunci când rulați instrumentul de configurare HDS.

Software-ul KMS nu impune utilizarea cheii sau restricțiile extinse de utilizare a cheii. Unele autorități de certificare solicită ca restricțiile extinse de utilizare a cheii să fie aplicate fiecărui certificat, cum ar fi autentificarea pe server. Este ok să utilizați autentificarea pe server sau alte setări.

Cerințe pentru gazda virtuală

Gazdele virtuale pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. au următoarele cerințe:

Cel puțin două gazde separate (3 recomandată) se află în același centru de date securizat
VMware ESXi 7.0 (sau o versiune ulterioară) instalat și rulează.

Trebuie să efectuați upgrade dacă aveți o versiune anterioară de ESXi.
Minimum 4 vCPU-uri, 8 GB memorie principală, 30 GB spațiu pe hard disk local per server

Cerințe server de bază de date

Creați o nouă bază de date pentru stocarea cheilor. Nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.

Există două opțiuni pentru serverul de bază de date. Cerințele pentru fiecare dintre acestea sunt următoarele:

Tabelul 2. Cerințele serverului de baze de date în funcție de tipul de bază de date
Parolă	Server Microsoft SQL
PostgreSQL 14, 15 sau 16, instalat și rulează.	Serverul SQL 2016, 2017 sau 2019 (Enterprise sau Standard) este instalat. Serverul SQL 2016 necesită Service Pack 2 și Actualizarea cumulativă 2 sau o versiune ulterioară.
Minimum 8 vCPU-uri, 16 GB memorie principală, spațiu suficient pe hard disk și monitorizare pentru a vă asigura că nu este depășită (se recomandă 2-TB dacă doriți să rulați baza de date pentru o lungă perioadă de timp fără a fi nevoie să creșteți spațiul de stocare)	Minimum 8 vCPU-uri, 16 GB memorie principală, spațiu suficient pe hard disk și monitorizare pentru a vă asigura că nu este depășită (se recomandă 2-TB dacă doriți să rulați baza de date pentru o lungă perioadă de timp fără a fi nevoie să creșteți spațiul de stocare)

Software-ul HDS instalează în prezent următoarele versiuni de drivere pentru comunicarea cu serverul de bază de date:

Parolă

Server Microsoft SQL

Driver Postgres JDBC 42.2.5

Driver 4.6 pentru serverul SQL JDBC

Această versiune de driver acceptă SQL Server activat permanent (Instanțe de cluster de reluare în caz de nereușită activată permanent și Grupuri de disponibilitate activate permanent).

Cerințe suplimentare pentru autentificarea Windows împotriva Microsoft SQL Server

Dacă doriți ca nodurile HDS să utilizeze autentificarea Windows pentru a obține acces la baza dvs. de date keystore pe Microsoft SQL Server, atunci aveți nevoie de următoarea configurație în mediul dvs.:

Nodurile HDS, infrastructura Active Directory și serverul MS SQL trebuie să fie sincronizate cu NTP.
Contul Windows pe care îl furnizați nodurilor HDS trebuie să aibă acces de citire/scriere la baza de date.
Serverele DNS pe care le furnizați nodurilor HDS trebuie să poată rezolva centrul de distribuție a cheilor (KDC).
Puteți înregistra instanța bazei de date HDS pe serverul Microsoft SQL ca nume principal al serviciului (SPN) în Active Directory. Consultați Înscrierea unui nume principal de serviciu pentru conexiunile Kerberos.

Instrumentul de configurare HDS, lansatorul HDS și KMS local trebuie să utilizeze autentificarea Windows pentru a accesa baza de date din keystore. Aceștia utilizează detaliile din configurația ISO pentru a construi SPN atunci când solicitați acces cu autentificarea Kerberos.

Cerințe de conectivitate externă

Configurați firewall-ul pentru a permite următoarea conectivitate pentru aplicațiile HDS:

Aplicație	Protocol	Port	Direcție din aplicație	Destinație
Noduri de securitate a datelor hibride	TCP	443	HTTPS și WSS de ieșire	Servere Webex: .wbx2.com .ciscospark.com Toate gazdele Common Identity Alte URL-uri listate pentru Securitatea datelor hibride în tabelul URL-uri suplimentare pentru serviciile hibride Webex din Cerințe de rețea pentru serviciile Webex
Instrument de configurare HDS	TCP	443	HTTPS de ieșire	*.wbx2.com Toate gazdele Common Identity hub.docker.com

Nodurile de securitate a datelor hibride funcționează cu traducerea accesului la rețea (NAT) sau în spatele unui firewall, atât timp cât NAT sau firewall permite conexiunile de ieșire necesare la destinațiile de domeniu din tabelul precedent. Pentru conexiunile de intrare la nodurile de securitate a datelor hibride, nu trebuie să fie vizibile porturi de pe internet. În cadrul centrului dvs. de date, clienții au nevoie de acces la nodurile de securitate a datelor hibride de pe porturile TCP 443 și 22, în scopuri administrative.

URL-urile pentru gazdele Common Identity (CI) sunt specifice regiunii. Acestea sunt gazdele CI actuale:

Regiune	URL-uri gazdă Common Identity
Țările din America	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Uniunea Europeană	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapore	https://idbroker-sg.webex.com https://identity-sg.webex.com
Emiratele Arabe Unite	https://idbroker-ae.webex.com https://identity-ae.webex.com

Cerințe server proxy

Acceptăm oficial următoarele soluții proxy care se pot integra cu nodurile hibride de securitate a datelor.
- Proxy transparent - Cisco Web Security Appliance (WSA).
- Proxy explicit - Calmar.
  
  Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea conexiunilor websocket (wss:). Pentru a rezolva această problemă, consultați Configurați proxy-urile Squid pentru securitatea datelor hibride.
Acceptăm următoarele combinații de tip de autentificare pentru proxy-uri explicite:
- Fără autentificare cu HTTP sau HTTPS
- Autentificare de bază cu HTTP sau HTTPS
- Autentificare digest numai cu HTTPS
Pentru un proxy de inspectare transparent sau un proxy explicit HTTPS, trebuie să aveți o copie a certificatului rădăcină al proxy-ului. Instrucțiunile de implementare din acest ghid vă spun cum să încărcați copia în depozitele de încredere ale nodurilor hibride de securitate a datelor.
Rețeaua care găzduiește nodurile HDS trebuie să fie configurată pentru a forța traficul TCP de ieșire pe portul 443 pentru a ruta prin proxy.
Proxy-urile care inspectează traficul web pot interfera cu conexiunile de soclu web. Dacă apare această problemă, ocolirea (nu inspectarea) traficului către wbx2.com și ciscospark.com va rezolva problema.

Completați cerințele preliminare pentru securitatea datelor hibride

Utilizați această listă de verificare pentru a vă asigura că sunteți gata să instalați și să configurați clusterul de securitate a datelor hibride.

1	Asigurați-vă că organizația dvs. parteneră are activată funcția HDS pentru entități găzduite multiple și obțineți acreditările unui cont cu administrator complet pentru partener și drepturi de administrator complet. Asigurați-vă că organizația client Webex este activată pentru Pachetul Pro pentru Cisco Webex Control Hub. Contactați-vă partenerul Cisco sau managerul de cont pentru ajutor cu acest proces. Organizațiile client nu trebuie să aibă nicio implementare HDS existentă.
2	Alegeți un nume de domeniu pentru implementarea HDS (de exemplu, `hds.company.com`) și obțineți un lanț de certificate care conține un certificat X.509, o cheie privată și orice certificate intermediare. Lanțul de certificate trebuie să îndeplinească cerințele din Cerințele de certificat X.509.
3	Pregătiți gazde virtuale identice pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. Aveți nevoie de cel puțin două gazde separate (3 recomandată) care să fie co-localizate în același centru de date securizat, care să îndeplinească cerințele din Cerințele gazdei virtuale.
4	Pregătiți serverul de bază de date care va acționa ca magazin de date cheie pentru cluster, în conformitate cu Cerințele serverului de bază de date. Serverul de baze de date trebuie să fie amplasat în centrul de date securizat cu gazdele virtuale. Creați o bază de date pentru stocarea cheilor. (Trebuie să creați această bază de date – nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.) Colectați detaliile pe care nodurile le vor utiliza pentru a comunica cu serverul de bază de date: numele gazdei sau adresa IP (gazdă) și portul numele bazei de date (dbname) pentru stocarea cheii numele de utilizator și parola unui utilizator cu toate privilegiile în baza de date de stocare a cheii
5	Pentru recuperare rapidă în caz de dezastru, configurați un mediu de rezervă într-un alt centru de date. Mediul de rezervă oglindește mediul de producție al VM-urilor și al unui server de baze de date de rezervă. De exemplu, dacă producția are 3 VM care rulează noduri HDS, mediul de rezervă trebuie să aibă 3 VM.
6	Configurați o gazdă syslog pentru a colecta jurnale de la nodurile din cluster. Colectați adresa de rețea și portul syslog (implicit este UDP 514).
7	Creați o politică de rezervă securizată pentru nodurile de securitate a datelor hibride, serverul de baze de date și gazda syslog. Cel puțin, pentru a preveni pierderea de date nerecuperabile, trebuie să efectuați o copie de rezervă a bazei de date și a fișierului ISO de configurare generat pentru nodurile de securitate a datelor hibride. Deoarece nodurile de securitate a datelor hibride stochează cheile utilizate la criptarea și decriptarea conținutului, nerespectarea menținerii unei implementări operaționale va duce la PIERDEREA IREVERSIBILĂ a conținutului respectiv. Clienții Aplicației Webex își ascund cheile, astfel încât este posibil ca o întrerupere să nu fie vizibilă imediat, dar va deveni evidentă în timp. În timp ce întreruperile temporare sunt imposibil de prevenit, acestea sunt recuperabile. Cu toate acestea, pierderea completă (nu sunt disponibile copii de siguranță) a bazei de date sau a fișierului ISO de configurare va avea ca rezultat date nerecuperabile ale clienților. Operatorii nodurilor de securitate a datelor hibride trebuie să mențină copii de siguranță frecvente ale bazei de date și ale fișierului ISO de configurare și să fie pregătiți să reconstruiască centrul de date de securitate a datelor hibride în cazul unei defecțiuni catastrofale.
8	Asigurați-vă că configurația firewallului permite conectivitatea pentru nodurile de securitate a datelor hibride, așa cum este descris în Cerințe de conectivitate externă.
9	Instalați Docker (https://www.docker.com) pe orice mașină locală care rulează un sistem de operare acceptat (Microsoft Windows 10 Professional sau Enterprise pe 64 de biți sau Mac OSX Yosemite 10.10.3 sau o versiune ulterioară) cu un browser web care îl poate accesa la http://127.0.0.1:8080. Utilizați instanța Docker pentru a descărca și rula instrumentul de configurare HDS, care generează informațiile de configurare locală pentru toate nodurile de securitate a datelor hibride. Este posibil să aveți nevoie de o licență Docker Desktop. Consultați Cerințe desktop docker pentru mai multe informații. Pentru a instala și rula instrumentul de configurare HDS, dispozitivul local trebuie să aibă conectivitatea descrisă în Cerințe de conectivitate externă.
10	Dacă integrați un proxy cu Securitatea datelor hibride, asigurați-vă că acesta îndeplinește Cerințele serverului proxy.

Configurați un cluster de securitate a datelor hibride

Fluxul de activități de implementare a securității datelor hibride

Înainte de a începe

1	Efectuați configurarea inițială și descărcați fișierele de instalare Descărcați fișierul OVA pe computerul dvs. local pentru utilizare ulterioară.
2	Crearea unui ISO de configurare pentru gazdele HDS Utilizați instrumentul de configurare HDS pentru a crea un fișier de configurare ISO pentru nodurile de securitate a datelor hibride.
3	Instalați gazda HDS OVA Creați o mașină virtuală din fișierul OVA și efectuați configurația inițială, cum ar fi setările de rețea. Opțiunea de a configura setările de rețea în timpul implementării OVA a fost testată cu ESXi 7.0. Este posibil ca această opțiune să nu fie disponibilă în versiunile anterioare.
4	Configurați VM de securitate a datelor hibride Conectați-vă la consola VM și setați acreditările de conectare. Configurați setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.
5	Încărcarea și montarea ISO de configurare HDS Configurați VM din fișierul de configurare ISO pe care l-ați creat cu instrumentul de configurare HDS.
6	Configurarea nodului HDS pentru integrarea proxy Dacă mediul de rețea necesită configurație proxy, specificați tipul de proxy pe care îl veți utiliza pentru nod și adăugați certificatul proxy la magazinul de încredere, dacă este necesar.
7	Înscrieți primul nod din cluster Înscrieți VM cu cloudul Cisco Webex ca nod de securitate a datelor hibride.
8	Creați și înscrieți mai multe noduri Finalizați configurarea clusterului.
9	Activați HDS cu entități găzduite multiple în Partner Hub. Activați HDS și gestionați organizațiile de entități găzduite în Partner Hub.

Efectuați configurarea inițială și descărcați fișierele de instalare

În această sarcină, descărcați un fișier OVA pe computerul dvs. (nu pe serverele pe care le configurați ca noduri de securitate a datelor hibride). Veți utiliza acest fișier mai târziu în procesul de instalare.

1	Conectați-vă la Partner Hub, apoi faceți clic pe Servicii.
2	În secțiunea Servicii cloud, găsiți cardul Securitate a datelor hibride, apoi faceți clic pe Configurare. Făcând clic pe Configurare în Partner Hub este esențial pentru procesul de implementare. Nu continuați cu instalarea fără a finaliza acest pas.
3	Faceți clic pe Adăugați o resursă și faceți clic pe Descărcați fișierul .OVA din cardul Instalare și configurare software . Versiunile mai vechi ale pachetului software (OVA) nu vor fi compatibile cu cele mai recente upgrade-uri de securitate a datelor hibride. Acest lucru poate duce la probleme în timpul upgrade-ului aplicației. Asigurați-vă că descărcați cea mai recentă versiune a fișierului OVA. De asemenea, puteți descărca OVA în orice moment din secțiunea Ajutor . Faceți clic pe Setări > Ajutor > Descărcați software-ul de securitate a datelor hibride. Fișierul OVA începe automat descărcarea. Salvați fișierul într-o locație de pe computerul dvs.
4	Opțional, faceți clic pe Consultați ghidul de implementare a securității datelor hibride pentru a verifica dacă există o versiune ulterioară a acestui ghid disponibilă.

Crearea unui ISO de configurare pentru gazdele HDS

Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi, utilizați ISO pentru a configura gazda de securitate a datelor hibride.

Înainte de a începe

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită detaliile de autentificare ale unui cont Partner Hub cu drepturi de administrator depline.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker la pasul 5 de mai jos. Acest tabel oferă câteva posibile variabile de mediu:

Descriere

Variabilă

Proxy HTTP fără autentificare

_AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT

Proxy HTTPS fără autentificare

_AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT

Proxy HTTP cu autentificare

_AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT

Proxy HTTPS cu autentificare

_AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT
Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier ori de câte ori efectuați modificări de configurație, cum ar fi:
- Acreditări bază de date
- Actualizări certificat
- Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile bazei de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

1

La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.:

În medii obișnuite:

configurare rmi ciscocitg/hds: stabil

În mediile FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.

2

Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele:

docker login -u hdscustomersro

3

La solicitarea parolei, introduceți acest hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Descărcați cea mai recentă imagine stabilă pentru mediul dvs.:

În medii obișnuite:

configurație ciscocitg/hds docker: stabil

În mediile FedRAMP:

docker extragere ciscocitg/hds-setup-fedramp:stabil

5

Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.:

În medii obișnuite fără un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

În medii obișnuite cu un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

În medii obișnuite cu un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

În mediile FedRAMP fără un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

În mediile FedRAMP cu un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

În mediile FedRAMP cu un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”.

6

Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală.

Utilizați un browser web pentru a accesa gazda locală http://127.0.0.1:8080 și a introduce numele de utilizator de administrator pentru Partner Hub la solicitare.

Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul corespunzător pentru acel cont. Instrumentul afișează apoi mesajul standard de conectare.

7

Când vi se solicită, introduceți acreditările de conectare de administrator Partner Hub, apoi faceți clic pe Conectați-vă pentru a permite accesul la serviciile necesare pentru Securitatea datelor hibride.

8

Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Începeți.

9

Pe pagina Import ISO aveți aceste opțiuni:

Nu—Dacă creați primul nod HDS, nu aveți un fișier ISO de încărcat.
Da—Dacă ați creat deja noduri HDS, selectați fișierul ISO în răsfoire și încărcați-l.

10

Verificați dacă certificatul dvs. X.509 îndeplinește cerințele din Cerințele privind certificatul X.509.

Dacă nu ați încărcat niciodată un certificat înainte, încărcați certificatul X.509, introduceți parola și faceți clic pe Continuați.
Dacă certificatul este OK, faceți clic pe Continuați.
Dacă certificatul dvs. a expirat sau doriți să îl înlocuiți, selectați Nu pentru Continuați să utilizați lanțul de certificate HDS și cheia privată din ISO anterioară?. Încărcați un nou certificat X.509, introduceți parola și faceți clic pe Continuați.

11

Introduceți adresa bazei de date și contul pentru HDS pentru a accesa baza de date cheie:

Selectați Tipul bazei de date (PostgreSQL sau Microsoft SQL Server).

Dacă alegeți Microsoft SQL Server, obțineți un câmp Tip de autentificare.
(Numai Microsoft SQL Server ) Selectați tipul de autentificare:
- Autentificare de bază: Aveți nevoie de un nume de cont SQL Server local în câmpul Nume de utilizator .
- Autentificare Windows: Aveți nevoie de un cont Windows în formatul nume de utilizator@DOMENIU în câmpul Nume de utilizator .
Introduceți adresa serverului de bază de date în forma : sau :.

Exemplu:
dbhost.example.org:1433 sau 198.51.100.17:1433

Puteți utiliza o adresă IP pentru autentificarea de bază, dacă nodurile nu pot utiliza DNS pentru a rezolva numele gazdei.

Dacă utilizați autentificarea Windows, trebuie să introduceți un Nume de domeniu complet calificat, în formatul dbhost.example.org:1433
Introduceți Numele bazei de date.
Introduceți Nume de utilizator și Parolă ale unui utilizator cu toate privilegiile în baza de date de stocare a cheilor.

12

Selectați un Mod de conectare la baza de date TLS:

Mod	Descriere
Preferați TLS (opțiune implicită)	Nodurile HDS nu necesită TLS pentru a se conecta la serverul de baze de date. Dacă activați TLS pe serverul bazei de date, nodurile încearcă o conexiune criptată.
Necesită TLS	Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS.
Solicitați TLS și verificați semnatarul certificatului	Acest mod nu se aplică pentru bazele de date SQL Server. Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS. După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de la serverul de baze de date cu autoritatea de certificare din Certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul scade conexiunea. Utilizați controlul certificat rădăcină bază de date sub lista verticală pentru a încărca certificatul rădăcină pentru această opțiune.
Solicitați TLS și verificați semnatarul certificatului și numele de gazdă	Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS. După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de la serverul de baze de date cu autoritatea de certificare din Certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul scade conexiunea. Nodurile verifică, de asemenea, dacă numele gazdei din certificatul de server se potrivește cu numele gazdei din câmpul Gazdă și port bază de date . Numele trebuie să se potrivească exact sau nodul scade conexiunea. Utilizați controlul certificat rădăcină bază de date sub lista verticală pentru a încărca certificatul rădăcină pentru această opțiune.

Când încărcați certificatul rădăcină (dacă este necesar) și faceți clic pe Continuați, instrumentul de configurare HDS testează conexiunea TLS la serverul de baze de date. Instrumentul verifică, de asemenea, semnatarul certificatului și numele de gazdă, dacă este cazul. Dacă un test nu reușește, instrumentul afișează un mesaj de eroare care descrie problema. Puteți alege dacă să ignorați eroarea și să continuați cu configurarea. (Din cauza diferențelor de conectivitate, nodurile HDS pot stabili conexiunea TLS, chiar dacă mașina instrumentului de configurare HDS nu o poate testa cu succes.)

13

Pe pagina Jurnale de sistem, configurați serverul Syslogd:

Introduceți URL-ul serverului syslog.

Dacă serverul nu este rezolvabil prin DNS de la noduri pentru clusterul dvs. HDS, utilizați o adresă IP în URL.

Exemplu:
udp://10.92.43.23:514 indică conectarea la gazda Syslogd 10.92.43.23 la portul UDP 514.
Dacă configurați serverul să utilizeze criptarea TLS, bifați Serverul syslog este configurat pentru criptarea SSL?.

Dacă bifați această casetă de selectare, asigurați-vă că introduceți un URL TCP, cum ar fi tcp://10.92.43.23:514.
Din lista derulantă Choose syslog recording termination (Alegeți înregistrarea syslog), alegeți setarea corespunzătoare pentru fișierul ISO: Alegeți dacă se utilizează linia nouă pentru Graylog și Rsyslog TCP
- Biți nuli -- \x00
- Linie nouă -- \n—Selectați această opțiune pentru Graylog și Rsyslog TCP.
Faceți clic pe Continuați.

14

(Opțional) Puteți modifica valoarea implicită pentru unii parametri de conexiune la baza de date în Setări avansate. În general, acest parametru este singurul parametru pe care s-ar putea să îl modificați:

app_datasource_connection_pool_maxMărime: 10

15

Faceți clic pe Continuați pe ecranul Resetați parola conturilor de serviciu .

Parolele conturilor de servicii au o durată de viață de nouă luni. Utilizați acest ecran când parolele se apropie de expirare sau doriți să le resetați pentru a anula fișierele ISO anterioare.

16

Faceți clic pe Descărcați fișierul ISO. Salvați fișierul într-o locație ușor de găsit.

17

Faceți o copie de rezervă a fișierului ISO în sistemul local.

Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la acei administratori de securitate a datelor hibride care ar trebui să efectueze modificări de configurație.

18

Pentru a închide instrumentul de configurare, tastați CTRL+C.

Ce este de făcut în continuare

Copie de rezervă a fișierului ISO de configurare. Aveți nevoie de acesta pentru a crea mai multe noduri pentru recuperare sau pentru a efectua modificări de configurație. Dacă pierdeți toate copiile fișierului ISO, ați pierdut și cheia principală. Recuperarea cheilor din baza de date PostgreSQL sau Microsoft SQL Server nu este posibilă.

Nu avem niciodată o copie a acestei chei și nu vă putem ajuta dacă o pierdeți.

Instalați gazda HDS OVA

Utilizați această procedură pentru a crea o mașină virtuală din fișierul OVA.

1	Utilizați clientul VMware vSphere de pe computerul dvs. pentru a vă conecta la gazda virtuală ESXi.
2	Selectați Fișier > Implementare șablon OVF.
3	În expert, specificați locația fișierului OVA pe care l-ați descărcat mai devreme, apoi faceți clic pe Înainte.
4	Pe pagina Selectați un nume și un folder , introduceți un Nume mașină virtuală pentru nod (de exemplu, „HDS_Node_1”), alegeți o locație în care poate fi găzduită implementarea nodului mașinii virtuale, apoi faceți clic pe Înainte.
5	Pe pagina Selectați o resursă de calcul , alegeți resursa de calcul de destinație, apoi faceți clic pe Înainte. Se execută o verificare de validare. După ce se termină, apar detaliile șablonului.
6	Verificați detaliile șablonului, apoi faceți clic pe Înainte.
7	Dacă vi se solicită să alegeți configurația resursei pe pagina Configurare , faceți clic pe 4 CPU , apoi faceți clic pe Înainte.
8	Pe pagina Selectați spațiul de stocare , faceți clic pe Înainte pentru a accepta formatul de disc și politica de stocare VM implicită.
9	Pe pagina Selectați rețele , selectați opțiunea de rețea din lista de intrări pentru a asigura conectivitatea dorită la VM.
10	Pe pagina Particularizare șablon , configurați următoarele setări de rețea: Nume gazdă—Introduceți FQDN (nume de gazdă și domeniu) sau un singur cuvânt nume de gazdă pentru nod. Nu este necesar să setați domeniul ca să corespundă domeniului pe care l-ați utilizat pentru a obține certificatul X.509. Pentru a asigura o înregistrare reușită în cloud, utilizați numai caractere mici în FQDN sau numele gazdei pe care l-ați setat pentru nod. Capitalizarea nu este acceptată în acest moment. Lungimea totală a FQDN nu trebuie să depășească 64 de caractere. Adresă IP— Introduceți adresa IP pentru interfața internă a nodului. Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat. Mască—Introduceți adresa măștii de subrețea în notație cu zecimale. De exemplu, 255.255.255.0. Gateway – Introduceți adresa IP a gateway-ului. Un gateway este un nod de rețea care servește ca punct de acces la o altă rețea. Servere DNS—Introduceți o listă de servere DNS separate prin virgulă, care se ocupă de traducerea numelor de domenii în adrese IP numerice. (Sunt permise până la 4 intrări DNS.) Servere NTP – Introduceți serverul NTP al organizației dvs. sau alt server NTP extern care poate fi utilizat în organizația dvs. Este posibil ca serverele NTP implicite să nu funcționeze pentru toate întreprinderile. De asemenea, puteți utiliza o listă separată prin virgulă pentru a introduce mai multe servere NTP. Implementați toate nodurile din aceeași subrețea sau VLAN, astfel încât toate nodurile dintr-un cluster să fie accesibile de la clienții din rețeaua dvs., în scopuri administrative. Dacă preferați, puteți sări peste configurația setărilor de rețea și să urmați pașii din Configurați VM de securitate a datelor hibride pentru a configura setările de la consola de nod. Opțiunea de a configura setările de rețea în timpul implementării OVA a fost testată cu ESXi 7.0. Este posibil ca această opțiune să nu fie disponibilă în versiunile anterioare.
11	Faceți clic dreapta pe VM nod, apoi alegeți Alimentare > Alimentare pornită. Software-ul de securitate a datelor hibride este instalat ca invitat pe gazda VM. Acum sunteți gata să vă conectați la consolă și să configurați nodul. Sfaturi de depanare Este posibil să întâmpinați o întârziere de câteva minute înainte de apariția containerelor nodului. În timpul primei boot-ări, apare un mesaj firewall de punte pe consolă, în timpul căruia nu vă puteți conecta.

Configurați VM de securitate a datelor hibride

Utilizați această procedură pentru a vă conecta pentru prima dată la consola VM a nodului de securitate a datelor hibride și a seta acreditările de conectare. De asemenea, puteți utiliza consola pentru a configura setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.

1	În clientul VMware vSphere, selectați VM nodul de securitate a datelor hibride și selectați fila Consolă . VM pornește și apare o solicitare de conectare. Dacă mesajul de conectare nu se afișează, apăsați Enter.
2	Utilizați următoarele date de conectare și parolă implicite pentru a vă conecta și a modifica datele de autentificare: Conectați-vă: `administrator` Parolă: `cisco (dezambiguizare)` Din moment ce vă conectați pentru prima dată la VM, trebuie să schimbați parola de administrator.
3	Dacă ați configurat deja setările de rețea în Instalați OVA gazdă HDS, omiteți restul acestei proceduri. În caz contrar, selectați opțiunea Editare configurație din meniul principal.
4	Configurați o configurație statică cu informații despre adresa IP, mască, gateway și DNS. Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat.
5	(Opțional) Schimbați numele de gazdă, domeniul sau serverul(serverele) NTP, dacă este necesar pentru a corespunde politicii dvs. de rețea. Nu este necesar să setați domeniul ca să corespundă domeniului pe care l-ați utilizat pentru a obține certificatul X.509.
6	Salvați configurația de rețea și reporniți VM pentru ca modificările să aibă efect.

Încărcarea și montarea ISO de configurare HDS

Utilizați această procedură pentru a configura mașina virtuală din fișierul ISO pe care l-ați creat cu instrumentul de configurare HDS.

Înainte de a începe

Deoarece fișierul ISO deține cheia principală, acesta ar trebui să fie expus numai pe baza necesității de a cunoaște, pentru accesul VM-urilor de securitate a datelor hibride și al oricăror administratori care ar putea fi nevoiți să facă modificări. Asigurați-vă că numai acei administratori pot accesa dataStore.

1

Încărcați fișierul ISO de pe computerul dvs.:

În panoul de navigare stânga al clientului VMware vSphere, faceți clic pe serverul ESXi.
În lista Hardware a filei Configurare, faceți clic pe Stocare.
În lista Datastores, faceți clic dreapta pe datastore pentru VM-urile dvs. și faceți clic pe Răsfoiți Datastore.
Faceți clic pe pictograma Încărcare fișiere, apoi faceți clic pe Încărcare fișier.
Navigați la locația în care ați descărcat fișierul ISO pe computer și faceți clic pe Deschidere.
Faceți clic pe Da pentru a accepta avertismentul operațiunii de încărcare/descărcare și a închide caseta de dialog a datelor.

2

Montează fișierul ISO:

În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările.
Faceți clic pe OK pentru a accepta avertismentul cu opțiuni de editare restricționate.
Faceți clic pe CD/DVD Drive 1, selectați opțiunea de montare dintr-un fișier ISO de bază de date și navigați la locația în care ați încărcat fișierul ISO de configurare.
Bifați opțiunea Conectat și Conectare la pornire.
Salvați modificările și reporniți mașina virtuală.

Ce este de făcut în continuare

Dacă politica IT solicită, puteți, opțional, să demontați fișierul ISO după ce toate nodurile preiau modificările de configurație. Consultați (Opțional) Demontați ISO după configurarea HDS pentru detalii.

Configurarea nodului HDS pentru integrarea proxy

Dacă mediul de rețea necesită un proxy, utilizați această procedură pentru a specifica tipul de proxy pe care doriți să îl integrați cu Securitatea datelor hibride. Dacă alegeți un proxy de inspectare transparent sau un proxy explicit HTTPS, puteți utiliza interfața nodului pentru a încărca și instala certificatul rădăcină. De asemenea, puteți verifica conexiunea proxy din interfață și puteți depana orice probleme potențiale.

Înainte de a începe

Consultați Suport proxy pentru o prezentare generală a opțiunilor proxy acceptate.
Cerințe server proxy

1	Introduceți URL-ul de configurare a nodului HDS `https://[HDS Node IP sau FQDN]/setup` într-un browser web, introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.
2	Accesați Trust Store & Proxy, apoi alegeți o opțiune: Fără proxy—Opțiunea implicită înainte de a integra un proxy. Nu este necesară actualizarea certificatului. Proxy transparent fără inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy și nu ar trebui să necesite modificări pentru a funcționa cu un proxy fără inspectare. Nu este necesară actualizarea certificatului. Proxy de inspectare transparent—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy. Nu sunt necesare modificări de configurare HTTPS pe implementarea hibride de securitate a datelor, cu toate acestea, nodurile HDS au nevoie de un certificat rădăcină, astfel încât acestea să aibă încredere în proxy. Proxy-urile de inspectare sunt de obicei utilizate de IT pentru a aplica politici pe care site-urile web pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS). Proxy explicit—Cu proxy explicit, spuneți clientului (nodurilor HDS) ce server proxy să utilizeze, iar această opțiune acceptă mai multe tipuri de autentificare. După ce alegeți această opțiune, trebuie să introduceți următoarele informații: IP/FQDN proxy—Adresa care poate fi utilizată pentru a accesa computerul proxy. Port proxy—Un număr de port utilizat de proxy pentru a asculta traficul protejat. Protocol proxy—Alegeți http (vizualizează și controlează toate solicitările primite de la client) sau https (oferă un canal către server, iar clientul primește și validează certificatul serverului). Alegeți o opțiune în funcție de ceea ce acceptă serverul proxy. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare: Fără—Nu este necesară mai multă autentificare. Disponibil pentru proxy-uri HTTP sau HTTPS. De bază—Utilizat pentru un agent de utilizator HTTP care furnizează un nume de utilizator și o parolă atunci când efectuează o solicitare. Utilizează codificarea Base64. Disponibil pentru proxy-uri HTTP sau HTTPS. Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola. Rezumat- Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite prin rețea. Disponibil numai pentru proxy-uri HTTPS. Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola. Urmați pașii următori pentru un proxy de inspectare transparent, un proxy explicit HTTP cu autentificare de bază sau un proxy explicit HTTPS.
3	Faceți clic pe Încărcare certificat rădăcină sau certificat de entitate de sfârșit , apoi navigați la o alegeți certificatul rădăcină pentruproxy. Certificatul este încărcat, dar nu este încă instalat, deoarece trebuie să reporniți nodul pentru a instala certificatul. Faceți clic pe săgeata ghilimelei unghiulare de numele emitentului certificatului pentru a obține mai multe detalii sau faceți clic pe Ștergere dacă ați făcut o greșeală și doriți să reîncărcați fișierul.
4	Faceți clic pe Verificare conexiune proxy pentru a testa conectivitatea la rețea între nod și proxy. Dacă testul de conexiune nu reușește, veți vedea un mesaj de eroare care arată motivul și modul în care puteți corecta problema. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a reușit, nodul nu a reușit să ajungă la serverul DNS. Această condiție este de așteptat în multe configurații proxy explicite. Puteți continua configurarea, iar nodul va funcționa în modul Rezoluție DNS externă blocată. Dacă considerați că aceasta este o eroare, parcurgeți acești pași și apoi consultați Dezactivare mod rezoluție DNS externă blocată.
5	După ce trece testul de conexiune, pentru proxy explicit setat la https numai, activați comutatorul pentru a ruta toate port 443/444 https solicitările de la acest nod prin proxy explicit. Această setare necesită 15 secunde pentru a intra în vigoare.
6	Faceți clic pe Instalare toate certificatele în Depozitul de încredere (apare pentru un proxy explicit HTTPS sau un proxy de inspectare transparent) sau pe Repornire (apare pentru un proxy explicit HTTP), citiți solicitarea, apoi faceți clic pe Instalare dacă sunteți gata. Nodul repornește în câteva minute.
7	După repornirea nodului, conectați-vă din nou, dacă este necesar, apoi deschideți pagina Prezentare generală pentru a verifica verificările de conectivitate pentru a vă asigura că toate sunt în stare verde. Verificarea conexiunii proxy testează numai un subdomeniu de webex.com. Dacă există probleme de conectivitate, o problemă comună este că unele dintre domeniile cloud listate în instrucțiunile de instalare sunt blocate la proxy.

Înscrieți primul nod din cluster

Această sarcină preia nodul generic pe care l-ați creat în Configurați VM de securitate a datelor hibride, înregistrează nodul în cloudul Webex și îl transformă într-un nod de securitate a datelor hibride.

Când înscrieți primul nod, creați un cluster căruia îi este atribuit nodul. Un cluster conține unul sau mai multe noduri implementate pentru a asigura redundanța.

Înainte de a începe

După ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți din nou.
Asigurați-vă că orice blocare a ferestrelor pop-up din browser este dezactivată sau că permiteți o excepție pentru admin.webex.com.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți cardul Securitate a datelor hibride și faceți clic pe Configurare.
4	În pagina care se deschide, faceți clic pe Adăugați o resursă.
5	În primul câmp al cardului Adăugați un nod , introduceți un nume pentru clusterul căruia doriți să îi atribuiți nodul de securitate a datelor hibride. Vă recomandăm să denumiți un cluster în funcție de locul geografic în care se află nodurile clusterului. Exemple: "San Francisco" sau "New York" sau "Dallas"
6	În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Adăugare în partea de jos a ecranului. Această adresă IP sau FQDN trebuie să corespundă adresei IP sau numelui gazdei și domeniului pe care le-ați utilizat în Configurați VM de securitate a datelor hibride. Apare un mesaj care indică faptul că vă puteți înscrie nodul în Webex.
7	Faceți clic pe Accesați nodul. După câteva momente, veți fi redirecționat(ă) către testele de conectivitate a nodului pentru serviciile Webex. Dacă toate testele sunt reușite, apare pagina Permiteți accesul la Nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați organizației dvs. Webex permisiuni pentru a vă accesa nodul.
8	Bifați caseta de selectare Permiteți accesul la nodul de securitate a datelor hibride , apoi faceți clic pe Continuați. Contul dvs. este validat, iar mesajul „Înscriere finalizată” indică faptul că nodul dvs. este acum înscris în cloudul Webex.
9	Faceți clic pe link sau închideți fila pentru a reveni la pagina Securitatea datelor hibride Partner Hub. Pe pagina Securitatea datelor hibride , noul cluster care conține nodul pe care l-ați înscris este afișat în fila Resurse . Nodul va descărca automat cel mai recent software din cloud.

Creați și înscrieți mai multe noduri

Pentru a adăuga noduri suplimentare la clusterul dvs., trebuie doar să creați VM suplimentare și să montați același fișier ISO de configurare, apoi să înregistrați nodul. Vă recomandăm să aveți cel puțin 3 noduri.

Înainte de a începe

După ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți din nou.
Asigurați-vă că orice blocare a ferestrelor pop-up din browser este dezactivată sau că permiteți o excepție pentru admin.webex.com.

1	Creați o nouă mașină virtuală din OVA, repetând pașii din Instalați OVA gazdă HDS.
2	Configurați configurația inițială pe noul VM, repetând pașii din Configurați VM de securitate a datelor hibride.
3	Pe noul VM, repetați pașii din Încărcarea și montarea ISO de configurare HDS.
4	Dacă configurați un proxy pentru implementarea dvs., repetați pașii din Configurați nodul HDS pentru integrarea proxy după cum este necesar pentru nodul nou.
5	Înscrieți nodul. În https://admin.webex.com, selectați Servicii din meniul din partea stângă a ecranului. În secțiunea Servicii cloud, găsiți cardul Securitate a datelor hibride și faceți clic pe Vizualizați toate. Apare pagina Resurse de securitate a datelor hibride. Clusterul nou creat va apărea în pagina Resurse . Faceți clic pe cluster pentru a vizualiza nodurile alocate clusterului. Faceți clic pe Adăugați un nod în partea dreaptă a ecranului. Introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Adăugați. Se deschide o pagină cu un mesaj care indică faptul că vă puteți înscrie nodul în cloudul Webex. După câteva momente, veți fi redirecționat(ă) către testele de conectivitate a nodului pentru serviciile Webex. Dacă toate testele sunt reușite, apare pagina Permiteți accesul la Nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați organizației dvs. permisiuni pentru a vă accesa nodul. Bifați caseta de selectare Permiteți accesul la nodul de securitate a datelor hibride , apoi faceți clic pe Continuați. Contul dvs. este validat, iar mesajul „Înscriere finalizată” indică faptul că nodul dvs. este acum înscris în cloudul Webex. Faceți clic pe link sau închideți fila pentru a reveni la pagina Securitatea datelor hibride Partner Hub. Mesajul pop-up Adăugat la nod apare, de asemenea, în partea de jos a ecranului din Partner Hub. Nodul dvs. este înregistrat.

Gestionați organizațiile entității găzduite pe securitatea datelor hibride cu entități găzduite multiple

Activați HDS cu entități găzduite multiple în Partner Hub

Această sarcină asigură că toți utilizatorii organizațiilor client pot începe să utilizeze HDS pentru cheile de criptare locale și alte servicii de securitate.

Înainte de a începe

Asigurați-vă că ați finalizat configurarea clusterului HDS cu entități găzduite multiple cu numărul necesar de noduri.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Editare setări.
4	Faceți clic pe Activare HDS pe cardul Stare HDS .

Adăugați organizații ale entităților găzduite în Partner Hub

În această sarcină, alocați organizații client la Clusterul dvs. de securitate a datelor hibride.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Vizualizați toate.
4	Faceți clic pe clusterul căruia doriți să i se atribuie un client.
5	Accesați fila Clienți alocați .
6	Faceți clic pe Adăugați clienți.
7	Selectați clientul pe care doriți să îl adăugați din meniul derulant.
8	Faceți clic pe Adăugare, clientul va fi adăugat la cluster.
9	Repetați pașii 6-8 pentru a adăuga mai mulți clienți la clusterul dvs.
10	Faceți clic pe Gata în partea de jos a ecranului după ce ați adăugat clienții.

Ce este de făcut în continuare

Rulați instrumentul de configurare HDS conform detaliilor din Creați chei principale ale clientului (CMK) utilizând instrumentul de configurare HDS pentru a finaliza procesul de configurare.

Creați chei principale ale clientului (CMK) utilizând instrumentul de configurare HDS

Înainte de a începe

Alocați clienți la clusterul corespunzător, după cum este detaliat în Adăugați organizații găzduite în Partner Hub. Rulați instrumentul de configurare HDS pentru a finaliza procesul de configurare pentru organizațiile client nou adăugate.

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită detaliile de autentificare ale unui cont Partner Hub cu drepturi de administrator depline pentru organizația dvs.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker la pasul 5. Acest tabel oferă câteva posibile variabile de mediu:

Descriere	Variabilă
Proxy HTTP fără autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS fără autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP cu autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT`
Proxy HTTPS cu autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT`

Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier ori de câte ori efectuați modificări de configurație, cum ar fi:
- Acreditări bază de date
- Actualizări certificat
- Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile bazei de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi, utilizați ISO pentru a configura gazda de securitate a datelor hibride.

1	La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite: `configurare rmi ciscocitg/hds: stabil` În mediile FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.
2	Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele: `docker login -u hdscustomersro`
3	La solicitarea parolei, introduceți acest hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite: `configurație ciscocitg/hds docker: stabil` În mediile FedRAMP: `docker extragere ciscocitg/hds-setup-fedramp:stabil`
5	Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În mediile FedRAMP fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”.
6	Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală. Utilizați un browser web pentru a accesa gazda locală `http://127.0.0.1:8080` și a introduce numele de utilizator de administrator pentru Partner Hub la solicitare. Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul corespunzător pentru acel cont. Instrumentul afișează apoi mesajul standard de conectare.
7	Când vi se solicită, introduceți acreditările de conectare de administrator Partner Hub, apoi faceți clic pe Conectați-vă pentru a permite accesul la serviciile necesare pentru Securitatea datelor hibride.
8	Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Începeți.
9	Pe pagina Import ISO , faceți clic pe Da.
10	Selectați fișierul dvs. ISO în browser și încărcați-l. Asigurați conexiunea la baza dvs. de date pentru a efectua gestionarea CMK.
11	Accesați fila Administrare CMK entitate găzduită , unde veți găsi următoarele trei modalități de a gestiona CMK entitate găzduită. Creare CMK pentru toate ORGANIZAȚIILE sau Creare CMK - Faceți clic pe acest buton de pe bannerul din partea de sus a ecranului pentru a crea CMK pentru toate organizațiile nou adăugate. Faceți clic pe butonul Gestionare CMK din partea dreaptă a ecranului și faceți clic pe Creare CMK pentru a crea CMK-uri pentru toate organizațiile nou adăugate. Faceți clic… lângă starea în așteptare a gestionării CMK a unei anumite organizații din tabel și faceți clic pe Creați CMK pentru a crea CMK pentru organizația respectivă.
12	Odată ce crearea CMK reușește, starea din tabel se va schimba din În așteptare gestionare CMK în Gestionat CMK.
13	Dacă crearea CMK nu reușește, se va afișa o eroare.

Eliminați organizațiile entității găzduite

Înainte de a începe

După eliminare, utilizatorii organizațiilor client nu vor putea folosi HDS pentru nevoile lor de criptare și vor pierde toate spațiile existente. Înainte de a elimina organizațiile client, contactați-vă partenerul Cisco sau managerul de cont.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Vizualizați toate.
4	În fila Resurse , faceți clic pe clusterul din care doriți să eliminați organizațiile client.
5	În pagina care se deschide, faceți clic pe Clienți alocați.
6	Din lista de organizații client care se afișează, faceți clic pe ... în partea dreaptă a organizației client pe care doriți să o eliminați și faceți clic pe Eliminare din cluster.

Ce este de făcut în continuare

Finalizați procesul de eliminare prin revocarea CMK-urilor organizațiilor client, așa cum este detaliat în Revocarea CMK-urilor entităților găzduite eliminate din HDS.

Revocați CMK-urile entităților găzduite eliminate din HDS.

Înainte de a începe

Eliminați clienții din clusterul corespunzător, așa cum este detaliat în Eliminați organizațiile entității găzduite. Rulați instrumentul de configurare HDS pentru a finaliza procesul de eliminare pentru organizațiile client care au fost eliminate.

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită detaliile de autentificare ale unui cont Partner Hub cu drepturi de administrator depline pentru organizația dvs.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker la pasul 5. Acest tabel oferă câteva posibile variabile de mediu:

Descriere	Variabilă
Proxy HTTP fără autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS fără autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP cu autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT`
Proxy HTTPS cu autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT`

Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier ori de câte ori efectuați modificări de configurație, cum ar fi:
- Acreditări bază de date
- Actualizări certificat
- Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile bazei de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi, utilizați ISO pentru a configura gazda de securitate a datelor hibride.

1	La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite: `configurare rmi ciscocitg/hds: stabil` În mediile FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.
2	Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele: `docker login -u hdscustomersro`
3	La solicitarea parolei, introduceți acest hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite: `configurație ciscocitg/hds docker: stabil` În mediile FedRAMP: `docker extragere ciscocitg/hds-setup-fedramp:stabil`
5	Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În mediile FedRAMP fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”.
6	Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală. Utilizați un browser web pentru a accesa gazda locală `http://127.0.0.1:8080` și a introduce numele de utilizator de administrator pentru Partner Hub la solicitare. Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul corespunzător pentru acel cont. Instrumentul afișează apoi mesajul standard de conectare.
7	Când vi se solicită, introduceți acreditările de conectare de administrator Partner Hub, apoi faceți clic pe Conectați-vă pentru a permite accesul la serviciile necesare pentru Securitatea datelor hibride.
8	Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Începeți.
9	Pe pagina Import ISO , faceți clic pe Da.
10	Selectați fișierul dvs. ISO în browser și încărcați-l.
11	Accesați fila Administrare CMK entitate găzduită , unde veți găsi următoarele trei modalități de a gestiona CMK entitate găzduită. Revocare CMK pentru toate ORGANIZAȚIILE sau Revocare CMK - Faceți clic pe acest buton de pe bannerul din partea de sus a ecranului pentru a revoca CMK-urile tuturor organizațiilor care au fost eliminate. Faceți clic pe butonul Gestionare CMK din partea dreaptă a ecranului și faceți clic pe Revocare CMK pentru a revoca CMK-urile tuturor organizațiilor care au fost eliminate. Faceți clic pe lângă starea CMK pentru a fi revocată a unei anumite organizații din tabel și faceți clic pe Revocare CMK pentru a revoca CMK pentru organizația respectivă.
12	Odată ce revocarea CMK reușește, organizația client nu va mai apărea în tabel.
13	Dacă revocarea CMK nu reușește, se va afișa o eroare.

Testați implementarea securității datelor hibride

Utilizați această procedură pentru a testa scenariile de criptare a securității datelor hibride cu entități găzduite multiple.

Înainte de a începe

Configurați implementarea securității datelor hibride cu entități găzduite multiple.
Asigurați-vă că aveți acces la syslog pentru a verifica dacă solicitările cheie sunt transmise la implementarea securității datelor hibride cu entități găzduite multiple.

1

Tastele pentru un anumit spațiu sunt setate de către creatorul spațiului. Conectați-vă la Aplicația Webex ca unul dintre utilizatorii organizației client, apoi creați un spațiu.

Dacă dezactivați implementarea securității datelor hibride, conținutul din spațiile pe care le creează utilizatorii nu mai este accesibil odată ce copiile din memoria cache a cheilor de criptare sunt înlocuite.

2

Trimiteți mesaje către noul spațiu.

3

Verificați ieșirea syslog pentru a verifica dacă solicitările cheie sunt transmise la implementarea securității datelor hibride.

Pentru a verifica dacă un utilizator stabilește mai întâi un canal securizat către KMS, filtrați după kms.data.method=create și kms.data.type=COLLECTION_KEY_:

Ar trebui să găsiți o intrare precum următoarea (identificatori scurtați pentru lizibilitate):

2020-07-21 17:35:34.562 (+0000) INFORMAȚII KMS [pool-14-thread-1] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Pentru a verifica dacă un utilizator solicită o cheie existentă din KMS, filtrați kms.data.method=retrieve și kms.data.type=KEY:

Ar trebui să găsiți o intrare precum:

2020-07-21 17:44:19.889 (+0000) INFORMAȚII KMS [pool-14-thread-31] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=CHEIE, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Pentru a verifica dacă există un utilizator care solicită crearea unei noi chei KMS, filtrați după kms.data.method=create și kms.data.type=KEY_COLLECTION:

Ar trebui să găsiți o intrare precum:

2020-07-21 17:44:21.975 (+0000) INFORMAȚII KMS [pool-14-thread-33] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Pentru a verifica dacă un utilizator solicită crearea unui nou obiect de resurse KMS (KRO) atunci când este creat un spațiu sau o altă resursă protejată, filtrați după kms.data.method=create și kms.data.type=RESOURCE_COLLECTION:

Ar trebui să găsiți o intrare precum:

2020-07-21 17:44:22.808 (+0000) INFORMAȚII KMS [pool-15-thread-1] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURSĂ_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorizați Securitatea datelor hibride

Un indicator de stare din Partner Hub vă arată dacă implementarea securității datelor hibride cu entități găzduite multiple este în regulă. Pentru o alertă mai proactivă, înscrieți-vă pentru notificări prin e-mail. Veți fi notificat atunci când există alarme sau upgrade-uri de software cu impact asupra serviciului.

1	În Partner Hub, selectați Servicii din meniul din partea stângă a ecranului.
2	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Editare setări. Apare pagina Setări de securitate a datelor hibride.
3	În secțiunea Notificări prin e-mail, introduceți una sau mai multe adrese de e-mail separate prin virgule și apăsați Enter.

Gestionați implementarea HDS

Utilizați sarcinile descrise aici pentru a gestiona implementarea securității datelor hibride.

Setați programarea upgrade-ului clusterului

Upgrade-urile software pentru Securitatea datelor hibride se efectuează automat la nivel de cluster, ceea ce garantează faptul că toate nodurile rulează întotdeauna aceeași versiune software. Upgrade-urile se efectuează în funcție de programul de upgrade pentru cluster. Atunci când un upgrade de software devine disponibil, aveți opțiunea de a efectua manual upgrade-ul clusterului înainte de ora programată pentru upgrade. Puteți seta un anumit program de upgrade sau puteți utiliza programul implicit de upgrade de la ora 3:00 a.m. Zilnic în Statele Unite: America/Los Angeles. De asemenea, puteți alege să amânați un upgrade viitor, dacă este necesar.

Pentru a seta programul de upgrade:

1	Conectați-vă la Hubul pentru parteneri.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Configurare
4	Pe pagina Resurse de securitate a datelor hibride, selectați clusterul.
5	Faceți clic pe fila Setări cluster .
6	În pagina Setări cluster, sub Programare upgrade, selectați ora și fusul orar pentru programarea upgrade-ului. Notă: În fusul orar se afișează următoarea dată și oră de upgrade disponibile. Puteți amâna upgrade-ul până în ziua următoare, dacă este necesar, făcând clic pe Amânare cu 24 de ore.

Modificați configurația nodului

Ocazional, poate fi necesar să modificați configurația nodului hibrid de securitate a datelor dintr-un motiv ar fi:

Modificarea certificatelor x.509 din cauza expirării sau din alte motive.

Nu acceptăm schimbarea numelui de domeniu CN al unui certificat. Domeniul trebuie să se potrivească cu domeniul inițial utilizat pentru înregistrarea clusterului.
Actualizarea setărilor bazei de date pentru a trece la o replică a bazei de date PostgreSQL sau Microsoft SQL Server.

Nu acceptăm migrarea datelor de la PostgreSQL la Microsoft SQL Server sau invers. Pentru a schimba mediul bazei de date, începeți o nouă implementare a Hybrid Data Security.
Crearea unei noi configurații pentru a pregăti un nou centru de date.

De asemenea, în scopuri de securitate, Hybrid Data Security utilizează parole de cont de serviciu care au o durată de viață de nouă luni. După ce instrumentul de instalare HDS generează aceste parole, le implementați la fiecare dintre nodurile HDS în fișierul de configurare ISO. Când parolele organizației se apropie de expirare, primiți o notificare de la echipa Webex pentru a reseta parola pentru contul dvs. (E-mailul include textul „Utilizați API-ul contului de mașină pentru a actualiza parola.”) Dacă parolele nu au expirat încă, instrumentul vă oferă două opțiuni:

Resetare ușoară—Parolele vechi și cele noi funcționează timp de până la 10 zile. Folosiți această perioadă pentru a înlocui treptat fișierul ISO pe noduri.
Resetare forțată—Parolele vechi nu mai funcționează imediat.

Dacă parolele dvs. expiră fără resetare, acest lucru va afecta serviciul HDS, necesitând o resetare hardware imediată și înlocuirea fișierului ISO pe toate nodurile.

Utilizați această procedură pentru a genera un nou fișier ISO de configurare și pentru a-l aplica clusterului dvs.

Înainte de a începe

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită datele de autentificare ale unui cont Partner Hub cu drepturi depline de administrator pentru partener.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker în 1.e. Acest tabel oferă câteva posibile variabile de mediu:

Descriere	Variabilă
Proxy HTTP fără autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS fără autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP cu autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT`
Proxy HTTPS cu autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT`

Aveți nevoie de o copie a fișierului ISO de configurare curent pentru a genera o nouă configurație. ISO conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de ISO când faceți modificări de configurare, inclusiv acreditările bazei de date, actualizări de certificate sau modificări ale politicii de autorizare.

1	Folosind Docker pe o mașină locală, rulați Instrumentul de configurare HDS. La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite: `configurare rmi ciscocitg/hds: stabil` În mediile FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora. Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele: `docker login -u hdscustomersro` La solicitarea parolei, introduceți acest hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite: `configurație ciscocitg/hds docker: stabil` În mediile FedRAMP: `docker extragere ciscocitg/hds-setup-fedramp:stabil` Asigurați-vă că utilizați cel mai recent instrument de configurare pentru această procedură. Versiunile instrumentului create înainte de 22 februarie 2018 nu au ecrane de resetare a parolei. Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În medii obișnuite cu un HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În mediile FedRAMP fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Când containerul se execută, vedeți "Express server de ascultare pe portul 8080." Utilizați un browser pentru a vă conecta la localhost, `http://127.0.0.1:8080`. Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală. Când vi se solicită, introduceți acreditările de conectare ale clientului Partner Hub și apoi faceți clic pe Acceptați pentru a continua. Importați fișierul ISO de configurare curentă. Urmați instrucțiunile pentru a finaliza instrumentul și descărcați fișierul actualizat. Pentru a închide instrumentul de configurare, tastați `CTRL+C`. Creați o copie de rezervă a fișierului actualizat într-un alt centru de date.
2	Dacă aveți un singur nod HDS care rulează, creați un nou VM nod de securitate a datelor hibride și înregistrați-l utilizând noul fișier ISO de configurare. Pentru instrucțiuni mai detaliate, consultați Creați și înscrieți mai multe noduri. Instalați OVA gazdă HDS. Configurați VM HDS. Montați fișierul de configurare actualizat. Înscrieți noul nod în Partner Hub.
3	Pentru nodurile HDS existente care rulează fișierul de configurare mai vechi, montați fișierul ISO. Efectuați următoarea procedură pe fiecare nod pe rând, actualizând fiecare nod înainte de a opri următorul nod: Opriți mașina virtuală. În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările. Faceți clic pe `UNITATE CD/DVD 1`, selectați opțiunea de montare dintr-un fișier ISO și navigați la locația în care ați descărcat noul fișier ISO de configurare. Bifaţi Conectare la pornire. Salvați modificările și porniți mașina virtuală.
4	Repetați pasul 3 pentru a înlocui configurația pe fiecare nod rămas care rulează configurația veche.

Dezactivarea modului de rezoluție DNS extern blocat

Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează căutarea DNS și conectivitatea la cloud-ul Cisco Webex. Dacă serverul DNS al nodului nu poate rezolva numele DNS publice, nodul intră automat în modul Rezoluție DNS externă blocată.

Dacă nodurile sunt capabile să rezolve numele DNS publice prin serverele DNS interne, puteți dezactiva acest mod prin reluarea testului de conexiune proxy pe fiecare nod.

Înainte de a începe

Asigurați-vă că serverele DNS interne pot rezolva numele DNS publice și că nodurile pot comunica cu acestea.

1	Într-un browser web, deschideți interfața nodului Hibrid Data Security (adresa IP/configurare, de exemplu, https://192.0.2.0/setup), introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.
2	Accesați Prezentare generală (pagina implicită). Când este activată, Rezoluția DNS externă blocată este setată la Da.
3	Accesați pagina Trust Store & Proxy.
4	Faceți clic pe Verificare conexiune proxy. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a avut succes, nodul nu a reușit să ajungă la serverul DNS și va rămâne în acest mod. În caz contrar, după ce reporniți nodul și reveniți la pagina Prezentare generală, Rezoluția DNS externă blocată ar trebui să fie setată la nu.

Ce trebuie să faceți în continuare

Repetați testul de conexiune proxy pe fiecare nod din clusterul hibrid de securitate a datelor.

Eliminați un nod

Utilizați această procedură pentru a elimina un nod de securitate a datelor hibride din cloudul Webex. După ce eliminați nodul din cluster, ștergeți mașina virtuală pentru a preveni accesul în continuare la datele dvs. de securitate.

1

Utilizați clientul VMware vSphere de pe computerul dvs. pentru a vă conecta la gazda virtuală ESXi și pentru a porni mașina virtuală.

2

Eliminați nodul:

Conectați-vă la Partner Hub, apoi selectați Servicii.
Pe cardul Securitate a datelor hibride, faceți clic pe Vizualizați toate pentru a afișa pagina Resurse de securitate a datelor hibride.
Selectați clusterul pentru a-și afișa panoul Prezentare generală.
Faceți clic pe nodul pe care doriți să îl eliminați.
Faceți clic pe Anulați înscrierea acestui nod în panoul care apare în partea dreaptă
De asemenea, puteți anula înscrierea nodului făcând clic… în partea dreaptă a nodului și selectând Eliminați acest nod.

3

În clientul vSphere, ștergeți VM. (În panoul de navigare din stânga, faceți clic dreapta pe VM și faceți clic pe Ștergere.)

Dacă nu ștergeți VM, nu uitați să demontați fișierul ISO de configurare. Fără fișierul ISO, nu puteți utiliza VM pentru a accesa datele de securitate.

Recuperarea după dezastru utilizând centrul de date în așteptare

Cel mai critic serviciu pe care clusterul dvs. de securitate a datelor hibride îl oferă este crearea și stocarea cheilor utilizate pentru a cripta mesajele și alt conținut stocat în cloudul Webex. Pentru fiecare utilizator din organizație care este atribuit Securitatea datelor hibride, noile solicitări de creare a cheii sunt direcționate către cluster. Clusterul este, de asemenea, responsabil pentru returnarea cheilor pe care le-a creat oricărui utilizator autorizat să le recupereze, de exemplu, membrilor unui spațiu de conversație.

Deoarece clusterul îndeplinește funcția critică de furnizare a acestor chei, este imperativ ca clusterul să rămână în funcțiune și să fie menținute copiile de rezervă corespunzătoare. Pierderea bazei de date hibride de securitate a datelor sau a ISO-ului de configurare utilizat pentru schemă va duce la PIERDEREA IREVERSIBILĂ a conținutului clientului. Pentru a preveni o astfel de pierdere sunt obligatorii următoarele practici:

Dacă un dezastru face ca implementarea HDS în centrul de date principal să devină indisponibilă, urmați această procedură pentru a trece manual la centrul de date în așteptare.

Înainte de a începe

Anulați înscrierea tuturor nodurilor din Partner Hub, după cum este menționat în Eliminați un nod. Utilizați cel mai recent fișier ISO care a fost configurat în raport cu nodurile clusterului care era activ anterior, pentru a efectua procedura de reluare în caz de nereușită menționată mai jos.

1	Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.
2	Finalizați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit.
3	Faceți o copie de rezervă a fișierului ISO în sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la acei administratori de securitate a datelor hibride care ar trebui să efectueze modificări de configurație.
4	În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările.
5	Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Datastore ISO File. Asigurați-vă că sunt bifate opțiunile Conectat și Conectare la pornire , astfel încât modificările actualizate ale configurației să poată intra în vigoare după pornirea nodurilor.
6	Porniți nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute.
7	Înscrieți nodul în Partner Hub. Consultați Înscrieți primul nod din cluster.
8	Repetați procesul pentru fiecare nod din centrul de date în așteptare.

Ce este de făcut în continuare

După reluarea în caz de nereușită, în cazul în care centrul de date principal redevine activ, anulați înregistrarea nodurilor centrului de date în așteptare și repetați procesul de configurare ISO și de înregistrare a nodurilor centrului de date principal, după cum s-a menționat mai sus.

(Opțional) Demontați ISO după configurarea HDS

Configurația standard HDS rulează cu ISO montat. Dar, unii clienți preferă să nu lase fișierele ISO montate continuu. Puteți demonta fișierul ISO după ce toate nodurile HDS preiau noua configurație.

Încă utilizați fișierele ISO pentru a efectua modificări de configurație. Când creați un nou ISO sau actualizați un ISO prin intermediul instrumentului de configurare, trebuie să montați ISO actualizat pe toate nodurile HDS. După ce toate nodurile au preluat modificările de configurație, puteți demonta din nou ISO cu această procedură.

Înainte de a începe

Efectuați upgrade pentru toate nodurile HDS la versiunea 2021.01.22.4720 sau la o versiune ulterioară.

1	Închideți unul dintre nodurile HDS.
2	În dispozitivul vCenter Server, selectați nodul HDS.
3	Alegeți Editare setări > Unitate CD/DVD și debifați Datastore ISO File.
4	Porniți nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 20 de minute.
5	Repetați la rând pentru fiecare nod HDS.

Soluționați problemele privind securitatea datelor hibride

Vizualizați alertele și soluționarea problemelor

O implementare de securitate a datelor hibride este considerată indisponibilă dacă toate nodurile din cluster sunt inaccesibile sau clusterul funcționează atât de lent încât necesită timp liber. Dacă utilizatorii nu pot contacta Clusterul dvs. de securitate a datelor hibride, vor prezenta următoarele simptome:

Nu se pot crea spații noi (nu se pot crea chei noi)
Mesajele și titlurile spațiului nu au putut fi decriptate pentru:
- Utilizatori noi adăugați într-un spațiu (nu se pot prelua cheile)
- Utilizatori existenți într-un spațiu utilizând un client nou (nu se pot prelua cheile)
Utilizatorii existenți dintr-un spațiu vor continua să ruleze cu succes atât timp cât clienții lor au o memorie cache a cheilor de criptare

Este important să monitorizați în mod corespunzător clusterul de securitate a datelor hibride și să abordați prompt orice alerte pentru a evita întreruperea serviciului.

Alerte

Dacă există o problemă cu configurarea securității datelor hibride, Partner Hub afișează alerte administratorului organizației și trimite e-mailuri la adresa de e-mail configurată. Alertele acoperă multe scenarii comune.

Tabelul 1. Probleme comune și pașii pentru a le rezolva
Alertă	Acțiune
Eroare de acces la baza de date locală.	Verificați dacă există erori la baza de date sau probleme de rețea locală.
Eroare de conexiune la baza de date locală.	Verificați dacă serverul bazei de date este disponibil și dacă s-au utilizat datele de autentificare corecte la contul de serviciu în configurarea nodului.
Acces nereușit la serviciul cloud.	Verificați dacă nodurile pot accesa serverele Webex, conform specificațiilor din Cerințe de conectivitate externă.
Se reînnoiește înscrierea la serviciul cloud.	Înscrierea la serviciile cloud a fost abandonată. Înregistrarea este în curs de reînnoire.
Înscrierea la serviciul cloud a scăzut.	Înscrierea la serviciile cloud a fost încheiată. Serviciul se oprește.
Serviciul nu a fost încă activat.	Activați HDS în Partner Hub.
Domeniul configurat nu corespunde certificatului serverului.	Asigurați-vă că certificatul dvs. de server corespunde domeniului de activare a serviciului configurat. Cauza cea mai probabilă este că certificatul NC a fost modificat recent și este acum diferit de cel utilizat în timpul configurării inițiale.
Nu s-a reușit autentificarea la serviciile cloud.	Verificați acuratețea și posibila expirare a acreditărilor contului de serviciu.
Nu s-a reușit deschiderea fișierului de keystore local.	Verificați integritatea și acuratețea parolei în fișierul de keystore local.
Certificatul serverului local nu este valid.	Verificați data de expirare a certificatului serverului și confirmați că acesta a fost emis de o autoritate de certificare de încredere.
Nu se pot publica măsurătorile.	Verificați accesul rețelei locale la serviciile externe din cloud.
Directorul /media/configdrive/hds nu există.	Verificați configurația de montare ISO pe gazda virtuală. Verificați dacă fișierul ISO există, dacă este configurat pentru montare la repornire și dacă se montează cu succes.
Configurarea organizației entității găzduite nu este finalizată pentru organizațiile adăugate	Finalizați configurarea prin crearea de CMK-uri pentru organizațiile de entități găzduite nou adăugate utilizând Instrumentul de configurare HDS.
Configurarea organizației entității găzduite nu este finalizată pentru organizațiile eliminate	Finalizați configurarea prin revocarea CMK-urilor organizațiilor găzduite care au fost eliminate cu ajutorul Instrumentului de configurare HDS.

Soluționați problemele privind securitatea datelor hibride

Utilizați următoarele indicații generale atunci când depanați problemele cu Securitatea datelor hibride.

1	Consultați Partner Hub pentru orice alerte și remediați orice elemente pe care le găsiți acolo. Consultați imaginea de mai jos pentru referință.
2	Revizuiți ieșirea serverului syslog pentru activitatea din implementarea securității datelor hibride. Filtru pentru cuvinte precum „Avertisment” și „Eroare” pentru a ajuta la depanare.
3	Contactați asistența Cisco.

Alte note

Probleme cunoscute privind securitatea datelor hibride

Dacă închideți clusterul de securitate a datelor hibride (prin ștergerea acestuia din Partner Hub sau prin închiderea tuturor nodurilor), pierdeți fișierul ISO de configurare sau pierdeți accesul la baza de date din keystore, utilizatorii Aplicației Webex din organizațiile client nu mai pot utiliza spațiile din lista lor de persoane care au fost create cu chei din KMS. Nu avem în prezent o soluție sau o soluție pentru această problemă și vă încurajăm să nu închideți serviciile dvs. HDS odată ce acestea gestionează conturile de utilizator active.
Un client care are o conexiune ECDH existentă la un KMS menține această conexiune pentru o perioadă de timp (probabil o oră).

Utilizați OpenSSL pentru a genera un fișier PKCS12

Înainte de a începe

OpenSSL este un instrument care poate fi utilizat pentru a face fișierul PKCS12 în formatul corect pentru încărcarea în instrumentul de configurare HDS. Există și alte modalități de a face acest lucru, iar noi nu sprijinim sau promovăm într-un mod mai presus de altul.
Dacă alegeți să utilizați OpenSSL, vă oferim această procedură ca ghid pentru a vă ajuta să creați un fișier care îndeplinește cerințele de certificat X.509 din Cerințele de certificat X.509. Înțelegeți aceste cerințe înainte de a continua.
Instalați OpenSSL într-un mediu acceptat. Consultați https://www.openssl.org pentru software și documentație.
Creați o cheie privată.
Inițiați această procedură atunci când primiți certificatul de server de la Certificate Authority (CA).

1	Când primiți certificatul de server de la CA, salvați-l ca `hdsnode.pem`.
2	Afișați certificatul ca text și verificați detaliile. `openssl x509 -text -noout -în hdsnode.pem`
3	Utilizați un editor de text pentru a crea un fișier pachet de certificate numit `hdsnode-bundle.pem`. Fișierul pachet trebuie să includă certificatul de server, orice certificate CA intermediare și certificatele CA rădăcină, în formatul de mai jos: `-----începeți certificatul------ ### Certificat de server. ### ------------------------------------ ### Certificat CA intermediar. ### ------------------------------------ ### Certificatul autorității de certificare rădăcină. ### -----încheiere certificat------`
4	Creați fișierul .p12 cu numele prietenos `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -nume kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Verificați detaliile certificatului serverului. `openssl pkcs12 -în hdsnode.p12` Introduceți o parolă la solicitarea de a cripta cheia privată astfel încât să fie afișată în ieșire. Apoi, verificați dacă cheia privată și primul certificat includ liniile `friendlyName: Cheie kms-privată`. Exemplu: bash$ openssl pkcs12 -în hdsnode.p12 Introduceți parola de import: MAC a verificat atributele pungii OK friendlyName: kms-private-cheie localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Atribute cheie: Introduceți fraza de acces PEM: Verificare - Introduceți fraza pass PEM: -----BEGIN CRIPTAT CHEIE PRIVATĂ----- -----END CRIPTAT CHEIE PRIVATĂ------- Atributele pungii prietenoaseName: kms-private-cheie localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us emitent=/C=US/O=Să criptăm/CN=Să criptăm autoritatea X3 -----BEGIN CERTIFICATE----- -----end certificate------- Atribute prietenoase cu pungaNume: CN=Să Criptăm Autoritatea X3,O=Să Criptăm,C=US subject=/C=US/O=Să Criptăm/CN=Să Criptăm Autoritatea X3 emitentă=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE---- -----END CERTIFICATE------

Ce este de făcut în continuare

Reveniți la Finalizați cerințele preliminare pentru securitatea datelor hibride. Veți utiliza fișierul hdsnode.p12 și parola pe care ați setat-o pentru acesta în Creați o configurație ISO pentru gazdele HDS.

Puteți reutiliza aceste fișiere pentru a solicita un nou certificat atunci când certificatul original expiră.

Trafic între nodurile HDS și cloud

Trafic de colectare a măsurătorilor de ieșire

Nodurile de securitate a datelor hibride trimit anumite măsurători în cloudul Webex. Printre acestea se numără măsurătorile de sistem privind numărul maxim de cadre, efectivul de cadre utilizate, sarcina procesorului și numărul de fire de execuție; măsurătorile privind șirurile sincronizate și asincrone; măsurătorile privind alertele care implică un prag de conexiuni de criptare, o latență sau o lungime a cozii de apeluri; măsurătorile privind baza de date și măsurătorile privind conexiunile de criptare. Nodurile trimit material cheie criptat printr-un canal în afara benzii (separat de solicitare).

Trafic de intrare

Nodurile de securitate a datelor hibride primesc următoarele tipuri de trafic de intrare din cloudul Webex:

Solicitări de criptare de la clienți, care sunt rutate de serviciul de criptare
Upgrade-uri la software-ul nodului

Configurarea proxy-urilor Squid pentru securitatea datelor hibride

Websocket nu se poate conecta prin Squid Proxy

Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea conexiunilor websocket (wss:) pe care Securitatea datelor hibride le necesită. Aceste secțiuni oferă îndrumări despre cum să configurați diferite versiuni de Squid pentru a ignora wss: traficul pentru funcționarea corespunzătoare a serviciilor.

Calmar 4 și 5

Adăugați on_unsupported_protocol directiva la squid.conf:

on_unsupported_protocol tunel toate

Calmar 3.5.27

Am testat cu succes Securitatea datelor hibride cu următoarele reguli adăugate la squid.conf. Aceste reguli pot fi modificate pe măsură ce dezvoltăm caracteristici și actualizăm cloud-ul Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 toate ssl_bump stare step2 toate ssl_bump bump3 toate

Informații noi și modificate

Acest tabel acoperă noile funcții sau funcționalități, modificările conținutului existent și orice erori majore care au fost remediate în Ghidul de implementare pentru securitatea datelor hibride cu entități găzduite multiple.

Dată	Modificări efectuate
15 ianuarie 2025	Au fost adăugate limitări ale securității datelor hibride cu entități găzduite multiple.
ianuarie 08, 2025	S-a adăugat o notă în Efectuați configurarea inițială și descărcați fișierele de instalare , precizând că făcând clic pe Configurare pe cardul HDS din Partner Hub este un pas important al procesului de instalare.
ianuarie 07, 2025	Cerințe pentru gazda virtuală, Flux de sarcini de implementare a securității datelor hibride și Instalați HDS OVA gazdă pentru a afișa noua cerință pentru ESXi 7.0.
13 decembrie 2024	Prima publicare.

Dezactivați securitatea datelor hibride cu entități găzduite multiple

Fluxul de activități pentru dezactivarea HDS cu entități găzduite multiple

Urmați acești pași pentru a dezactiva complet HDS cu entități găzduite multiple.

Înainte de a începe

Această sarcină trebuie efectuată numai de un administrator complet pentru partener.

1	Eliminați toți clienții din toate clusterele dvs., după cum este menționat în Eliminați organizațiile entității găzduite.
2	Revocați CMK-urile tuturor clienților, după cum se menționează în Revocați CMK-urile entităților găzduite eliminate din HDS..
3	Eliminați toate nodurile din toate clusterele dvs., așa cum este menționat în Eliminați un nod.
4	Ștergeți toate clusterele din Partner Hub utilizând una dintre următoarele două metode. Faceți clic pe clusterul pe care doriți să îl ștergeți și selectați Ștergeți acest cluster din colțul din dreapta sus al paginii de prezentare generală. În pagina Resurse, faceți clic… pe partea dreaptă a unui cluster și selectați Eliminare cluster.
5	Faceți clic pe fila Setări din pagina de prezentare generală a securității datelor hibride și faceți clic pe Dezactivare HDS pe cardul de stare HDS.

Începeți cu Securitatea datelor hibride cu entități găzduite multiple

Prezentare generală a securității datelor hibride cu entități găzduite multiple

Încă din prima zi, securitatea datelor a fost accentul principal în proiectarea Aplicației Webex. Piatra de temelie a acestei securități este criptarea conținutului end-to-end, activată de clienții Aplicației Webex care interacționează cu Key Management Service (KMS). KMS este responsabil pentru crearea și gestionarea cheilor criptografice pe care clienții le utilizează pentru a cripta și decripta dinamic mesajele și fișierele.

În mod implicit, toți clienții Aplicației Webex primesc criptarea end-to-end cu cheile dinamice stocate în cloud KMS, în domeniul securității Cisco. Hybrid Data Security mută KMS și alte funcții legate de securitate în centrul de date al întreprinderii dvs., deci nimeni în afară de dvs. nu deține cheile conținutului dvs. criptat.

Securitatea datelor hibride cu entități găzduite multiple permite organizațiilor să utilizeze HDS prin intermediul unui partener local de încredere, care poate acționa ca furnizor de servicii și poate gestiona criptarea locală și alte servicii de securitate. Această configurație permite organizației partenere să aibă control complet asupra implementării și gestionării cheilor de criptare și garantează că datele de utilizator ale organizațiilor client sunt în siguranță împotriva accesului extern. Organizațiile partenere configurează instanțele HDS și creează clustere HDS după cum este necesar. Fiecare instanță poate accepta mai multe organizații ale clienților, spre deosebire de o implementare HDS obișnuită, care este limitată la o singură organizație.

Deși organizațiile partenere au control asupra implementării și gestionării, acestea nu au acces la datele și conținutul generate de clienți. Acest acces este limitat la organizațiile clienților și la utilizatorii acestora.

Acest lucru permite, de asemenea, organizațiilor mai mici să profite de HDS, deoarece serviciile de gestionare a cheilor și infrastructura de securitate, cum ar fi centrele de date, sunt deținute de partenerul local de încredere.

Modul în care securitatea datelor hibride cu entități găzduite multiple oferă suveranitatea și controlul datelor

Conținutul generat de utilizatori este protejat împotriva accesului extern, cum ar fi furnizorii de servicii în cloud.
Partenerii locali de încredere gestionează cheile de criptare ale clienților cu care au deja o relație stabilită.
Opțiunea de asistență tehnică locală, dacă aceasta este furnizată de partener.
Acceptă conținut pentru întâlniri, mesagerie și apeluri.

Acest document are scopul de a ajuta organizațiile partenere să configureze și să gestioneze clienții într-un sistem de securitate a datelor hibride cu entități găzduite multiple.

Limitări ale securității datelor hibride cu entități găzduite multiple

Organizațiile partenere nu trebuie să aibă nicio implementare HDS existentă activă în Control Hub.
Organizațiile de entități găzduite sau de clienți care doresc să fie gestionate de un partener nu trebuie să aibă nicio implementare HDS existentă în Control Hub.
Odată ce HDS entitate găzduită multiplă este implementat de partener, toți utilizatorii organizațiilor client, precum și utilizatorii organizației partenere încep să utilizeze HDS entitate găzduită multiplă pentru serviciile lor de criptare.

Organizația parteneră și organizațiile clienților pe care le gestionează vor avea aceeași implementare HDS cu entități găzduite multiple.

Organizația parteneră nu va mai utiliza KMS în cloud după ce este implementat HDS cu entități găzduite multiple.
Nu există niciun mecanism de mutare a cheilor înapoi în Cloud KMS după o implementare HDS.
În prezent, fiecare implementare HDS cu entități găzduite multiple poate avea un singur cluster, cu mai multe noduri sub aceasta.
Rolurile de administrator au anumite limitări; consultați secțiunea de mai jos pentru detalii.

Roluri în securitatea datelor hibride cu entități găzduite multiple

Administrator complet pentru partener - Poate gestiona setările pentru toți clienții pe care partenerul îi administrează. De asemenea, poate aloca roluri de administrator utilizatorilor existenți în organizație și poate aloca anumiți clienți care urmează să fie gestionați de administratorii partenerilor.
Administrator partener - Poate gestiona setările pentru clienții pe care administratorul i-a asigurat sau care au fost alocați utilizatorului.
Administrator cu drepturi depline - Administrator al organizației partenere care este autorizat să efectueze sarcini precum modificarea setărilor organizației, gestionarea licențelor și atribuirea rolurilor.

Configurarea integrală a HDS cu entități găzduite multiple și gestionarea tuturor organizațiilor clienților - Sunt necesare drepturi de administrator complet pentru partener și drepturi de administrator complet.
Gestionarea organizațiilor de entități găzduite alocate - Sunt necesare drepturile de administrator partener și de administrator cu drepturi depline.

Arhitectura domeniului securitate

Arhitectura cloud Webex separă diferite tipuri de servicii în domenii sau domenii de încredere separate, așa cum este descris mai jos.

Pentru a înțelege mai bine Securitatea datelor hibride, să aruncăm o privire mai întâi la acest caz în cloud pur, în care Cisco oferă toate funcțiile din domeniile sale cloud. Serviciul de identitate, singurul loc în care utilizatorii pot fi corelați direct cu informațiile lor personale, cum ar fi adresa de e-mail, este separat logic și fizic de domeniul securității din centrul de date B. Ambele sunt la rândul lor separate de domeniul în care conținutul criptat este stocat în cele din urmă, în centrul de date C.

În această diagramă, clientul este Aplicația Webex care rulează pe laptopul unui utilizator și s-a autentificat în serviciul de identitate. Atunci când utilizatorul compune un mesaj pentru a-l trimite unui spațiu, se efectuează următorii pași:

Clientul stabilește o conexiune securizată cu serviciul de gestionare a cheilor (KMS), apoi solicită o cheie pentru a cripta mesajul. Conexiunea securizată utilizează ECDH, iar KMS criptează cheia utilizând o cheie principală AES-256.
Mesajul este criptat înainte de a părăsi clientul. Clientul îl trimite către serviciul de indexare, care creează indici de căutare criptați pentru a ajuta la căutările viitoare ale conținutului.
Mesajul criptat este trimis către serviciul de conformitate pentru verificări ale conformității.
Mesajul criptat este stocat în domeniul de stocare.

Când implementați Securitatea datelor hibride, mutați funcțiile domeniului de securitate (KMS, indexare și conformitate) în centrul dvs. de date local. Celelalte servicii cloud care alcătuiesc Webex (inclusiv stocarea identității și a conținutului) rămân în domeniile Cisco.

Colaborarea cu alte organizații

Utilizatorii din organizația dvs. pot utiliza în mod regulat Aplicația Webex pentru a colabora cu participanți externi din alte organizații. Când unul dintre utilizatorii dvs. solicită o cheie pentru un spațiu deținut de organizația dvs. (deoarece a fost creat de unul dintre utilizatorii dvs.), KMS-ul trimite cheia către client printr-un canal securizat ECDH. Cu toate acestea, atunci când o altă organizație deține cheia pentru spațiu, KMS-ul dvs. direcționează solicitarea către cloudul Webex printr-un canal ECDH separat pentru a obține cheia de la KMS corespunzător, apoi returnează cheia utilizatorului pe canalul original.

Serviciul KMS care rulează pe Org A validează conexiunile la KMS din alte organizații utilizând certificate x.509 PKI. Consultați Pregătiți mediul dvs. pentru detalii despre generarea unui certificat x.509 pentru a fi utilizat cu implementarea securității datelor hibride cu entități găzduite multiple.

Așteptări privind implementarea securității datelor hibride

O implementare a securității datelor hibride necesită un angajament semnificativ și o conștientizare a riscurilor asociate cu deținerea cheilor de criptare.

Pentru a implementa Securitatea datelor hibride, trebuie să furnizați:

Un centru de date securizat într-o țară care este o locație acceptată pentru planurile Cisco Webex Teams.
Echipamentul, software-ul și accesul la rețea descrise în Pregătiți mediul.

Pierderea completă a ISO-ului de configurare pe care îl creați pentru Securitatea datelor hibride sau a bazei de date pe care o furnizați va duce la pierderea cheilor. Pierderea cheii împiedică utilizatorii să decripteze conținutul spațiului și alte date criptate în Aplicația Webex. Dacă se întâmplă acest lucru, puteți construi o nouă implementare, dar va fi vizibil numai conținut nou. Pentru a evita pierderea accesului la date, trebuie să:

Gestionați copiile de siguranță și recuperarea bazei de date și a configurației ISO.
Fiți pregătiți pentru a efectua recuperarea rapidă în caz de dezastru în cazul în care se produce o catastrofă, cum ar fi eșecul discului bazei de date sau dezastrul centrului de date.

Nu există niciun mecanism de mutare a cheilor înapoi în Cloud după o implementare HDS.

Proces de configurare la nivel înalt

Acest document se referă la configurarea și gestionarea unei implementări a securității datelor hibride cu entități găzduite multiple:

Configurați Securitatea datelor hibride—Aceasta include pregătirea infrastructurii necesare și instalarea software-ului de securitate a datelor hibride, construirea unui cluster HDS, adăugarea de organizații găzduite în cluster și gestionarea cheilor principale ale clientului (CMK). Acest lucru va permite tuturor utilizatorilor din organizațiile client să utilizeze clusterul dvs. de securitate a datelor hibride pentru funcții de securitate.

Fazele de configurare, activare și gestionare sunt tratate în detaliu în următoarele trei capitole.
Mențineți implementarea securității datelor hibride—Webex cloud oferă automat upgrade-uri în curs. Departamentul dvs. IT poate oferi asistență de nivel unu pentru această implementare și poate implica asistența Cisco după cum este necesar. Puteți utiliza notificările pe ecran și puteți configura alerte pe bază de e-mail în Partner Hub.
Înțelegeți alertele obișnuite, pașii de depanare și problemele cunoscute—Dacă întâmpinați probleme la implementarea sau utilizarea Securității datelor hibride, ultimul capitol al acestui ghid și anexa Probleme cunoscute vă pot ajuta să identificați și să remediați problema.

Model de implementare a securității datelor hibride

În centrul de date al întreprinderii, implementați Securitatea datelor hibride ca un singur cluster de noduri pe gazde virtuale separate. Nodurile comunică cu cloudul Webex prin websocketuri securizate și HTTP securizat.

În timpul procesului de instalare, vă oferim fișierul OVA pentru a configura dispozitivul virtual pe VM-urile pe care le furnizați. Utilizați instrumentul de configurare HDS pentru a crea un fișier ISO de configurare a clusterului personalizat, pe care îl montați pe fiecare nod. Clusterul de securitate a datelor hibride utilizează serverul Syslogd furnizat și baza de date PostgreSQL sau Microsoft SQL Server. (Configurați detaliile de conectare Syslogd și a bazei de date în instrumentul de configurare HDS.)

Model de implementare a securității datelor hibride

Numărul minim de noduri pe care le puteți avea într-un cluster este de două. Vă recomandăm cel puțin trei per cluster. Existența mai multor noduri asigură faptul că serviciul nu este întrerupt în timpul unui upgrade de software sau al altei activități de întreținere pe un nod. (Cloudul Webex efectuează upgrade numai pentru un nod la un moment dat.)

Toate nodurile dintr-un cluster accesează același server de date cheie și jurnal de activitate la același server syslog. Nodurile în sine sunt apatride și gestionează solicitările cheie în modul round-robin, așa cum este direcționat de cloud.

Nodurile devin active atunci când le înscrieți în Partner Hub. Pentru a scoate din uz un nod individual, puteți să-l anulați înscrierea și să-l reînscrieți ulterior, dacă este necesar.

Centrul de date în așteptare pentru recuperarea după dezastre

În timpul implementării, configurați un centru de date în așteptare securizat. În cazul unui dezastru al centrului de date, puteți eșua manual implementarea la centrul de date în așteptare.

Bazele de date ale centrelor de date active și de așteptare sunt sincronizate unele cu altele, ceea ce va minimiza timpul necesar pentru efectuarea comutării automate.

Nodurile active de securitate a datelor hibride trebuie să fie întotdeauna în același centru de date ca serverul de baze de date active.

Suport proxy

Hybrid Data Security acceptă inspectarea explicită, transparentă și proxy-uri care nu inspectează. Puteți lega aceste proxy-uri de implementare, astfel încât să puteți securiza și monitoriza traficul de la întreprindere în cloud. Puteți utiliza o interfață de administrator de platformă pe nodurile pentru gestionarea certificatelor și pentru a verifica starea generală a conectivității după ce ați configurat proxy-ul pe noduri.

Nodurile hibride de securitate a datelor acceptă următoarele opțiuni proxy:

Fără proxy—Setare implicită dacă nu utilizați configurația nodului HDS Trust Store și Proxy pentru a integra un proxy. Nu este necesară actualizarea certificatului.
Proxy transparent fără inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy și nu ar trebui să necesite modificări pentru a funcționa cu un proxy fără inspectare. Nu este necesară actualizarea certificatului.
Proxy transparent pentru tunelare sau inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy. Nu sunt necesare modificări de configurare HTTP sau HTTPS pe noduri. Cu toate acestea, nodurile au nevoie de un certificat rădăcină, astfel încât să aibă încredere în proxy. Proxy-urile de inspectare sunt de obicei utilizate de IT pentru a aplica politici pe care site-urile web pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).
Proxy explicit- Cu proxy explicit, spuneți nodurilor HDS ce server proxy și ce schemă de autentificare să utilizați. Pentru a configura un proxy explicit, trebuie să introduceți următoarele informații pe fiecare nod:
1. IP/FQDN proxy—Adresa care poate fi utilizată pentru a accesa computerul proxy.
2. Port proxy—Un număr de port utilizat de proxy pentru a asculta traficul protejat.
3. Protocol proxy- În funcție de ceea ce acceptă serverul proxy, alegeți dintre următoarele protocoale:
  - HTTP - Vizualizează și controlează toate solicitările pe care le trimite clientul.
  - HTTPS - Oferă un canal serverului. Clientul primește și validează certificatul serverului.
4. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:
  - Fără—Nu este necesară mai multă autentificare.
    
    Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
  - De bază—Utilizat pentru un agent de utilizator HTTP care furnizează un nume de utilizator și o parolă atunci când efectuează o solicitare. Utilizează codificarea Base64.
    
    Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
    
    Vă solicită să introduceți numele de utilizator și parola pe fiecare nod.
  - Rezumat- Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite prin rețea.
    
    Disponibil numai dacă selectați HTTPS ca protocol proxy.
    
    Vă solicită să introduceți numele de utilizator și parola pe fiecare nod.

Exemplu de noduri hibride de securitate a datelor și proxy

Această diagramă afișează un exemplu de conexiune între securitatea datelor hibride, rețea și un proxy. Pentru opțiunile proxy de inspectare transparente și https explicit inspectare, același certificat rădăcină trebuie să fie instalat pe proxy și pe nodurile hibride de securitate a datelor.

Modul de rezolvare DNS extern blocat (configurații proxy explicite)

Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează căutarea DNS și conectivitatea la cloud-ul Cisco Webex. În implementările cu configurații proxy explicite care nu permit rezoluția DNS externă pentru clienții interni, dacă nodul nu poate interoga serverele DNS, acesta intră automat în modul Rezoluție DNS externă blocată. În acest mod, înregistrarea nodului și alte teste de conectivitate proxy pot continua.

Pregătiți mediul dvs.

Cerințe pentru securitatea datelor hibride cu entități găzduite multiple

Cerințe de licență Cisco Webex

Pentru a implementa securitatea datelor hibride cu entități găzduite multiple:

Organizații partenere: Contactați partenerul dvs. Cisco sau managerul de cont și asigurați-vă că funcția entitate găzduită multiplă este activată.
Organizații entitate găzduită: Trebuie să aveți pachetul Pro pentru Cisco Webex Control Hub. (Consultați https://www.cisco.com/go/pro-pack.)

Cerințe desktop docker

Înainte de a instala nodurile HDS, aveți nevoie de Docker Desktop pentru a rula un program de configurare. Docker și-a actualizat recent modelul de licențiere. Este posibil ca organizația să necesite un abonament plătit pentru Docker Desktop. Pentru detalii, consultați postarea de pe blogul Docker, " Docker actualizează și extinde abonamentele noastre de produse".

Cerințe certificat X.509

Lanțul de certificate trebuie să îndeplinească următoarele cerințe:

Tabelul 1. Cerințe privind certificatul X.509 pentru implementarea securității datelor hibride
Obligatoriu	Detalii
Semnat de o Autoritate de certificare (CA) de încredere	În mod implicit, avem încredere în CA-urile din lista Mozilla (cu excepția WoSign și StartCom) la https://wiki.mozilla.org/CA:IncludedCAs.
Conține un nume de domeniu comun (CN) care identifică implementarea securității datelor hibride Nu este un certificat wildcard	CN nu trebuie să fie accesibil sau gazdă live. Vă recomandăm să utilizați un nume care reflectă organizația dvs., de exemplu `hds.company.com`. NC nu trebuie să conțină un * (wildcard). CN este utilizat pentru a verifica nodurile de securitate a datelor hibride pentru clienții Aplicației Webex. Toate nodurile de securitate a datelor hibride din clusterul dvs. utilizează același certificat. KMS se identifică utilizând domeniul CN, nu orice domeniu definit în câmpurile SAN x.509v3. După ce ați înregistrat un nod cu acest certificat, nu acceptăm schimbarea numelui domeniului CN.
Semnătură non-SHA1	Software-ul KMS nu acceptă semnăturile SHA1 pentru validarea conexiunilor la KMS-urile altor organizații.
Formatat ca fișier PKCS #12 protejat prin parolă Utilizați numele prietenos al `kms-private-key` pentru a eticheta certificatul, cheia privată și orice certificate intermediare de încărcat.	Puteți utiliza un convertor, cum ar fi OpenSSL, pentru a schimba formatul certificatului. Va trebui să introduceți parola atunci când rulați instrumentul de configurare HDS.

Software-ul KMS nu impune utilizarea cheii sau restricțiile extinse de utilizare a cheii. Unele autorități de certificare solicită ca restricțiile extinse de utilizare a cheii să fie aplicate fiecărui certificat, cum ar fi autentificarea pe server. Este ok să utilizați autentificarea pe server sau alte setări.

Cerințe pentru gazda virtuală

Gazdele virtuale pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. au următoarele cerințe:

Cel puțin două gazde separate (3 recomandată) se află în același centru de date securizat
VMware ESXi 7.0 (sau o versiune ulterioară) instalat și rulează.

Trebuie să efectuați upgrade dacă aveți o versiune anterioară de ESXi.
Minimum 4 vCPU-uri, 8 GB memorie principală, 30 GB spațiu pe hard disk local per server

Cerințe server de bază de date

Creați o nouă bază de date pentru stocarea cheilor. Nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.

Există două opțiuni pentru serverul de bază de date. Cerințele pentru fiecare dintre acestea sunt următoarele:

Tabelul 2. Cerințele serverului de baze de date în funcție de tipul de bază de date
Parolă	Server Microsoft SQL
PostgreSQL 14, 15 sau 16, instalat și rulează.	Serverul SQL 2016, 2017 sau 2019 (Enterprise sau Standard) este instalat. Serverul SQL 2016 necesită Service Pack 2 și Actualizarea cumulativă 2 sau o versiune ulterioară.
Minimum 8 vCPU-uri, 16 GB memorie principală, spațiu suficient pe hard disk și monitorizare pentru a vă asigura că nu este depășită (se recomandă 2-TB dacă doriți să rulați baza de date pentru o lungă perioadă de timp fără a fi nevoie să creșteți spațiul de stocare)	Minimum 8 vCPU-uri, 16 GB memorie principală, spațiu suficient pe hard disk și monitorizare pentru a vă asigura că nu este depășită (se recomandă 2-TB dacă doriți să rulați baza de date pentru o lungă perioadă de timp fără a fi nevoie să creșteți spațiul de stocare)

Software-ul HDS instalează în prezent următoarele versiuni de drivere pentru comunicarea cu serverul de bază de date:

Parolă

Server Microsoft SQL

Driver Postgres JDBC 42.2.5

Driver 4.6 pentru serverul SQL JDBC

Această versiune de driver acceptă SQL Server activat permanent (Instanțe de cluster de reluare în caz de nereușită activată permanent și Grupuri de disponibilitate activate permanent).

Cerințe suplimentare pentru autentificarea Windows împotriva Microsoft SQL Server

Dacă doriți ca nodurile HDS să utilizeze autentificarea Windows pentru a obține acces la baza dvs. de date keystore pe Microsoft SQL Server, atunci aveți nevoie de următoarea configurație în mediul dvs.:

Nodurile HDS, infrastructura Active Directory și serverul MS SQL trebuie să fie sincronizate cu NTP.
Contul Windows pe care îl furnizați nodurilor HDS trebuie să aibă acces de citire/scriere la baza de date.
Serverele DNS pe care le furnizați nodurilor HDS trebuie să poată rezolva centrul de distribuție a cheilor (KDC).
Puteți înregistra instanța bazei de date HDS pe serverul Microsoft SQL ca nume principal al serviciului (SPN) în Active Directory. Consultați Înscrierea unui nume principal de serviciu pentru conexiunile Kerberos.

Instrumentul de configurare HDS, lansatorul HDS și KMS local trebuie să utilizeze autentificarea Windows pentru a accesa baza de date din keystore. Aceștia utilizează detaliile din configurația ISO pentru a construi SPN atunci când solicitați acces cu autentificarea Kerberos.

Cerințe de conectivitate externă

Configurați firewall-ul pentru a permite următoarea conectivitate pentru aplicațiile HDS:

Aplicație	Protocol	Port	Direcție din aplicație	Destinație
Noduri de securitate a datelor hibride	TCP	443	HTTPS și WSS de ieșire	Servere Webex: .wbx2.com .ciscospark.com Toate gazdele Common Identity Alte URL-uri listate pentru Securitatea datelor hibride în tabelul URL-uri suplimentare pentru serviciile hibride Webex din Cerințe de rețea pentru serviciile Webex
Instrument de configurare HDS	TCP	443	HTTPS de ieșire	*.wbx2.com Toate gazdele Common Identity hub.docker.com

Nodurile de securitate a datelor hibride funcționează cu traducerea accesului la rețea (NAT) sau în spatele unui firewall, atât timp cât NAT sau firewall permite conexiunile de ieșire necesare la destinațiile de domeniu din tabelul precedent. Pentru conexiunile de intrare la nodurile de securitate a datelor hibride, nu trebuie să fie vizibile porturi de pe internet. În cadrul centrului dvs. de date, clienții au nevoie de acces la nodurile de securitate a datelor hibride de pe porturile TCP 443 și 22, în scopuri administrative.

URL-urile pentru gazdele Common Identity (CI) sunt specifice regiunii. Acestea sunt gazdele CI actuale:

Regiune	URL-uri gazdă Common Identity
Țările din America	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Uniunea Europeană	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapore	https://idbroker-sg.webex.com https://identity-sg.webex.com
Emiratele Arabe Unite	https://idbroker-ae.webex.com https://identity-ae.webex.com

Cerințe server proxy

Acceptăm oficial următoarele soluții proxy care se pot integra cu nodurile hibride de securitate a datelor.
- Proxy transparent - Cisco Web Security Appliance (WSA).
- Proxy explicit - Calmar.
  
  Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea conexiunilor websocket (wss:). Pentru a rezolva această problemă, consultați Configurați proxy-urile Squid pentru securitatea datelor hibride.
Acceptăm următoarele combinații de tip de autentificare pentru proxy-uri explicite:
- Fără autentificare cu HTTP sau HTTPS
- Autentificare de bază cu HTTP sau HTTPS
- Autentificare digest numai cu HTTPS
Pentru un proxy de inspectare transparent sau un proxy explicit HTTPS, trebuie să aveți o copie a certificatului rădăcină al proxy-ului. Instrucțiunile de implementare din acest ghid vă spun cum să încărcați copia în depozitele de încredere ale nodurilor hibride de securitate a datelor.
Rețeaua care găzduiește nodurile HDS trebuie să fie configurată pentru a forța traficul TCP de ieșire pe portul 443 pentru a ruta prin proxy.
Proxy-urile care inspectează traficul web pot interfera cu conexiunile de soclu web. Dacă apare această problemă, ocolirea (nu inspectarea) traficului către wbx2.com și ciscospark.com va rezolva problema.

Completați cerințele preliminare pentru securitatea datelor hibride

Utilizați această listă de verificare pentru a vă asigura că sunteți gata să instalați și să configurați clusterul de securitate a datelor hibride.

1	Asigurați-vă că organizația dvs. parteneră are activată funcția HDS pentru entități găzduite multiple și obțineți acreditările unui cont cu administrator complet pentru partener și drepturi de administrator complet. Asigurați-vă că organizația client Webex este activată pentru Pachetul Pro pentru Cisco Webex Control Hub. Contactați-vă partenerul Cisco sau managerul de cont pentru ajutor cu acest proces. Organizațiile client nu trebuie să aibă nicio implementare HDS existentă.
2	Alegeți un nume de domeniu pentru implementarea HDS (de exemplu, `hds.company.com`) și obțineți un lanț de certificate care conține un certificat X.509, o cheie privată și orice certificate intermediare. Lanțul de certificate trebuie să îndeplinească cerințele din Cerințele de certificat X.509.
3	Pregătiți gazde virtuale identice pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. Aveți nevoie de cel puțin două gazde separate (3 recomandată) care să fie co-localizate în același centru de date securizat, care să îndeplinească cerințele din Cerințele gazdei virtuale.
4	Pregătiți serverul de bază de date care va acționa ca magazin de date cheie pentru cluster, în conformitate cu Cerințele serverului de bază de date. Serverul de baze de date trebuie să fie amplasat în centrul de date securizat cu gazdele virtuale. Creați o bază de date pentru stocarea cheilor. (Trebuie să creați această bază de date – nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.) Colectați detaliile pe care nodurile le vor utiliza pentru a comunica cu serverul de bază de date: numele gazdei sau adresa IP (gazdă) și portul numele bazei de date (dbname) pentru stocarea cheii numele de utilizator și parola unui utilizator cu toate privilegiile în baza de date de stocare a cheii
5	Pentru recuperare rapidă în caz de dezastru, configurați un mediu de rezervă într-un alt centru de date. Mediul de rezervă oglindește mediul de producție al VM-urilor și al unui server de baze de date de rezervă. De exemplu, dacă producția are 3 VM care rulează noduri HDS, mediul de rezervă trebuie să aibă 3 VM.
6	Configurați o gazdă syslog pentru a colecta jurnale de la nodurile din cluster. Colectați adresa de rețea și portul syslog (implicit este UDP 514).
7	Creați o politică de rezervă securizată pentru nodurile de securitate a datelor hibride, serverul de baze de date și gazda syslog. Cel puțin, pentru a preveni pierderea de date nerecuperabile, trebuie să efectuați o copie de rezervă a bazei de date și a fișierului ISO de configurare generat pentru nodurile de securitate a datelor hibride. Deoarece nodurile de securitate a datelor hibride stochează cheile utilizate la criptarea și decriptarea conținutului, nerespectarea menținerii unei implementări operaționale va duce la PIERDEREA IREVERSIBILĂ a conținutului respectiv. Clienții Aplicației Webex își ascund cheile, astfel încât este posibil ca o întrerupere să nu fie vizibilă imediat, dar va deveni evidentă în timp. În timp ce întreruperile temporare sunt imposibil de prevenit, acestea sunt recuperabile. Cu toate acestea, pierderea completă (nu sunt disponibile copii de siguranță) a bazei de date sau a fișierului ISO de configurare va avea ca rezultat date nerecuperabile ale clienților. Operatorii nodurilor de securitate a datelor hibride trebuie să mențină copii de siguranță frecvente ale bazei de date și ale fișierului ISO de configurare și să fie pregătiți să reconstruiască centrul de date de securitate a datelor hibride în cazul unei defecțiuni catastrofale.
8	Asigurați-vă că configurația firewallului permite conectivitatea pentru nodurile de securitate a datelor hibride, așa cum este descris în Cerințe de conectivitate externă.
9	Instalați Docker (https://www.docker.com) pe orice mașină locală care rulează un sistem de operare acceptat (Microsoft Windows 10 Professional sau Enterprise pe 64 de biți sau Mac OSX Yosemite 10.10.3 sau o versiune ulterioară) cu un browser web care îl poate accesa la http://127.0.0.1:8080. Utilizați instanța Docker pentru a descărca și rula instrumentul de configurare HDS, care generează informațiile de configurare locală pentru toate nodurile de securitate a datelor hibride. Este posibil să aveți nevoie de o licență Docker Desktop. Consultați Cerințe desktop docker pentru mai multe informații. Pentru a instala și rula instrumentul de configurare HDS, dispozitivul local trebuie să aibă conectivitatea descrisă în Cerințe de conectivitate externă.
10	Dacă integrați un proxy cu Securitatea datelor hibride, asigurați-vă că acesta îndeplinește Cerințele serverului proxy.

Configurați un cluster de securitate a datelor hibride

Fluxul de activități de implementare a securității datelor hibride

Înainte de a începe

1	Efectuați configurarea inițială și descărcați fișierele de instalare Descărcați fișierul OVA pe computerul dvs. local pentru utilizare ulterioară.
2	Crearea unui ISO de configurare pentru gazdele HDS Utilizați instrumentul de configurare HDS pentru a crea un fișier de configurare ISO pentru nodurile de securitate a datelor hibride.
3	Instalați gazda HDS OVA Creați o mașină virtuală din fișierul OVA și efectuați configurația inițială, cum ar fi setările de rețea. Opțiunea de a configura setările de rețea în timpul implementării OVA a fost testată cu ESXi 7.0. Este posibil ca această opțiune să nu fie disponibilă în versiunile anterioare.
4	Configurați VM de securitate a datelor hibride Conectați-vă la consola VM și setați acreditările de conectare. Configurați setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.
5	Încărcarea și montarea ISO de configurare HDS Configurați VM din fișierul de configurare ISO pe care l-ați creat cu instrumentul de configurare HDS.
6	Configurarea nodului HDS pentru integrarea proxy Dacă mediul de rețea necesită configurație proxy, specificați tipul de proxy pe care îl veți utiliza pentru nod și adăugați certificatul proxy la magazinul de încredere, dacă este necesar.
7	Înscrieți primul nod din cluster Înscrieți VM cu cloudul Cisco Webex ca nod de securitate a datelor hibride.
8	Creați și înscrieți mai multe noduri Finalizați configurarea clusterului.
9	Activați HDS cu entități găzduite multiple în Partner Hub. Activați HDS și gestionați organizațiile de entități găzduite în Partner Hub.

Efectuați configurarea inițială și descărcați fișierele de instalare

În această sarcină, descărcați un fișier OVA pe computerul dvs. (nu pe serverele pe care le configurați ca noduri de securitate a datelor hibride). Veți utiliza acest fișier mai târziu în procesul de instalare.

1	Conectați-vă la Partner Hub, apoi faceți clic pe Servicii.
2	În secțiunea Servicii cloud, găsiți cardul Securitate a datelor hibride, apoi faceți clic pe Configurare. Făcând clic pe Configurare în Partner Hub este esențial pentru procesul de implementare. Nu continuați cu instalarea fără a finaliza acest pas.
3	Faceți clic pe Adăugați o resursă și faceți clic pe Descărcați fișierul .OVA din cardul Instalare și configurare software . Versiunile mai vechi ale pachetului software (OVA) nu vor fi compatibile cu cele mai recente upgrade-uri de securitate a datelor hibride. Acest lucru poate duce la probleme în timpul upgrade-ului aplicației. Asigurați-vă că descărcați cea mai recentă versiune a fișierului OVA. De asemenea, puteți descărca OVA în orice moment din secțiunea Ajutor . Faceți clic pe Setări > Ajutor > Descărcați software-ul de securitate a datelor hibride. Fișierul OVA începe automat descărcarea. Salvați fișierul într-o locație de pe computerul dvs.
4	Opțional, faceți clic pe Consultați ghidul de implementare a securității datelor hibride pentru a verifica dacă există o versiune ulterioară a acestui ghid disponibilă.

Crearea unui ISO de configurare pentru gazdele HDS

Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi, utilizați ISO pentru a configura gazda de securitate a datelor hibride.

Înainte de a începe

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită detaliile de autentificare ale unui cont Partner Hub cu drepturi de administrator depline.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker la pasul 5 de mai jos. Acest tabel oferă câteva posibile variabile de mediu:

Descriere

Variabilă

Proxy HTTP fără autentificare

_AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT

Proxy HTTPS fără autentificare

_AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT

Proxy HTTP cu autentificare

_AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT

Proxy HTTPS cu autentificare

_AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT
Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier ori de câte ori efectuați modificări de configurație, cum ar fi:
- Acreditări bază de date
- Actualizări certificat
- Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile bazei de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

1

La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.:

În medii obișnuite:

configurare rmi ciscocitg/hds: stabil

În mediile FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.

2

Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele:

docker login -u hdscustomersro

3

La solicitarea parolei, introduceți acest hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Descărcați cea mai recentă imagine stabilă pentru mediul dvs.:

În medii obișnuite:

configurație ciscocitg/hds docker: stabil

În mediile FedRAMP:

docker extragere ciscocitg/hds-setup-fedramp:stabil

5

Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.:

În medii obișnuite fără un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

În medii obișnuite cu un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

În medii obișnuite cu un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

În mediile FedRAMP fără un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

În mediile FedRAMP cu un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

În mediile FedRAMP cu un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”.

6

Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală.

Utilizați un browser web pentru a accesa gazda locală http://127.0.0.1:8080 și a introduce numele de utilizator de administrator pentru Partner Hub la solicitare.

Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul corespunzător pentru acel cont. Instrumentul afișează apoi mesajul standard de conectare.

7

Când vi se solicită, introduceți acreditările de conectare de administrator Partner Hub, apoi faceți clic pe Conectați-vă pentru a permite accesul la serviciile necesare pentru Securitatea datelor hibride.

8

Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Începeți.

9

Pe pagina Import ISO aveți aceste opțiuni:

Nu—Dacă creați primul nod HDS, nu aveți un fișier ISO de încărcat.
Da—Dacă ați creat deja noduri HDS, selectați fișierul ISO în răsfoire și încărcați-l.

10

Verificați dacă certificatul dvs. X.509 îndeplinește cerințele din Cerințele privind certificatul X.509.

Dacă nu ați încărcat niciodată un certificat înainte, încărcați certificatul X.509, introduceți parola și faceți clic pe Continuați.
Dacă certificatul este OK, faceți clic pe Continuați.
Dacă certificatul dvs. a expirat sau doriți să îl înlocuiți, selectați Nu pentru Continuați să utilizați lanțul de certificate HDS și cheia privată din ISO anterioară?. Încărcați un nou certificat X.509, introduceți parola și faceți clic pe Continuați.

11

Introduceți adresa bazei de date și contul pentru HDS pentru a accesa baza de date cheie:

Selectați Tipul bazei de date (PostgreSQL sau Microsoft SQL Server).

Dacă alegeți Microsoft SQL Server, obțineți un câmp Tip de autentificare.
(Numai Microsoft SQL Server ) Selectați tipul de autentificare:
- Autentificare de bază: Aveți nevoie de un nume de cont SQL Server local în câmpul Nume de utilizator .
- Autentificare Windows: Aveți nevoie de un cont Windows în formatul nume de utilizator@DOMENIU în câmpul Nume de utilizator .
Introduceți adresa serverului de bază de date în forma : sau :.

Exemplu:
dbhost.example.org:1433 sau 198.51.100.17:1433

Puteți utiliza o adresă IP pentru autentificarea de bază, dacă nodurile nu pot utiliza DNS pentru a rezolva numele gazdei.

Dacă utilizați autentificarea Windows, trebuie să introduceți un Nume de domeniu complet calificat, în formatul dbhost.example.org:1433
Introduceți Numele bazei de date.
Introduceți Nume de utilizator și Parolă ale unui utilizator cu toate privilegiile în baza de date de stocare a cheilor.

12

Selectați un Mod de conectare la baza de date TLS:

Mod	Descriere
Preferați TLS (opțiune implicită)	Nodurile HDS nu necesită TLS pentru a se conecta la serverul de baze de date. Dacă activați TLS pe serverul bazei de date, nodurile încearcă o conexiune criptată.
Necesită TLS	Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS.
Solicitați TLS și verificați semnatarul certificatului	Acest mod nu se aplică pentru bazele de date SQL Server. Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS. După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de la serverul de baze de date cu autoritatea de certificare din Certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul scade conexiunea. Utilizați controlul certificat rădăcină bază de date sub lista verticală pentru a încărca certificatul rădăcină pentru această opțiune.
Solicitați TLS și verificați semnatarul certificatului și numele de gazdă	Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS. După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de la serverul de baze de date cu autoritatea de certificare din Certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul scade conexiunea. Nodurile verifică, de asemenea, dacă numele gazdei din certificatul de server se potrivește cu numele gazdei din câmpul Gazdă și port bază de date . Numele trebuie să se potrivească exact sau nodul scade conexiunea. Utilizați controlul certificat rădăcină bază de date sub lista verticală pentru a încărca certificatul rădăcină pentru această opțiune.

Când încărcați certificatul rădăcină (dacă este necesar) și faceți clic pe Continuați, instrumentul de configurare HDS testează conexiunea TLS la serverul de baze de date. Instrumentul verifică, de asemenea, semnatarul certificatului și numele de gazdă, dacă este cazul. Dacă un test nu reușește, instrumentul afișează un mesaj de eroare care descrie problema. Puteți alege dacă să ignorați eroarea și să continuați cu configurarea. (Din cauza diferențelor de conectivitate, nodurile HDS pot stabili conexiunea TLS, chiar dacă mașina instrumentului de configurare HDS nu o poate testa cu succes.)

13

Pe pagina Jurnale de sistem, configurați serverul Syslogd:

Introduceți URL-ul serverului syslog.

Dacă serverul nu este rezolvabil prin DNS de la noduri pentru clusterul dvs. HDS, utilizați o adresă IP în URL.

Exemplu:
udp://10.92.43.23:514 indică conectarea la gazda Syslogd 10.92.43.23 la portul UDP 514.
Dacă configurați serverul să utilizeze criptarea TLS, bifați Serverul syslog este configurat pentru criptarea SSL?.

Dacă bifați această casetă de selectare, asigurați-vă că introduceți un URL TCP, cum ar fi tcp://10.92.43.23:514.
Din lista derulantă Choose syslog recording termination (Alegeți înregistrarea syslog), alegeți setarea corespunzătoare pentru fișierul ISO: Alegeți dacă se utilizează linia nouă pentru Graylog și Rsyslog TCP
- Biți nuli -- \x00
- Linie nouă -- \n—Selectați această opțiune pentru Graylog și Rsyslog TCP.
Faceți clic pe Continuați.

14

(Opțional) Puteți modifica valoarea implicită pentru unii parametri de conexiune la baza de date în Setări avansate. În general, acest parametru este singurul parametru pe care s-ar putea să îl modificați:

app_datasource_connection_pool_maxMărime: 10

15

Faceți clic pe Continuați pe ecranul Resetați parola conturilor de serviciu .

Parolele conturilor de servicii au o durată de viață de nouă luni. Utilizați acest ecran când parolele se apropie de expirare sau doriți să le resetați pentru a anula fișierele ISO anterioare.

16

Faceți clic pe Descărcați fișierul ISO. Salvați fișierul într-o locație ușor de găsit.

17

Faceți o copie de rezervă a fișierului ISO în sistemul local.

Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la acei administratori de securitate a datelor hibride care ar trebui să efectueze modificări de configurație.

18

Pentru a închide instrumentul de configurare, tastați CTRL+C.

Ce este de făcut în continuare

Copie de rezervă a fișierului ISO de configurare. Aveți nevoie de acesta pentru a crea mai multe noduri pentru recuperare sau pentru a efectua modificări de configurație. Dacă pierdeți toate copiile fișierului ISO, ați pierdut și cheia principală. Recuperarea cheilor din baza de date PostgreSQL sau Microsoft SQL Server nu este posibilă.

Nu avem niciodată o copie a acestei chei și nu vă putem ajuta dacă o pierdeți.

Instalați gazda HDS OVA

Utilizați această procedură pentru a crea o mașină virtuală din fișierul OVA.

1	Utilizați clientul VMware vSphere de pe computerul dvs. pentru a vă conecta la gazda virtuală ESXi.
2	Selectați Fișier > Implementare șablon OVF.
3	În expert, specificați locația fișierului OVA pe care l-ați descărcat mai devreme, apoi faceți clic pe Înainte.
4	Pe pagina Selectați un nume și un folder , introduceți un Nume mașină virtuală pentru nod (de exemplu, „HDS_Node_1”), alegeți o locație în care poate fi găzduită implementarea nodului mașinii virtuale, apoi faceți clic pe Înainte.
5	Pe pagina Selectați o resursă de calcul , alegeți resursa de calcul de destinație, apoi faceți clic pe Înainte. Se execută o verificare de validare. După ce se termină, apar detaliile șablonului.
6	Verificați detaliile șablonului, apoi faceți clic pe Înainte.
7	Dacă vi se solicită să alegeți configurația resursei pe pagina Configurare , faceți clic pe 4 CPU , apoi faceți clic pe Înainte.
8	Pe pagina Selectați spațiul de stocare , faceți clic pe Înainte pentru a accepta formatul de disc și politica de stocare VM implicită.
9	Pe pagina Selectați rețele , selectați opțiunea de rețea din lista de intrări pentru a asigura conectivitatea dorită la VM.
10	Pe pagina Particularizare șablon , configurați următoarele setări de rețea: Nume gazdă—Introduceți FQDN (nume de gazdă și domeniu) sau un singur cuvânt nume de gazdă pentru nod. Nu este necesar să setați domeniul ca să corespundă domeniului pe care l-ați utilizat pentru a obține certificatul X.509. Pentru a asigura o înregistrare reușită în cloud, utilizați numai caractere mici în FQDN sau numele gazdei pe care l-ați setat pentru nod. Capitalizarea nu este acceptată în acest moment. Lungimea totală a FQDN nu trebuie să depășească 64 de caractere. Adresă IP— Introduceți adresa IP pentru interfața internă a nodului. Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat. Mască—Introduceți adresa măștii de subrețea în notație cu zecimale. De exemplu, 255.255.255.0. Gateway – Introduceți adresa IP a gateway-ului. Un gateway este un nod de rețea care servește ca punct de acces la o altă rețea. Servere DNS—Introduceți o listă de servere DNS separate prin virgulă, care se ocupă de traducerea numelor de domenii în adrese IP numerice. (Sunt permise până la 4 intrări DNS.) Servere NTP – Introduceți serverul NTP al organizației dvs. sau alt server NTP extern care poate fi utilizat în organizația dvs. Este posibil ca serverele NTP implicite să nu funcționeze pentru toate întreprinderile. De asemenea, puteți utiliza o listă separată prin virgulă pentru a introduce mai multe servere NTP. Implementați toate nodurile din aceeași subrețea sau VLAN, astfel încât toate nodurile dintr-un cluster să fie accesibile de la clienții din rețeaua dvs., în scopuri administrative. Dacă preferați, puteți sări peste configurația setărilor de rețea și să urmați pașii din Configurați VM de securitate a datelor hibride pentru a configura setările de la consola de nod. Opțiunea de a configura setările de rețea în timpul implementării OVA a fost testată cu ESXi 7.0. Este posibil ca această opțiune să nu fie disponibilă în versiunile anterioare.
11	Faceți clic dreapta pe VM nod, apoi alegeți Alimentare > Alimentare pornită. Software-ul de securitate a datelor hibride este instalat ca invitat pe gazda VM. Acum sunteți gata să vă conectați la consolă și să configurați nodul. Sfaturi de depanare Este posibil să întâmpinați o întârziere de câteva minute înainte de apariția containerelor nodului. În timpul primei boot-ări, apare un mesaj firewall de punte pe consolă, în timpul căruia nu vă puteți conecta.

Configurați VM de securitate a datelor hibride

Utilizați această procedură pentru a vă conecta pentru prima dată la consola VM a nodului de securitate a datelor hibride și a seta acreditările de conectare. De asemenea, puteți utiliza consola pentru a configura setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.

1	În clientul VMware vSphere, selectați VM nodul de securitate a datelor hibride și selectați fila Consolă . VM pornește și apare o solicitare de conectare. Dacă mesajul de conectare nu se afișează, apăsați Enter.
2	Utilizați următoarele date de conectare și parolă implicite pentru a vă conecta și a modifica datele de autentificare: Conectați-vă: `administrator` Parolă: `cisco (dezambiguizare)` Din moment ce vă conectați pentru prima dată la VM, trebuie să schimbați parola de administrator.
3	Dacă ați configurat deja setările de rețea în Instalați OVA gazdă HDS, omiteți restul acestei proceduri. În caz contrar, selectați opțiunea Editare configurație din meniul principal.
4	Configurați o configurație statică cu informații despre adresa IP, mască, gateway și DNS. Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat.
5	(Opțional) Schimbați numele de gazdă, domeniul sau serverul(serverele) NTP, dacă este necesar pentru a corespunde politicii dvs. de rețea. Nu este necesar să setați domeniul ca să corespundă domeniului pe care l-ați utilizat pentru a obține certificatul X.509.
6	Salvați configurația de rețea și reporniți VM pentru ca modificările să aibă efect.

Încărcarea și montarea ISO de configurare HDS

Utilizați această procedură pentru a configura mașina virtuală din fișierul ISO pe care l-ați creat cu instrumentul de configurare HDS.

Înainte de a începe

Deoarece fișierul ISO deține cheia principală, acesta ar trebui să fie expus numai pe baza necesității de a cunoaște, pentru accesul VM-urilor de securitate a datelor hibride și al oricăror administratori care ar putea fi nevoiți să facă modificări. Asigurați-vă că numai acei administratori pot accesa dataStore.

1

Încărcați fișierul ISO de pe computerul dvs.:

În panoul de navigare stânga al clientului VMware vSphere, faceți clic pe serverul ESXi.
În lista Hardware a filei Configurare, faceți clic pe Stocare.
În lista Datastores, faceți clic dreapta pe datastore pentru VM-urile dvs. și faceți clic pe Răsfoiți Datastore.
Faceți clic pe pictograma Încărcare fișiere, apoi faceți clic pe Încărcare fișier.
Navigați la locația în care ați descărcat fișierul ISO pe computer și faceți clic pe Deschidere.
Faceți clic pe Da pentru a accepta avertismentul operațiunii de încărcare/descărcare și a închide caseta de dialog a datelor.

2

Montează fișierul ISO:

În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările.
Faceți clic pe OK pentru a accepta avertismentul cu opțiuni de editare restricționate.
Faceți clic pe CD/DVD Drive 1, selectați opțiunea de montare dintr-un fișier ISO de bază de date și navigați la locația în care ați încărcat fișierul ISO de configurare.
Bifați opțiunea Conectat și Conectare la pornire.
Salvați modificările și reporniți mașina virtuală.

Ce este de făcut în continuare

Dacă politica IT solicită, puteți, opțional, să demontați fișierul ISO după ce toate nodurile preiau modificările de configurație. Consultați (Opțional) Demontați ISO după configurarea HDS pentru detalii.

Configurarea nodului HDS pentru integrarea proxy

Dacă mediul de rețea necesită un proxy, utilizați această procedură pentru a specifica tipul de proxy pe care doriți să îl integrați cu Securitatea datelor hibride. Dacă alegeți un proxy de inspectare transparent sau un proxy explicit HTTPS, puteți utiliza interfața nodului pentru a încărca și instala certificatul rădăcină. De asemenea, puteți verifica conexiunea proxy din interfață și puteți depana orice probleme potențiale.

Înainte de a începe

Consultați Suport proxy pentru o prezentare generală a opțiunilor proxy acceptate.
Cerințe server proxy

1	Introduceți URL-ul de configurare a nodului HDS `https://[HDS Node IP sau FQDN]/setup` într-un browser web, introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.
2	Accesați Trust Store & Proxy, apoi alegeți o opțiune: Fără proxy—Opțiunea implicită înainte de a integra un proxy. Nu este necesară actualizarea certificatului. Proxy transparent fără inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy și nu ar trebui să necesite modificări pentru a funcționa cu un proxy fără inspectare. Nu este necesară actualizarea certificatului. Proxy de inspectare transparent—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy. Nu sunt necesare modificări de configurare HTTPS pe implementarea hibride de securitate a datelor, cu toate acestea, nodurile HDS au nevoie de un certificat rădăcină, astfel încât acestea să aibă încredere în proxy. Proxy-urile de inspectare sunt de obicei utilizate de IT pentru a aplica politici pe care site-urile web pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS). Proxy explicit—Cu proxy explicit, spuneți clientului (nodurilor HDS) ce server proxy să utilizeze, iar această opțiune acceptă mai multe tipuri de autentificare. După ce alegeți această opțiune, trebuie să introduceți următoarele informații: IP/FQDN proxy—Adresa care poate fi utilizată pentru a accesa computerul proxy. Port proxy—Un număr de port utilizat de proxy pentru a asculta traficul protejat. Protocol proxy—Alegeți http (vizualizează și controlează toate solicitările primite de la client) sau https (oferă un canal către server, iar clientul primește și validează certificatul serverului). Alegeți o opțiune în funcție de ceea ce acceptă serverul proxy. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare: Fără—Nu este necesară mai multă autentificare. Disponibil pentru proxy-uri HTTP sau HTTPS. De bază—Utilizat pentru un agent de utilizator HTTP care furnizează un nume de utilizator și o parolă atunci când efectuează o solicitare. Utilizează codificarea Base64. Disponibil pentru proxy-uri HTTP sau HTTPS. Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola. Rezumat- Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite prin rețea. Disponibil numai pentru proxy-uri HTTPS. Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola. Urmați pașii următori pentru un proxy de inspectare transparent, un proxy explicit HTTP cu autentificare de bază sau un proxy explicit HTTPS.
3	Faceți clic pe Încărcare certificat rădăcină sau certificat de entitate de sfârșit , apoi navigați la o alegeți certificatul rădăcină pentruproxy. Certificatul este încărcat, dar nu este încă instalat, deoarece trebuie să reporniți nodul pentru a instala certificatul. Faceți clic pe săgeata ghilimelei unghiulare de numele emitentului certificatului pentru a obține mai multe detalii sau faceți clic pe Ștergere dacă ați făcut o greșeală și doriți să reîncărcați fișierul.
4	Faceți clic pe Verificare conexiune proxy pentru a testa conectivitatea la rețea între nod și proxy. Dacă testul de conexiune nu reușește, veți vedea un mesaj de eroare care arată motivul și modul în care puteți corecta problema. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a reușit, nodul nu a reușit să ajungă la serverul DNS. Această condiție este de așteptat în multe configurații proxy explicite. Puteți continua configurarea, iar nodul va funcționa în modul Rezoluție DNS externă blocată. Dacă considerați că aceasta este o eroare, parcurgeți acești pași și apoi consultați Dezactivare mod rezoluție DNS externă blocată.
5	După ce trece testul de conexiune, pentru proxy explicit setat la https numai, activați comutatorul pentru a ruta toate port 443/444 https solicitările de la acest nod prin proxy explicit. Această setare necesită 15 secunde pentru a intra în vigoare.
6	Faceți clic pe Instalare toate certificatele în Depozitul de încredere (apare pentru un proxy explicit HTTPS sau un proxy de inspectare transparent) sau pe Repornire (apare pentru un proxy explicit HTTP), citiți solicitarea, apoi faceți clic pe Instalare dacă sunteți gata. Nodul repornește în câteva minute.
7	După repornirea nodului, conectați-vă din nou, dacă este necesar, apoi deschideți pagina Prezentare generală pentru a verifica verificările de conectivitate pentru a vă asigura că toate sunt în stare verde. Verificarea conexiunii proxy testează numai un subdomeniu de webex.com. Dacă există probleme de conectivitate, o problemă comună este că unele dintre domeniile cloud listate în instrucțiunile de instalare sunt blocate la proxy.

Înscrieți primul nod din cluster

Această sarcină preia nodul generic pe care l-ați creat în Configurați VM de securitate a datelor hibride, înregistrează nodul în cloudul Webex și îl transformă într-un nod de securitate a datelor hibride.

Când înscrieți primul nod, creați un cluster căruia îi este atribuit nodul. Un cluster conține unul sau mai multe noduri implementate pentru a asigura redundanța.

Înainte de a începe

După ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți din nou.
Asigurați-vă că orice blocare a ferestrelor pop-up din browser este dezactivată sau că permiteți o excepție pentru admin.webex.com.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți cardul Securitate a datelor hibride și faceți clic pe Configurare.
4	În pagina care se deschide, faceți clic pe Adăugați o resursă.
5	În primul câmp al cardului Adăugați un nod , introduceți un nume pentru clusterul căruia doriți să îi atribuiți nodul de securitate a datelor hibride. Vă recomandăm să denumiți un cluster în funcție de locul geografic în care se află nodurile clusterului. Exemple: "San Francisco" sau "New York" sau "Dallas"
6	În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Adăugare în partea de jos a ecranului. Această adresă IP sau FQDN trebuie să corespundă adresei IP sau numelui gazdei și domeniului pe care le-ați utilizat în Configurați VM de securitate a datelor hibride. Apare un mesaj care indică faptul că vă puteți înscrie nodul în Webex.
7	Faceți clic pe Accesați nodul. După câteva momente, veți fi redirecționat(ă) către testele de conectivitate a nodului pentru serviciile Webex. Dacă toate testele sunt reușite, apare pagina Permiteți accesul la Nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați organizației dvs. Webex permisiuni pentru a vă accesa nodul.
8	Bifați caseta de selectare Permiteți accesul la nodul de securitate a datelor hibride , apoi faceți clic pe Continuați. Contul dvs. este validat, iar mesajul „Înscriere finalizată” indică faptul că nodul dvs. este acum înscris în cloudul Webex.
9	Faceți clic pe link sau închideți fila pentru a reveni la pagina Securitatea datelor hibride Partner Hub. Pe pagina Securitatea datelor hibride , noul cluster care conține nodul pe care l-ați înscris este afișat în fila Resurse . Nodul va descărca automat cel mai recent software din cloud.

Creați și înscrieți mai multe noduri

Pentru a adăuga noduri suplimentare la clusterul dvs., trebuie doar să creați VM suplimentare și să montați același fișier ISO de configurare, apoi să înregistrați nodul. Vă recomandăm să aveți cel puțin 3 noduri.

Înainte de a începe

După ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți din nou.
Asigurați-vă că orice blocare a ferestrelor pop-up din browser este dezactivată sau că permiteți o excepție pentru admin.webex.com.

1	Creați o nouă mașină virtuală din OVA, repetând pașii din Instalați OVA gazdă HDS.
2	Configurați configurația inițială pe noul VM, repetând pașii din Configurați VM de securitate a datelor hibride.
3	Pe noul VM, repetați pașii din Încărcarea și montarea ISO de configurare HDS.
4	Dacă configurați un proxy pentru implementarea dvs., repetați pașii din Configurați nodul HDS pentru integrarea proxy după cum este necesar pentru nodul nou.
5	Înscrieți nodul. În https://admin.webex.com, selectați Servicii din meniul din partea stângă a ecranului. În secțiunea Servicii cloud, găsiți cardul Securitate a datelor hibride și faceți clic pe Vizualizați toate. Apare pagina Resurse de securitate a datelor hibride. Clusterul nou creat va apărea în pagina Resurse . Faceți clic pe cluster pentru a vizualiza nodurile alocate clusterului. Faceți clic pe Adăugați un nod în partea dreaptă a ecranului. Introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Adăugați. Se deschide o pagină cu un mesaj care indică faptul că vă puteți înscrie nodul în cloudul Webex. După câteva momente, veți fi redirecționat(ă) către testele de conectivitate a nodului pentru serviciile Webex. Dacă toate testele sunt reușite, apare pagina Permiteți accesul la Nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați organizației dvs. permisiuni pentru a vă accesa nodul. Bifați caseta de selectare Permiteți accesul la nodul de securitate a datelor hibride , apoi faceți clic pe Continuați. Contul dvs. este validat, iar mesajul „Înscriere finalizată” indică faptul că nodul dvs. este acum înscris în cloudul Webex. Faceți clic pe link sau închideți fila pentru a reveni la pagina Securitatea datelor hibride Partner Hub. Mesajul pop-up Adăugat la nod apare, de asemenea, în partea de jos a ecranului din Partner Hub. Nodul dvs. este înregistrat.

Gestionați organizațiile entității găzduite pe securitatea datelor hibride cu entități găzduite multiple

Activați HDS cu entități găzduite multiple în Partner Hub

Această sarcină asigură că toți utilizatorii organizațiilor client pot începe să utilizeze HDS pentru cheile de criptare locale și alte servicii de securitate.

Înainte de a începe

Asigurați-vă că ați finalizat configurarea clusterului HDS cu entități găzduite multiple cu numărul necesar de noduri.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Editare setări.
4	Faceți clic pe Activare HDS pe cardul Stare HDS .

Adăugați organizații ale entităților găzduite în Partner Hub

În această sarcină, alocați organizații client la Clusterul dvs. de securitate a datelor hibride.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Vizualizați toate.
4	Faceți clic pe clusterul căruia doriți să i se atribuie un client.
5	Accesați fila Clienți alocați .
6	Faceți clic pe Adăugați clienți.
7	Selectați clientul pe care doriți să îl adăugați din meniul derulant.
8	Faceți clic pe Adăugare, clientul va fi adăugat la cluster.
9	Repetați pașii 6-8 pentru a adăuga mai mulți clienți la clusterul dvs.
10	Faceți clic pe Gata în partea de jos a ecranului după ce ați adăugat clienții.

Ce este de făcut în continuare

Rulați instrumentul de configurare HDS conform detaliilor din Creați chei principale ale clientului (CMK) utilizând instrumentul de configurare HDS pentru a finaliza procesul de configurare.

Creați chei principale ale clientului (CMK) utilizând instrumentul de configurare HDS

Înainte de a începe

Alocați clienți la clusterul corespunzător, după cum este detaliat în Adăugați organizații găzduite în Partner Hub. Rulați instrumentul de configurare HDS pentru a finaliza procesul de configurare pentru organizațiile client nou adăugate.

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită detaliile de autentificare ale unui cont Partner Hub cu drepturi de administrator depline pentru organizația dvs.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker la pasul 5. Acest tabel oferă câteva posibile variabile de mediu:

Descriere	Variabilă
Proxy HTTP fără autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS fără autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP cu autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT`
Proxy HTTPS cu autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT`

Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier ori de câte ori efectuați modificări de configurație, cum ar fi:
- Acreditări bază de date
- Actualizări certificat
- Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile bazei de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi, utilizați ISO pentru a configura gazda de securitate a datelor hibride.

1	La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite: `configurare rmi ciscocitg/hds: stabil` În mediile FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.
2	Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele: `docker login -u hdscustomersro`
3	La solicitarea parolei, introduceți acest hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite: `configurație ciscocitg/hds docker: stabil` În mediile FedRAMP: `docker extragere ciscocitg/hds-setup-fedramp:stabil`
5	Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În mediile FedRAMP fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”.
6	Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală. Utilizați un browser web pentru a accesa gazda locală `http://127.0.0.1:8080` și a introduce numele de utilizator de administrator pentru Partner Hub la solicitare. Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul corespunzător pentru acel cont. Instrumentul afișează apoi mesajul standard de conectare.
7	Când vi se solicită, introduceți acreditările de conectare de administrator Partner Hub, apoi faceți clic pe Conectați-vă pentru a permite accesul la serviciile necesare pentru Securitatea datelor hibride.
8	Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Începeți.
9	Pe pagina Import ISO , faceți clic pe Da.
10	Selectați fișierul dvs. ISO în browser și încărcați-l. Asigurați conexiunea la baza dvs. de date pentru a efectua gestionarea CMK.
11	Accesați fila Administrare CMK entitate găzduită , unde veți găsi următoarele trei modalități de a gestiona CMK entitate găzduită. Creare CMK pentru toate ORGANIZAȚIILE sau Creare CMK - Faceți clic pe acest buton de pe bannerul din partea de sus a ecranului pentru a crea CMK pentru toate organizațiile nou adăugate. Faceți clic pe butonul Gestionare CMK din partea dreaptă a ecranului și faceți clic pe Creare CMK pentru a crea CMK-uri pentru toate organizațiile nou adăugate. Faceți clic… lângă starea în așteptare a gestionării CMK a unei anumite organizații din tabel și faceți clic pe Creați CMK pentru a crea CMK pentru organizația respectivă.
12	Odată ce crearea CMK reușește, starea din tabel se va schimba din În așteptare gestionare CMK în Gestionat CMK.
13	Dacă crearea CMK nu reușește, se va afișa o eroare.

Eliminați organizațiile entității găzduite

Înainte de a începe

După eliminare, utilizatorii organizațiilor client nu vor putea folosi HDS pentru nevoile lor de criptare și vor pierde toate spațiile existente. Înainte de a elimina organizațiile client, contactați-vă partenerul Cisco sau managerul de cont.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Vizualizați toate.
4	În fila Resurse , faceți clic pe clusterul din care doriți să eliminați organizațiile client.
5	În pagina care se deschide, faceți clic pe Clienți alocați.
6	Din lista de organizații client care se afișează, faceți clic pe ... în partea dreaptă a organizației client pe care doriți să o eliminați și faceți clic pe Eliminare din cluster.

Ce este de făcut în continuare

Finalizați procesul de eliminare prin revocarea CMK-urilor organizațiilor client, așa cum este detaliat în Revocarea CMK-urilor entităților găzduite eliminate din HDS.

Revocați CMK-urile entităților găzduite eliminate din HDS.

Înainte de a începe

Eliminați clienții din clusterul corespunzător, așa cum este detaliat în Eliminați organizațiile entității găzduite. Rulați instrumentul de configurare HDS pentru a finaliza procesul de eliminare pentru organizațiile client care au fost eliminate.

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită detaliile de autentificare ale unui cont Partner Hub cu drepturi de administrator depline pentru organizația dvs.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker la pasul 5. Acest tabel oferă câteva posibile variabile de mediu:

Descriere	Variabilă
Proxy HTTP fără autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS fără autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP cu autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT`
Proxy HTTPS cu autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT`

Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier ori de câte ori efectuați modificări de configurație, cum ar fi:
- Acreditări bază de date
- Actualizări certificat
- Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile bazei de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi, utilizați ISO pentru a configura gazda de securitate a datelor hibride.

1	La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite: `configurare rmi ciscocitg/hds: stabil` În mediile FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.
2	Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele: `docker login -u hdscustomersro`
3	La solicitarea parolei, introduceți acest hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite: `configurație ciscocitg/hds docker: stabil` În mediile FedRAMP: `docker extragere ciscocitg/hds-setup-fedramp:stabil`
5	Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În mediile FedRAMP fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”.
6	Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală. Utilizați un browser web pentru a accesa gazda locală `http://127.0.0.1:8080` și a introduce numele de utilizator de administrator pentru Partner Hub la solicitare. Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul corespunzător pentru acel cont. Instrumentul afișează apoi mesajul standard de conectare.
7	Când vi se solicită, introduceți acreditările de conectare de administrator Partner Hub, apoi faceți clic pe Conectați-vă pentru a permite accesul la serviciile necesare pentru Securitatea datelor hibride.
8	Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Începeți.
9	Pe pagina Import ISO , faceți clic pe Da.
10	Selectați fișierul dvs. ISO în browser și încărcați-l.
11	Accesați fila Administrare CMK entitate găzduită , unde veți găsi următoarele trei modalități de a gestiona CMK entitate găzduită. Revocare CMK pentru toate ORGANIZAȚIILE sau Revocare CMK - Faceți clic pe acest buton de pe bannerul din partea de sus a ecranului pentru a revoca CMK-urile tuturor organizațiilor care au fost eliminate. Faceți clic pe butonul Gestionare CMK din partea dreaptă a ecranului și faceți clic pe Revocare CMK pentru a revoca CMK-urile tuturor organizațiilor care au fost eliminate. Faceți clic pe lângă starea CMK pentru a fi revocată a unei anumite organizații din tabel și faceți clic pe Revocare CMK pentru a revoca CMK pentru organizația respectivă.
12	Odată ce revocarea CMK reușește, organizația client nu va mai apărea în tabel.
13	Dacă revocarea CMK nu reușește, se va afișa o eroare.

Testați implementarea securității datelor hibride

Utilizați această procedură pentru a testa scenariile de criptare a securității datelor hibride cu entități găzduite multiple.

Înainte de a începe

Configurați implementarea securității datelor hibride cu entități găzduite multiple.
Asigurați-vă că aveți acces la syslog pentru a verifica dacă solicitările cheie sunt transmise la implementarea securității datelor hibride cu entități găzduite multiple.

1

Tastele pentru un anumit spațiu sunt setate de către creatorul spațiului. Conectați-vă la Aplicația Webex ca unul dintre utilizatorii organizației client, apoi creați un spațiu.

Dacă dezactivați implementarea securității datelor hibride, conținutul din spațiile pe care le creează utilizatorii nu mai este accesibil odată ce copiile din memoria cache a cheilor de criptare sunt înlocuite.

2

Trimiteți mesaje către noul spațiu.

3

Verificați ieșirea syslog pentru a verifica dacă solicitările cheie sunt transmise la implementarea securității datelor hibride.

Pentru a verifica dacă un utilizator stabilește mai întâi un canal securizat către KMS, filtrați după kms.data.method=create și kms.data.type=COLLECTION_KEY_:

Ar trebui să găsiți o intrare precum următoarea (identificatori scurtați pentru lizibilitate):

2020-07-21 17:35:34.562 (+0000) INFORMAȚII KMS [pool-14-thread-1] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Pentru a verifica dacă un utilizator solicită o cheie existentă din KMS, filtrați kms.data.method=retrieve și kms.data.type=KEY:

Ar trebui să găsiți o intrare precum:

2020-07-21 17:44:19.889 (+0000) INFORMAȚII KMS [pool-14-thread-31] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=CHEIE, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Pentru a verifica dacă există un utilizator care solicită crearea unei noi chei KMS, filtrați după kms.data.method=create și kms.data.type=KEY_COLLECTION:

Ar trebui să găsiți o intrare precum:

2020-07-21 17:44:21.975 (+0000) INFORMAȚII KMS [pool-14-thread-33] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Pentru a verifica dacă un utilizator solicită crearea unui nou obiect de resurse KMS (KRO) atunci când este creat un spațiu sau o altă resursă protejată, filtrați după kms.data.method=create și kms.data.type=RESOURCE_COLLECTION:

Ar trebui să găsiți o intrare precum:

2020-07-21 17:44:22.808 (+0000) INFORMAȚII KMS [pool-15-thread-1] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURSĂ_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorizați Securitatea datelor hibride

Un indicator de stare din Partner Hub vă arată dacă implementarea securității datelor hibride cu entități găzduite multiple este în regulă. Pentru o alertă mai proactivă, înscrieți-vă pentru notificări prin e-mail. Veți fi notificat atunci când există alarme sau upgrade-uri de software cu impact asupra serviciului.

1	În Partner Hub, selectați Servicii din meniul din partea stângă a ecranului.
2	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Editare setări. Apare pagina Setări de securitate a datelor hibride.
3	În secțiunea Notificări prin e-mail, introduceți una sau mai multe adrese de e-mail separate prin virgule și apăsați Enter.

Gestionați implementarea HDS

Utilizați sarcinile descrise aici pentru a gestiona implementarea securității datelor hibride.

Setați programarea upgrade-ului clusterului

Upgrade-urile software pentru Securitatea datelor hibride se efectuează automat la nivel de cluster, ceea ce garantează faptul că toate nodurile rulează întotdeauna aceeași versiune software. Upgrade-urile se efectuează în funcție de programul de upgrade pentru cluster. Atunci când un upgrade de software devine disponibil, aveți opțiunea de a efectua manual upgrade-ul clusterului înainte de ora programată pentru upgrade. Puteți seta un anumit program de upgrade sau puteți utiliza programul implicit de upgrade de la ora 3:00 a.m. Zilnic în Statele Unite: America/Los Angeles. De asemenea, puteți alege să amânați un upgrade viitor, dacă este necesar.

Pentru a seta programul de upgrade:

1	Conectați-vă la Hubul pentru parteneri.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Configurare
4	Pe pagina Resurse de securitate a datelor hibride, selectați clusterul.
5	Faceți clic pe fila Setări cluster .
6	În pagina Setări cluster, sub Programare upgrade, selectați ora și fusul orar pentru programarea upgrade-ului. Notă: În fusul orar se afișează următoarea dată și oră de upgrade disponibile. Puteți amâna upgrade-ul până în ziua următoare, dacă este necesar, făcând clic pe Amânare cu 24 de ore.

Modificați configurația nodului

Ocazional, poate fi necesar să modificați configurația nodului hibrid de securitate a datelor dintr-un motiv ar fi:

Modificarea certificatelor x.509 din cauza expirării sau din alte motive.

Nu acceptăm schimbarea numelui de domeniu CN al unui certificat. Domeniul trebuie să se potrivească cu domeniul inițial utilizat pentru înregistrarea clusterului.
Actualizarea setărilor bazei de date pentru a trece la o replică a bazei de date PostgreSQL sau Microsoft SQL Server.

Nu acceptăm migrarea datelor de la PostgreSQL la Microsoft SQL Server sau invers. Pentru a schimba mediul bazei de date, începeți o nouă implementare a Hybrid Data Security.
Crearea unei noi configurații pentru a pregăti un nou centru de date.

De asemenea, în scopuri de securitate, Hybrid Data Security utilizează parole de cont de serviciu care au o durată de viață de nouă luni. După ce instrumentul de instalare HDS generează aceste parole, le implementați la fiecare dintre nodurile HDS în fișierul de configurare ISO. Când parolele organizației se apropie de expirare, primiți o notificare de la echipa Webex pentru a reseta parola pentru contul dvs. (E-mailul include textul „Utilizați API-ul contului de mașină pentru a actualiza parola.”) Dacă parolele nu au expirat încă, instrumentul vă oferă două opțiuni:

Resetare ușoară—Parolele vechi și cele noi funcționează timp de până la 10 zile. Folosiți această perioadă pentru a înlocui treptat fișierul ISO pe noduri.
Resetare forțată—Parolele vechi nu mai funcționează imediat.

Dacă parolele dvs. expiră fără resetare, acest lucru va afecta serviciul HDS, necesitând o resetare hardware imediată și înlocuirea fișierului ISO pe toate nodurile.

Utilizați această procedură pentru a genera un nou fișier ISO de configurare și pentru a-l aplica clusterului dvs.

Înainte de a începe

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită datele de autentificare ale unui cont Partner Hub cu drepturi depline de administrator pentru partener.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker în 1.e. Acest tabel oferă câteva posibile variabile de mediu:

Descriere	Variabilă
Proxy HTTP fără autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS fără autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP cu autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT`
Proxy HTTPS cu autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT`

Aveți nevoie de o copie a fișierului ISO de configurare curent pentru a genera o nouă configurație. ISO conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de ISO când faceți modificări de configurare, inclusiv acreditările bazei de date, actualizări de certificate sau modificări ale politicii de autorizare.

1	Folosind Docker pe o mașină locală, rulați Instrumentul de configurare HDS. La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite: `configurare rmi ciscocitg/hds: stabil` În mediile FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora. Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele: `docker login -u hdscustomersro` La solicitarea parolei, introduceți acest hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite: `configurație ciscocitg/hds docker: stabil` În mediile FedRAMP: `docker extragere ciscocitg/hds-setup-fedramp:stabil` Asigurați-vă că utilizați cel mai recent instrument de configurare pentru această procedură. Versiunile instrumentului create înainte de 22 februarie 2018 nu au ecrane de resetare a parolei. Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În medii obișnuite cu un HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În mediile FedRAMP fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Când containerul se execută, vedeți "Express server de ascultare pe portul 8080." Utilizați un browser pentru a vă conecta la localhost, `http://127.0.0.1:8080`. Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală. Când vi se solicită, introduceți acreditările de conectare ale clientului Partner Hub și apoi faceți clic pe Acceptați pentru a continua. Importați fișierul ISO de configurare curentă. Urmați instrucțiunile pentru a finaliza instrumentul și descărcați fișierul actualizat. Pentru a închide instrumentul de configurare, tastați `CTRL+C`. Creați o copie de rezervă a fișierului actualizat într-un alt centru de date.
2	Dacă aveți un singur nod HDS care rulează, creați un nou VM nod de securitate a datelor hibride și înregistrați-l utilizând noul fișier ISO de configurare. Pentru instrucțiuni mai detaliate, consultați Creați și înscrieți mai multe noduri. Instalați OVA gazdă HDS. Configurați VM HDS. Montați fișierul de configurare actualizat. Înscrieți noul nod în Partner Hub.
3	Pentru nodurile HDS existente care rulează fișierul de configurare mai vechi, montați fișierul ISO. Efectuați următoarea procedură pe fiecare nod pe rând, actualizând fiecare nod înainte de a opri următorul nod: Opriți mașina virtuală. În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările. Faceți clic pe `UNITATE CD/DVD 1`, selectați opțiunea de montare dintr-un fișier ISO și navigați la locația în care ați descărcat noul fișier ISO de configurare. Bifaţi Conectare la pornire. Salvați modificările și porniți mașina virtuală.
4	Repetați pasul 3 pentru a înlocui configurația pe fiecare nod rămas care rulează configurația veche.

Dezactivarea modului de rezoluție DNS extern blocat

Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează căutarea DNS și conectivitatea la cloud-ul Cisco Webex. Dacă serverul DNS al nodului nu poate rezolva numele DNS publice, nodul intră automat în modul Rezoluție DNS externă blocată.

Dacă nodurile sunt capabile să rezolve numele DNS publice prin serverele DNS interne, puteți dezactiva acest mod prin reluarea testului de conexiune proxy pe fiecare nod.

Înainte de a începe

Asigurați-vă că serverele DNS interne pot rezolva numele DNS publice și că nodurile pot comunica cu acestea.

1	Într-un browser web, deschideți interfața nodului Hibrid Data Security (adresa IP/configurare, de exemplu, https://192.0.2.0/setup), introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.
2	Accesați Prezentare generală (pagina implicită). Când este activată, Rezoluția DNS externă blocată este setată la Da.
3	Accesați pagina Trust Store & Proxy.
4	Faceți clic pe Verificare conexiune proxy. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a avut succes, nodul nu a reușit să ajungă la serverul DNS și va rămâne în acest mod. În caz contrar, după ce reporniți nodul și reveniți la pagina Prezentare generală, Rezoluția DNS externă blocată ar trebui să fie setată la nu.

Ce trebuie să faceți în continuare

Repetați testul de conexiune proxy pe fiecare nod din clusterul hibrid de securitate a datelor.

Eliminați un nod

Utilizați această procedură pentru a elimina un nod de securitate a datelor hibride din cloudul Webex. După ce eliminați nodul din cluster, ștergeți mașina virtuală pentru a preveni accesul în continuare la datele dvs. de securitate.

1

Utilizați clientul VMware vSphere de pe computerul dvs. pentru a vă conecta la gazda virtuală ESXi și pentru a porni mașina virtuală.

2

Eliminați nodul:

Conectați-vă la Partner Hub, apoi selectați Servicii.
Pe cardul Securitate a datelor hibride, faceți clic pe Vizualizați toate pentru a afișa pagina Resurse de securitate a datelor hibride.
Selectați clusterul pentru a-și afișa panoul Prezentare generală.
Faceți clic pe nodul pe care doriți să îl eliminați.
Faceți clic pe Anulați înscrierea acestui nod în panoul care apare în partea dreaptă
De asemenea, puteți anula înscrierea nodului făcând clic… în partea dreaptă a nodului și selectând Eliminați acest nod.

3

În clientul vSphere, ștergeți VM. (În panoul de navigare din stânga, faceți clic dreapta pe VM și faceți clic pe Ștergere.)

Dacă nu ștergeți VM, nu uitați să demontați fișierul ISO de configurare. Fără fișierul ISO, nu puteți utiliza VM pentru a accesa datele de securitate.

Recuperarea după dezastru utilizând centrul de date în așteptare

Cel mai critic serviciu pe care clusterul dvs. de securitate a datelor hibride îl oferă este crearea și stocarea cheilor utilizate pentru a cripta mesajele și alt conținut stocat în cloudul Webex. Pentru fiecare utilizator din organizație care este atribuit Securitatea datelor hibride, noile solicitări de creare a cheii sunt direcționate către cluster. Clusterul este, de asemenea, responsabil pentru returnarea cheilor pe care le-a creat oricărui utilizator autorizat să le recupereze, de exemplu, membrilor unui spațiu de conversație.

Deoarece clusterul îndeplinește funcția critică de furnizare a acestor chei, este imperativ ca clusterul să rămână în funcțiune și să fie menținute copiile de rezervă corespunzătoare. Pierderea bazei de date hibride de securitate a datelor sau a ISO-ului de configurare utilizat pentru schemă va duce la PIERDEREA IREVERSIBILĂ a conținutului clientului. Pentru a preveni o astfel de pierdere sunt obligatorii următoarele practici:

Dacă un dezastru face ca implementarea HDS în centrul de date principal să devină indisponibilă, urmați această procedură pentru a trece manual la centrul de date în așteptare.

Înainte de a începe

Anulați înscrierea tuturor nodurilor din Partner Hub, după cum este menționat în Eliminați un nod. Utilizați cel mai recent fișier ISO care a fost configurat în raport cu nodurile clusterului care era activ anterior, pentru a efectua procedura de reluare în caz de nereușită menționată mai jos.

1	Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.
2	Finalizați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit.
3	Faceți o copie de rezervă a fișierului ISO în sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la acei administratori de securitate a datelor hibride care ar trebui să efectueze modificări de configurație.
4	În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările.
5	Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Datastore ISO File. Asigurați-vă că sunt bifate opțiunile Conectat și Conectare la pornire , astfel încât modificările actualizate ale configurației să poată intra în vigoare după pornirea nodurilor.
6	Porniți nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute.
7	Înscrieți nodul în Partner Hub. Consultați Înscrieți primul nod din cluster.
8	Repetați procesul pentru fiecare nod din centrul de date în așteptare.

Ce este de făcut în continuare

După reluarea în caz de nereușită, în cazul în care centrul de date principal redevine activ, anulați înregistrarea nodurilor centrului de date în așteptare și repetați procesul de configurare ISO și de înregistrare a nodurilor centrului de date principal, după cum s-a menționat mai sus.

(Opțional) Demontați ISO după configurarea HDS

Configurația standard HDS rulează cu ISO montat. Dar, unii clienți preferă să nu lase fișierele ISO montate continuu. Puteți demonta fișierul ISO după ce toate nodurile HDS preiau noua configurație.

Încă utilizați fișierele ISO pentru a efectua modificări de configurație. Când creați un nou ISO sau actualizați un ISO prin intermediul instrumentului de configurare, trebuie să montați ISO actualizat pe toate nodurile HDS. După ce toate nodurile au preluat modificările de configurație, puteți demonta din nou ISO cu această procedură.

Înainte de a începe

Efectuați upgrade pentru toate nodurile HDS la versiunea 2021.01.22.4720 sau la o versiune ulterioară.

1	Închideți unul dintre nodurile HDS.
2	În dispozitivul vCenter Server, selectați nodul HDS.
3	Alegeți Editare setări > Unitate CD/DVD și debifați Datastore ISO File.
4	Porniți nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 20 de minute.
5	Repetați la rând pentru fiecare nod HDS.

Soluționați problemele privind securitatea datelor hibride

Vizualizați alertele și soluționarea problemelor

O implementare de securitate a datelor hibride este considerată indisponibilă dacă toate nodurile din cluster sunt inaccesibile sau clusterul funcționează atât de lent încât necesită timp liber. Dacă utilizatorii nu pot contacta Clusterul dvs. de securitate a datelor hibride, vor prezenta următoarele simptome:

Nu se pot crea spații noi (nu se pot crea chei noi)
Mesajele și titlurile spațiului nu au putut fi decriptate pentru:
- Utilizatori noi adăugați într-un spațiu (nu se pot prelua cheile)
- Utilizatori existenți într-un spațiu utilizând un client nou (nu se pot prelua cheile)
Utilizatorii existenți dintr-un spațiu vor continua să ruleze cu succes atât timp cât clienții lor au o memorie cache a cheilor de criptare

Este important să monitorizați în mod corespunzător clusterul de securitate a datelor hibride și să abordați prompt orice alerte pentru a evita întreruperea serviciului.

Alerte

Dacă există o problemă cu configurarea securității datelor hibride, Partner Hub afișează alerte administratorului organizației și trimite e-mailuri la adresa de e-mail configurată. Alertele acoperă multe scenarii comune.

Tabelul 1. Probleme comune și pașii pentru a le rezolva
Alertă	Acțiune
Eroare de acces la baza de date locală.	Verificați dacă există erori la baza de date sau probleme de rețea locală.
Eroare de conexiune la baza de date locală.	Verificați dacă serverul bazei de date este disponibil și dacă s-au utilizat datele de autentificare corecte la contul de serviciu în configurarea nodului.
Acces nereușit la serviciul cloud.	Verificați dacă nodurile pot accesa serverele Webex, conform specificațiilor din Cerințe de conectivitate externă.
Se reînnoiește înscrierea la serviciul cloud.	Înscrierea la serviciile cloud a fost abandonată. Înregistrarea este în curs de reînnoire.
Înscrierea la serviciul cloud a scăzut.	Înscrierea la serviciile cloud a fost încheiată. Serviciul se oprește.
Serviciul nu a fost încă activat.	Activați HDS în Partner Hub.
Domeniul configurat nu corespunde certificatului serverului.	Asigurați-vă că certificatul dvs. de server corespunde domeniului de activare a serviciului configurat. Cauza cea mai probabilă este că certificatul NC a fost modificat recent și este acum diferit de cel utilizat în timpul configurării inițiale.
Nu s-a reușit autentificarea la serviciile cloud.	Verificați acuratețea și posibila expirare a acreditărilor contului de serviciu.
Nu s-a reușit deschiderea fișierului de keystore local.	Verificați integritatea și acuratețea parolei în fișierul de keystore local.
Certificatul serverului local nu este valid.	Verificați data de expirare a certificatului serverului și confirmați că acesta a fost emis de o autoritate de certificare de încredere.
Nu se pot publica măsurătorile.	Verificați accesul rețelei locale la serviciile externe din cloud.
Directorul /media/configdrive/hds nu există.	Verificați configurația de montare ISO pe gazda virtuală. Verificați dacă fișierul ISO există, dacă este configurat pentru montare la repornire și dacă se montează cu succes.
Configurarea organizației entității găzduite nu este finalizată pentru organizațiile adăugate	Finalizați configurarea prin crearea de CMK-uri pentru organizațiile de entități găzduite nou adăugate utilizând Instrumentul de configurare HDS.
Configurarea organizației entității găzduite nu este finalizată pentru organizațiile eliminate	Finalizați configurarea prin revocarea CMK-urilor organizațiilor găzduite care au fost eliminate cu ajutorul Instrumentului de configurare HDS.

Soluționați problemele privind securitatea datelor hibride

Utilizați următoarele indicații generale atunci când depanați problemele cu Securitatea datelor hibride.

1	Consultați Partner Hub pentru orice alerte și remediați orice elemente pe care le găsiți acolo. Consultați imaginea de mai jos pentru referință.
2	Revizuiți ieșirea serverului syslog pentru activitatea din implementarea securității datelor hibride. Filtru pentru cuvinte precum „Avertisment” și „Eroare” pentru a ajuta la depanare.
3	Contactați asistența Cisco.

Alte note

Probleme cunoscute privind securitatea datelor hibride

Dacă închideți clusterul de securitate a datelor hibride (prin ștergerea acestuia din Partner Hub sau prin închiderea tuturor nodurilor), pierdeți fișierul ISO de configurare sau pierdeți accesul la baza de date din keystore, utilizatorii Aplicației Webex din organizațiile client nu mai pot utiliza spațiile din lista lor de persoane care au fost create cu chei din KMS. Nu avem în prezent o soluție sau o soluție pentru această problemă și vă încurajăm să nu închideți serviciile dvs. HDS odată ce acestea gestionează conturile de utilizator active.
Un client care are o conexiune ECDH existentă la un KMS menține această conexiune pentru o perioadă de timp (probabil o oră).

Utilizați OpenSSL pentru a genera un fișier PKCS12

Înainte de a începe

OpenSSL este un instrument care poate fi utilizat pentru a face fișierul PKCS12 în formatul corect pentru încărcarea în instrumentul de configurare HDS. Există și alte modalități de a face acest lucru, iar noi nu sprijinim sau promovăm într-un mod mai presus de altul.
Dacă alegeți să utilizați OpenSSL, vă oferim această procedură ca ghid pentru a vă ajuta să creați un fișier care îndeplinește cerințele de certificat X.509 din Cerințele de certificat X.509. Înțelegeți aceste cerințe înainte de a continua.
Instalați OpenSSL într-un mediu acceptat. Consultați https://www.openssl.org pentru software și documentație.
Creați o cheie privată.
Inițiați această procedură atunci când primiți certificatul de server de la Certificate Authority (CA).

1	Când primiți certificatul de server de la CA, salvați-l ca `hdsnode.pem`.
2	Afișați certificatul ca text și verificați detaliile. `openssl x509 -text -noout -în hdsnode.pem`
3	Utilizați un editor de text pentru a crea un fișier pachet de certificate numit `hdsnode-bundle.pem`. Fișierul pachet trebuie să includă certificatul de server, orice certificate CA intermediare și certificatele CA rădăcină, în formatul de mai jos: `-----începeți certificatul------ ### Certificat de server. ### ------------------------------------ ### Certificat CA intermediar. ### ------------------------------------ ### Certificatul autorității de certificare rădăcină. ### -----încheiere certificat------`
4	Creați fișierul .p12 cu numele prietenos `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -nume kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Verificați detaliile certificatului serverului. `openssl pkcs12 -în hdsnode.p12` Introduceți o parolă la solicitarea de a cripta cheia privată astfel încât să fie afișată în ieșire. Apoi, verificați dacă cheia privată și primul certificat includ liniile `friendlyName: Cheie kms-privată`. Exemplu: bash$ openssl pkcs12 -în hdsnode.p12 Introduceți parola de import: MAC a verificat atributele pungii OK friendlyName: kms-private-cheie localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Atribute cheie: Introduceți fraza de acces PEM: Verificare - Introduceți fraza pass PEM: -----BEGIN CRIPTAT CHEIE PRIVATĂ----- -----END CRIPTAT CHEIE PRIVATĂ------- Atributele pungii prietenoaseName: kms-private-cheie localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us emitent=/C=US/O=Să criptăm/CN=Să criptăm autoritatea X3 -----BEGIN CERTIFICATE----- -----end certificate------- Atribute prietenoase cu pungaNume: CN=Să Criptăm Autoritatea X3,O=Să Criptăm,C=US subject=/C=US/O=Să Criptăm/CN=Să Criptăm Autoritatea X3 emitentă=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE---- -----END CERTIFICATE------

Ce este de făcut în continuare

Reveniți la Finalizați cerințele preliminare pentru securitatea datelor hibride. Veți utiliza fișierul hdsnode.p12 și parola pe care ați setat-o pentru acesta în Creați o configurație ISO pentru gazdele HDS.

Puteți reutiliza aceste fișiere pentru a solicita un nou certificat atunci când certificatul original expiră.

Trafic între nodurile HDS și cloud

Trafic de colectare a măsurătorilor de ieșire

Nodurile de securitate a datelor hibride trimit anumite măsurători în cloudul Webex. Printre acestea se numără măsurătorile de sistem privind numărul maxim de cadre, efectivul de cadre utilizate, sarcina procesorului și numărul de fire de execuție; măsurătorile privind șirurile sincronizate și asincrone; măsurătorile privind alertele care implică un prag de conexiuni de criptare, o latență sau o lungime a cozii de apeluri; măsurătorile privind baza de date și măsurătorile privind conexiunile de criptare. Nodurile trimit material cheie criptat printr-un canal în afara benzii (separat de solicitare).

Trafic de intrare

Nodurile de securitate a datelor hibride primesc următoarele tipuri de trafic de intrare din cloudul Webex:

Solicitări de criptare de la clienți, care sunt rutate de serviciul de criptare
Upgrade-uri la software-ul nodului

Configurarea proxy-urilor Squid pentru securitatea datelor hibride

Websocket nu se poate conecta prin Squid Proxy

Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea conexiunilor websocket (wss:) pe care Securitatea datelor hibride le necesită. Aceste secțiuni oferă îndrumări despre cum să configurați diferite versiuni de Squid pentru a ignora wss: traficul pentru funcționarea corespunzătoare a serviciilor.

Calmar 4 și 5

Adăugați on_unsupported_protocol directiva la squid.conf:

on_unsupported_protocol tunel toate

Calmar 3.5.27

Am testat cu succes Securitatea datelor hibride cu următoarele reguli adăugate la squid.conf. Aceste reguli pot fi modificate pe măsură ce dezvoltăm caracteristici și actualizăm cloud-ul Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 toate ssl_bump stare step2 toate ssl_bump bump3 toate

Informații noi și modificate

Acest tabel acoperă noile funcții sau funcționalități, modificările conținutului existent și orice erori majore care au fost remediate în Ghidul de implementare pentru securitatea datelor hibride cu entități găzduite multiple.

Dată	Modificări efectuate
ianuarie 30, 2025	A fost adăugată versiunea 2022 a serverului SQL la lista de servere SQL acceptate în Cerințe server bază de date.
15 ianuarie 2025	Au fost adăugate limitări ale securității datelor hibride cu entități găzduite multiple.
ianuarie 08, 2025	S-a adăugat o notă în Efectuați configurarea inițială și descărcați fișierele de instalare , precizând că făcând clic pe Configurare pe cardul HDS din Partner Hub este un pas important al procesului de instalare.
ianuarie 07, 2025	Cerințe pentru gazda virtuală, Flux de sarcini de implementare a securității datelor hibride și Instalați HDS OVA gazdă pentru a afișa noua cerință pentru ESXi 7.0.
13 decembrie 2024	Prima publicare.

Dezactivați securitatea datelor hibride cu entități găzduite multiple

Fluxul de activități pentru dezactivarea HDS cu entități găzduite multiple

Urmați acești pași pentru a dezactiva complet HDS cu entități găzduite multiple.

Înainte de a începe

Această sarcină trebuie efectuată numai de un administrator complet pentru partener.

1	Eliminați toți clienții din toate clusterele dvs., după cum este menționat în Eliminați organizațiile entității găzduite.
2	Revocați CMK-urile tuturor clienților, după cum se menționează în Revocați CMK-urile entităților găzduite eliminate din HDS..
3	Eliminați toate nodurile din toate clusterele dvs., așa cum este menționat în Eliminați un nod.
4	Ștergeți toate clusterele din Partner Hub utilizând una dintre următoarele două metode. Faceți clic pe clusterul pe care doriți să îl ștergeți și selectați Ștergeți acest cluster din colțul din dreapta sus al paginii de prezentare generală. În pagina Resurse, faceți clic… pe partea dreaptă a unui cluster și selectați Eliminare cluster.
5	Faceți clic pe fila Setări din pagina de prezentare generală a securității datelor hibride și faceți clic pe Dezactivare HDS pe cardul de stare HDS.

Începeți cu Securitatea datelor hibride cu entități găzduite multiple

Prezentare generală a securității datelor hibride cu entități găzduite multiple

Încă din prima zi, securitatea datelor a fost accentul principal în proiectarea Aplicației Webex. Piatra de temelie a acestei securități este criptarea conținutului end-to-end, activată de clienții Aplicației Webex care interacționează cu Key Management Service (KMS). KMS este responsabil pentru crearea și gestionarea cheilor criptografice pe care clienții le utilizează pentru a cripta și decripta dinamic mesajele și fișierele.

În mod implicit, toți clienții Aplicației Webex primesc criptarea end-to-end cu cheile dinamice stocate în cloud KMS, în domeniul securității Cisco. Hybrid Data Security mută KMS și alte funcții legate de securitate în centrul de date al întreprinderii dvs., deci nimeni în afară de dvs. nu deține cheile conținutului dvs. criptat.

Securitatea datelor hibride cu entități găzduite multiple permite organizațiilor să utilizeze HDS prin intermediul unui partener local de încredere, care poate acționa ca furnizor de servicii și poate gestiona criptarea locală și alte servicii de securitate. Această configurație permite organizației partenere să aibă control complet asupra implementării și gestionării cheilor de criptare și garantează că datele de utilizator ale organizațiilor client sunt în siguranță împotriva accesului extern. Organizațiile partenere configurează instanțele HDS și creează clustere HDS după cum este necesar. Fiecare instanță poate accepta mai multe organizații ale clienților, spre deosebire de o implementare HDS obișnuită, care este limitată la o singură organizație.

Deși organizațiile partenere au control asupra implementării și gestionării, acestea nu au acces la datele și conținutul generate de clienți. Acest acces este limitat la organizațiile clienților și la utilizatorii acestora.

Acest lucru permite, de asemenea, organizațiilor mai mici să profite de HDS, deoarece serviciile de gestionare a cheilor și infrastructura de securitate, cum ar fi centrele de date, sunt deținute de partenerul local de încredere.

Modul în care securitatea datelor hibride cu entități găzduite multiple oferă suveranitatea și controlul datelor

Conținutul generat de utilizatori este protejat împotriva accesului extern, cum ar fi furnizorii de servicii în cloud.
Partenerii locali de încredere gestionează cheile de criptare ale clienților cu care au deja o relație stabilită.
Opțiunea de asistență tehnică locală, dacă aceasta este furnizată de partener.
Acceptă conținut pentru întâlniri, mesagerie și apeluri.

Acest document are scopul de a ajuta organizațiile partenere să configureze și să gestioneze clienții într-un sistem de securitate a datelor hibride cu entități găzduite multiple.

Limitări ale securității datelor hibride cu entități găzduite multiple

Organizațiile partenere nu trebuie să aibă nicio implementare HDS existentă activă în Control Hub.
Organizațiile de entități găzduite sau de clienți care doresc să fie gestionate de un partener nu trebuie să aibă nicio implementare HDS existentă în Control Hub.
Odată ce HDS entitate găzduită multiplă este implementat de partener, toți utilizatorii organizațiilor client, precum și utilizatorii organizației partenere încep să utilizeze HDS entitate găzduită multiplă pentru serviciile lor de criptare.

Organizația parteneră și organizațiile clienților pe care le gestionează vor avea aceeași implementare HDS cu entități găzduite multiple.

Organizația parteneră nu va mai utiliza KMS în cloud după ce este implementat HDS cu entități găzduite multiple.
Nu există niciun mecanism de mutare a cheilor înapoi în Cloud KMS după o implementare HDS.
În prezent, fiecare implementare HDS cu entități găzduite multiple poate avea un singur cluster, cu mai multe noduri sub aceasta.
Rolurile de administrator au anumite limitări; consultați secțiunea de mai jos pentru detalii.

Roluri în securitatea datelor hibride cu entități găzduite multiple

Administrator complet pentru partener - Poate gestiona setările pentru toți clienții pe care partenerul îi administrează. De asemenea, poate aloca roluri de administrator utilizatorilor existenți în organizație și poate aloca anumiți clienți care urmează să fie gestionați de administratorii partenerilor.
Administrator partener - Poate gestiona setările pentru clienții pe care administratorul i-a asigurat sau care au fost alocați utilizatorului.
Administrator cu drepturi depline - Administrator al organizației partenere care este autorizat să efectueze sarcini precum modificarea setărilor organizației, gestionarea licențelor și atribuirea rolurilor.

Configurarea integrală a HDS cu entități găzduite multiple și gestionarea tuturor organizațiilor clienților - Sunt necesare drepturi de administrator complet pentru partener și drepturi de administrator complet.
Gestionarea organizațiilor de entități găzduite alocate - Sunt necesare drepturile de administrator partener și de administrator cu drepturi depline.

Arhitectura domeniului securitate

Arhitectura cloud Webex separă diferite tipuri de servicii în domenii sau domenii de încredere separate, așa cum este descris mai jos.

Pentru a înțelege mai bine Securitatea datelor hibride, să aruncăm o privire mai întâi la acest caz în cloud pur, în care Cisco oferă toate funcțiile din domeniile sale cloud. Serviciul de identitate, singurul loc în care utilizatorii pot fi corelați direct cu informațiile lor personale, cum ar fi adresa de e-mail, este separat logic și fizic de domeniul securității din centrul de date B. Ambele sunt la rândul lor separate de domeniul în care conținutul criptat este stocat în cele din urmă, în centrul de date C.

În această diagramă, clientul este Aplicația Webex care rulează pe laptopul unui utilizator și s-a autentificat în serviciul de identitate. Atunci când utilizatorul compune un mesaj pentru a-l trimite unui spațiu, se efectuează următorii pași:

Clientul stabilește o conexiune securizată cu serviciul de gestionare a cheilor (KMS), apoi solicită o cheie pentru a cripta mesajul. Conexiunea securizată utilizează ECDH, iar KMS criptează cheia utilizând o cheie principală AES-256.
Mesajul este criptat înainte de a părăsi clientul. Clientul îl trimite către serviciul de indexare, care creează indici de căutare criptați pentru a ajuta la căutările viitoare ale conținutului.
Mesajul criptat este trimis către serviciul de conformitate pentru verificări ale conformității.
Mesajul criptat este stocat în domeniul de stocare.

Când implementați Securitatea datelor hibride, mutați funcțiile domeniului de securitate (KMS, indexare și conformitate) în centrul dvs. de date local. Celelalte servicii cloud care alcătuiesc Webex (inclusiv stocarea identității și a conținutului) rămân în domeniile Cisco.

Colaborarea cu alte organizații

Utilizatorii din organizația dvs. pot utiliza în mod regulat Aplicația Webex pentru a colabora cu participanți externi din alte organizații. Când unul dintre utilizatorii dvs. solicită o cheie pentru un spațiu deținut de organizația dvs. (deoarece a fost creat de unul dintre utilizatorii dvs.), KMS-ul trimite cheia către client printr-un canal securizat ECDH. Cu toate acestea, atunci când o altă organizație deține cheia pentru spațiu, KMS-ul dvs. direcționează solicitarea către cloudul Webex printr-un canal ECDH separat pentru a obține cheia de la KMS corespunzător, apoi returnează cheia utilizatorului pe canalul original.

Serviciul KMS care rulează pe Org A validează conexiunile la KMS din alte organizații utilizând certificate x.509 PKI. Consultați Pregătiți mediul dvs. pentru detalii despre generarea unui certificat x.509 pentru a fi utilizat cu implementarea securității datelor hibride cu entități găzduite multiple.

Așteptări privind implementarea securității datelor hibride

O implementare a securității datelor hibride necesită un angajament semnificativ și o conștientizare a riscurilor asociate cu deținerea cheilor de criptare.

Pentru a implementa Securitatea datelor hibride, trebuie să furnizați:

Un centru de date securizat într-o țară care este o locație acceptată pentru planurile Cisco Webex Teams.
Echipamentul, software-ul și accesul la rețea descrise în Pregătiți mediul.

Pierderea completă a ISO-ului de configurare pe care îl creați pentru Securitatea datelor hibride sau a bazei de date pe care o furnizați va duce la pierderea cheilor. Pierderea cheii împiedică utilizatorii să decripteze conținutul spațiului și alte date criptate în Aplicația Webex. Dacă se întâmplă acest lucru, puteți construi o nouă implementare, dar va fi vizibil numai conținut nou. Pentru a evita pierderea accesului la date, trebuie să:

Gestionați copiile de siguranță și recuperarea bazei de date și a configurației ISO.
Fiți pregătiți pentru a efectua recuperarea rapidă în caz de dezastru în cazul în care se produce o catastrofă, cum ar fi eșecul discului bazei de date sau dezastrul centrului de date.

Nu există niciun mecanism de mutare a cheilor înapoi în Cloud după o implementare HDS.

Proces de configurare la nivel înalt

Acest document se referă la configurarea și gestionarea unei implementări a securității datelor hibride cu entități găzduite multiple:

Configurați Securitatea datelor hibride—Aceasta include pregătirea infrastructurii necesare și instalarea software-ului de securitate a datelor hibride, construirea unui cluster HDS, adăugarea de organizații găzduite în cluster și gestionarea cheilor principale ale clientului (CMK). Acest lucru va permite tuturor utilizatorilor din organizațiile client să utilizeze clusterul dvs. de securitate a datelor hibride pentru funcții de securitate.

Fazele de configurare, activare și gestionare sunt tratate în detaliu în următoarele trei capitole.
Mențineți implementarea securității datelor hibride—Webex cloud oferă automat upgrade-uri în curs. Departamentul dvs. IT poate oferi asistență de nivel unu pentru această implementare și poate implica asistența Cisco după cum este necesar. Puteți utiliza notificările pe ecran și puteți configura alerte pe bază de e-mail în Partner Hub.
Înțelegeți alertele obișnuite, pașii de depanare și problemele cunoscute—Dacă întâmpinați probleme la implementarea sau utilizarea Securității datelor hibride, ultimul capitol al acestui ghid și anexa Probleme cunoscute vă pot ajuta să identificați și să remediați problema.

Model de implementare a securității datelor hibride

În centrul de date al întreprinderii, implementați Securitatea datelor hibride ca un singur cluster de noduri pe gazde virtuale separate. Nodurile comunică cu cloudul Webex prin websocketuri securizate și HTTP securizat.

În timpul procesului de instalare, vă oferim fișierul OVA pentru a configura dispozitivul virtual pe VM-urile pe care le furnizați. Utilizați instrumentul de configurare HDS pentru a crea un fișier ISO de configurare a clusterului personalizat, pe care îl montați pe fiecare nod. Clusterul de securitate a datelor hibride utilizează serverul Syslogd furnizat și baza de date PostgreSQL sau Microsoft SQL Server. (Configurați detaliile de conectare Syslogd și a bazei de date în instrumentul de configurare HDS.)

Model de implementare a securității datelor hibride

Numărul minim de noduri pe care le puteți avea într-un cluster este de două. Vă recomandăm cel puțin trei per cluster. Existența mai multor noduri asigură faptul că serviciul nu este întrerupt în timpul unui upgrade de software sau al altei activități de întreținere pe un nod. (Cloudul Webex efectuează upgrade numai pentru un nod la un moment dat.)

Toate nodurile dintr-un cluster accesează același server de date cheie și jurnal de activitate la același server syslog. Nodurile în sine sunt apatride și gestionează solicitările cheie în modul round-robin, așa cum este direcționat de cloud.

Nodurile devin active atunci când le înscrieți în Partner Hub. Pentru a scoate din uz un nod individual, puteți să-l anulați înscrierea și să-l reînscrieți ulterior, dacă este necesar.

Centrul de date în așteptare pentru recuperarea după dezastre

În timpul implementării, configurați un centru de date în așteptare securizat. În cazul unui dezastru al centrului de date, puteți eșua manual implementarea la centrul de date în așteptare.

Bazele de date ale centrelor de date active și de așteptare sunt sincronizate unele cu altele, ceea ce va minimiza timpul necesar pentru efectuarea comutării automate.

Nodurile active de securitate a datelor hibride trebuie să fie întotdeauna în același centru de date ca serverul de baze de date active.

Suport proxy

Hybrid Data Security acceptă inspectarea explicită, transparentă și proxy-uri care nu inspectează. Puteți lega aceste proxy-uri de implementare, astfel încât să puteți securiza și monitoriza traficul de la întreprindere în cloud. Puteți utiliza o interfață de administrator de platformă pe nodurile pentru gestionarea certificatelor și pentru a verifica starea generală a conectivității după ce ați configurat proxy-ul pe noduri.

Nodurile hibride de securitate a datelor acceptă următoarele opțiuni proxy:

Fără proxy—Setare implicită dacă nu utilizați configurația nodului HDS Trust Store și Proxy pentru a integra un proxy. Nu este necesară actualizarea certificatului.
Proxy transparent fără inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy și nu ar trebui să necesite modificări pentru a funcționa cu un proxy fără inspectare. Nu este necesară actualizarea certificatului.
Proxy transparent pentru tunelare sau inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy. Nu sunt necesare modificări de configurare HTTP sau HTTPS pe noduri. Cu toate acestea, nodurile au nevoie de un certificat rădăcină, astfel încât să aibă încredere în proxy. Proxy-urile de inspectare sunt de obicei utilizate de IT pentru a aplica politici pe care site-urile web pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).
Proxy explicit- Cu proxy explicit, spuneți nodurilor HDS ce server proxy și ce schemă de autentificare să utilizați. Pentru a configura un proxy explicit, trebuie să introduceți următoarele informații pe fiecare nod:
1. IP/FQDN proxy—Adresa care poate fi utilizată pentru a accesa computerul proxy.
2. Port proxy—Un număr de port utilizat de proxy pentru a asculta traficul protejat.
3. Protocol proxy- În funcție de ceea ce acceptă serverul proxy, alegeți dintre următoarele protocoale:
  - HTTP - Vizualizează și controlează toate solicitările pe care le trimite clientul.
  - HTTPS - Oferă un canal serverului. Clientul primește și validează certificatul serverului.
4. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:
  - Fără—Nu este necesară mai multă autentificare.
    
    Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
  - De bază—Utilizat pentru un agent de utilizator HTTP care furnizează un nume de utilizator și o parolă atunci când efectuează o solicitare. Utilizează codificarea Base64.
    
    Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
    
    Vă solicită să introduceți numele de utilizator și parola pe fiecare nod.
  - Rezumat- Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite prin rețea.
    
    Disponibil numai dacă selectați HTTPS ca protocol proxy.
    
    Vă solicită să introduceți numele de utilizator și parola pe fiecare nod.

Exemplu de noduri hibride de securitate a datelor și proxy

Această diagramă afișează un exemplu de conexiune între securitatea datelor hibride, rețea și un proxy. Pentru opțiunile proxy de inspectare transparente și https explicit inspectare, același certificat rădăcină trebuie să fie instalat pe proxy și pe nodurile hibride de securitate a datelor.

Modul de rezolvare DNS extern blocat (configurații proxy explicite)

Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează căutarea DNS și conectivitatea la cloud-ul Cisco Webex. În implementările cu configurații proxy explicite care nu permit rezoluția DNS externă pentru clienții interni, dacă nodul nu poate interoga serverele DNS, acesta intră automat în modul Rezoluție DNS externă blocată. În acest mod, înregistrarea nodului și alte teste de conectivitate proxy pot continua.

Pregătiți mediul dvs.

Cerințe pentru securitatea datelor hibride cu entități găzduite multiple

Cerințe de licență Cisco Webex

Pentru a implementa securitatea datelor hibride cu entități găzduite multiple:

Organizații partenere: Contactați partenerul dvs. Cisco sau managerul de cont și asigurați-vă că funcția entitate găzduită multiplă este activată.
Organizații entitate găzduită: Trebuie să aveți pachetul Pro pentru Cisco Webex Control Hub. (Consultați https://www.cisco.com/go/pro-pack.)

Cerințe desktop docker

Înainte de a instala nodurile HDS, aveți nevoie de Docker Desktop pentru a rula un program de configurare. Docker și-a actualizat recent modelul de licențiere. Este posibil ca organizația să necesite un abonament plătit pentru Docker Desktop. Pentru detalii, consultați postarea de pe blogul Docker, " Docker actualizează și extinde abonamentele noastre de produse".

Cerințe certificat X.509

Lanțul de certificate trebuie să îndeplinească următoarele cerințe:

Tabelul 1. Cerințe privind certificatul X.509 pentru implementarea securității datelor hibride
Obligatoriu	Detalii
Semnat de o Autoritate de certificare (CA) de încredere	În mod implicit, avem încredere în CA-urile din lista Mozilla (cu excepția WoSign și StartCom) la https://wiki.mozilla.org/CA:IncludedCAs.
Conține un nume de domeniu comun (CN) care identifică implementarea securității datelor hibride Nu este un certificat wildcard	CN nu trebuie să fie accesibil sau gazdă live. Vă recomandăm să utilizați un nume care reflectă organizația dvs., de exemplu `hds.company.com`. NC nu trebuie să conțină un * (wildcard). CN este utilizat pentru a verifica nodurile de securitate a datelor hibride pentru clienții Aplicației Webex. Toate nodurile de securitate a datelor hibride din clusterul dvs. utilizează același certificat. KMS se identifică utilizând domeniul CN, nu orice domeniu definit în câmpurile SAN x.509v3. După ce ați înregistrat un nod cu acest certificat, nu acceptăm schimbarea numelui domeniului CN.
Semnătură non-SHA1	Software-ul KMS nu acceptă semnăturile SHA1 pentru validarea conexiunilor la KMS-urile altor organizații.
Formatat ca fișier PKCS #12 protejat prin parolă Utilizați numele prietenos al `kms-private-key` pentru a eticheta certificatul, cheia privată și orice certificate intermediare de încărcat.	Puteți utiliza un convertor, cum ar fi OpenSSL, pentru a schimba formatul certificatului. Va trebui să introduceți parola atunci când rulați instrumentul de configurare HDS.

Software-ul KMS nu impune utilizarea cheii sau restricțiile extinse de utilizare a cheii. Unele autorități de certificare solicită ca restricțiile extinse de utilizare a cheii să fie aplicate fiecărui certificat, cum ar fi autentificarea pe server. Este ok să utilizați autentificarea pe server sau alte setări.

Cerințe pentru gazda virtuală

Gazdele virtuale pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. au următoarele cerințe:

Cel puțin două gazde separate (3 recomandată) se află în același centru de date securizat
VMware ESXi 7.0 (sau o versiune ulterioară) instalat și rulează.

Trebuie să efectuați upgrade dacă aveți o versiune anterioară de ESXi.
Minimum 4 vCPU-uri, 8 GB memorie principală, 30 GB spațiu pe hard disk local per server

Cerințe server de bază de date

Creați o nouă bază de date pentru stocarea cheilor. Nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.

Există două opțiuni pentru serverul de bază de date. Cerințele pentru fiecare dintre acestea sunt următoarele:

Tabelul 2. Cerințele serverului de baze de date în funcție de tipul de bază de date
Parolă	Server Microsoft SQL
PostgreSQL 14, 15 sau 16, instalat și rulează.	Serverul SQL 2016, 2017, 2019 sau 2022 (Enterprise sau Standard) este instalat. Serverul SQL 2016 necesită Service Pack 2 și Actualizarea cumulativă 2 sau o versiune ulterioară.
Minimum 8 vCPU-uri, 16 GB memorie principală, spațiu suficient pe hard disk și monitorizare pentru a vă asigura că nu este depășită (se recomandă 2-TB dacă doriți să rulați baza de date pentru o lungă perioadă de timp fără a fi nevoie să creșteți spațiul de stocare)	Minimum 8 vCPU-uri, 16 GB memorie principală, spațiu suficient pe hard disk și monitorizare pentru a vă asigura că nu este depășită (se recomandă 2-TB dacă doriți să rulați baza de date pentru o lungă perioadă de timp fără a fi nevoie să creșteți spațiul de stocare)

Software-ul HDS instalează în prezent următoarele versiuni de drivere pentru comunicarea cu serverul de bază de date:

Parolă

Server Microsoft SQL

Driver Postgres JDBC 42.2.5

Driver 4.6 pentru serverul SQL JDBC

Această versiune de driver acceptă SQL Server activat permanent (Instanțe de cluster de reluare în caz de nereușită activată permanent și Grupuri de disponibilitate activate permanent).

Cerințe suplimentare pentru autentificarea Windows împotriva Microsoft SQL Server

Dacă doriți ca nodurile HDS să utilizeze autentificarea Windows pentru a obține acces la baza dvs. de date keystore pe Microsoft SQL Server, atunci aveți nevoie de următoarea configurație în mediul dvs.:

Nodurile HDS, infrastructura Active Directory și serverul MS SQL trebuie să fie sincronizate cu NTP.
Contul Windows pe care îl furnizați nodurilor HDS trebuie să aibă acces de citire/scriere la baza de date.
Serverele DNS pe care le furnizați nodurilor HDS trebuie să poată rezolva centrul de distribuție a cheilor (KDC).
Puteți înregistra instanța bazei de date HDS pe serverul Microsoft SQL ca nume principal al serviciului (SPN) în Active Directory. Consultați Înscrierea unui nume principal de serviciu pentru conexiunile Kerberos.

Instrumentul de configurare HDS, lansatorul HDS și KMS local trebuie să utilizeze autentificarea Windows pentru a accesa baza de date din keystore. Aceștia utilizează detaliile din configurația ISO pentru a construi SPN atunci când solicitați acces cu autentificarea Kerberos.

Cerințe de conectivitate externă

Configurați firewall-ul pentru a permite următoarea conectivitate pentru aplicațiile HDS:

Aplicație	Protocol	Port	Direcție din aplicație	Destinație
Noduri de securitate a datelor hibride	TCP	443	HTTPS și WSS de ieșire	Servere Webex: .wbx2.com .ciscospark.com Toate gazdele Common Identity Alte URL-uri listate pentru Securitatea datelor hibride în tabelul URL-uri suplimentare pentru serviciile hibride Webex din Cerințe de rețea pentru serviciile Webex
Instrument de configurare HDS	TCP	443	HTTPS de ieșire	*.wbx2.com Toate gazdele Common Identity hub.docker.com

Nodurile de securitate a datelor hibride funcționează cu traducerea accesului la rețea (NAT) sau în spatele unui firewall, atât timp cât NAT sau firewall permite conexiunile de ieșire necesare la destinațiile de domeniu din tabelul precedent. Pentru conexiunile de intrare la nodurile de securitate a datelor hibride, nu trebuie să fie vizibile porturi de pe internet. În cadrul centrului dvs. de date, clienții au nevoie de acces la nodurile de securitate a datelor hibride de pe porturile TCP 443 și 22, în scopuri administrative.

URL-urile pentru gazdele Common Identity (CI) sunt specifice regiunii. Acestea sunt gazdele CI actuale:

Regiune	URL-uri gazdă Common Identity
Țările din America	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Uniunea Europeană	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapore	https://idbroker-sg.webex.com https://identity-sg.webex.com
Emiratele Arabe Unite	https://idbroker-ae.webex.com https://identity-ae.webex.com

Cerințe server proxy

Acceptăm oficial următoarele soluții proxy care se pot integra cu nodurile hibride de securitate a datelor.
- Proxy transparent - Cisco Web Security Appliance (WSA).
- Proxy explicit - Calmar.
  
  Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea conexiunilor websocket (wss:). Pentru a rezolva această problemă, consultați Configurați proxy-urile Squid pentru securitatea datelor hibride.
Acceptăm următoarele combinații de tip de autentificare pentru proxy-uri explicite:
- Fără autentificare cu HTTP sau HTTPS
- Autentificare de bază cu HTTP sau HTTPS
- Autentificare digest numai cu HTTPS
Pentru un proxy de inspectare transparent sau un proxy explicit HTTPS, trebuie să aveți o copie a certificatului rădăcină al proxy-ului. Instrucțiunile de implementare din acest ghid vă spun cum să încărcați copia în depozitele de încredere ale nodurilor hibride de securitate a datelor.
Rețeaua care găzduiește nodurile HDS trebuie să fie configurată pentru a forța traficul TCP de ieșire pe portul 443 pentru a ruta prin proxy.
Proxy-urile care inspectează traficul web pot interfera cu conexiunile de soclu web. Dacă apare această problemă, ocolirea (nu inspectarea) traficului către wbx2.com și ciscospark.com va rezolva problema.

Completați cerințele preliminare pentru securitatea datelor hibride

Utilizați această listă de verificare pentru a vă asigura că sunteți gata să instalați și să configurați clusterul de securitate a datelor hibride.

1	Asigurați-vă că organizația dvs. parteneră are activată funcția HDS pentru entități găzduite multiple și obțineți acreditările unui cont cu administrator complet pentru partener și drepturi de administrator complet. Asigurați-vă că organizația client Webex este activată pentru Pachetul Pro pentru Cisco Webex Control Hub. Contactați-vă partenerul Cisco sau managerul de cont pentru ajutor cu acest proces. Organizațiile client nu trebuie să aibă nicio implementare HDS existentă.
2	Alegeți un nume de domeniu pentru implementarea HDS (de exemplu, `hds.company.com`) și obțineți un lanț de certificate care conține un certificat X.509, o cheie privată și orice certificate intermediare. Lanțul de certificate trebuie să îndeplinească cerințele din Cerințele de certificat X.509.
3	Pregătiți gazde virtuale identice pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. Aveți nevoie de cel puțin două gazde separate (3 recomandată) care să fie co-localizate în același centru de date securizat, care să îndeplinească cerințele din Cerințele gazdei virtuale.
4	Pregătiți serverul de bază de date care va acționa ca magazin de date cheie pentru cluster, în conformitate cu Cerințele serverului de bază de date. Serverul de baze de date trebuie să fie amplasat în centrul de date securizat cu gazdele virtuale. Creați o bază de date pentru stocarea cheilor. (Trebuie să creați această bază de date – nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.) Colectați detaliile pe care nodurile le vor utiliza pentru a comunica cu serverul de bază de date: numele gazdei sau adresa IP (gazdă) și portul numele bazei de date (dbname) pentru stocarea cheii numele de utilizator și parola unui utilizator cu toate privilegiile în baza de date de stocare a cheii
5	Pentru recuperare rapidă în caz de dezastru, configurați un mediu de rezervă într-un alt centru de date. Mediul de rezervă oglindește mediul de producție al VM-urilor și al unui server de baze de date de rezervă. De exemplu, dacă producția are 3 VM care rulează noduri HDS, mediul de rezervă trebuie să aibă 3 VM.
6	Configurați o gazdă syslog pentru a colecta jurnale de la nodurile din cluster. Colectați adresa de rețea și portul syslog (implicit este UDP 514).
7	Creați o politică de rezervă securizată pentru nodurile de securitate a datelor hibride, serverul de baze de date și gazda syslog. Cel puțin, pentru a preveni pierderea de date nerecuperabile, trebuie să efectuați o copie de rezervă a bazei de date și a fișierului ISO de configurare generat pentru nodurile de securitate a datelor hibride. Deoarece nodurile de securitate a datelor hibride stochează cheile utilizate la criptarea și decriptarea conținutului, nerespectarea menținerii unei implementări operaționale va duce la PIERDEREA IREVERSIBILĂ a conținutului respectiv. Clienții Aplicației Webex își ascund cheile, astfel încât este posibil ca o întrerupere să nu fie vizibilă imediat, dar va deveni evidentă în timp. În timp ce întreruperile temporare sunt imposibil de prevenit, acestea sunt recuperabile. Cu toate acestea, pierderea completă (nu sunt disponibile copii de siguranță) a bazei de date sau a fișierului ISO de configurare va avea ca rezultat date nerecuperabile ale clienților. Operatorii nodurilor de securitate a datelor hibride trebuie să mențină copii de siguranță frecvente ale bazei de date și ale fișierului ISO de configurare și să fie pregătiți să reconstruiască centrul de date de securitate a datelor hibride în cazul unei defecțiuni catastrofale.
8	Asigurați-vă că configurația firewallului permite conectivitatea pentru nodurile de securitate a datelor hibride, așa cum este descris în Cerințe de conectivitate externă.
9	Instalați Docker (https://www.docker.com) pe orice mașină locală care rulează un sistem de operare acceptat (Microsoft Windows 10 Professional sau Enterprise pe 64 de biți sau Mac OSX Yosemite 10.10.3 sau o versiune ulterioară) cu un browser web care îl poate accesa la http://127.0.0.1:8080. Utilizați instanța Docker pentru a descărca și rula instrumentul de configurare HDS, care generează informațiile de configurare locală pentru toate nodurile de securitate a datelor hibride. Este posibil să aveți nevoie de o licență Docker Desktop. Consultați Cerințe desktop docker pentru mai multe informații. Pentru a instala și rula instrumentul de configurare HDS, dispozitivul local trebuie să aibă conectivitatea descrisă în Cerințe de conectivitate externă.
10	Dacă integrați un proxy cu Securitatea datelor hibride, asigurați-vă că acesta îndeplinește Cerințele serverului proxy.

Configurați un cluster de securitate a datelor hibride

Fluxul de activități de implementare a securității datelor hibride

Înainte de a începe

1	Efectuați configurarea inițială și descărcați fișierele de instalare Descărcați fișierul OVA pe computerul dvs. local pentru utilizare ulterioară.
2	Crearea unui ISO de configurare pentru gazdele HDS Utilizați instrumentul de configurare HDS pentru a crea un fișier de configurare ISO pentru nodurile de securitate a datelor hibride.
3	Instalați gazda HDS OVA Creați o mașină virtuală din fișierul OVA și efectuați configurația inițială, cum ar fi setările de rețea. Opțiunea de a configura setările de rețea în timpul implementării OVA a fost testată cu ESXi 7.0. Este posibil ca această opțiune să nu fie disponibilă în versiunile anterioare.
4	Configurați VM de securitate a datelor hibride Conectați-vă la consola VM și setați acreditările de conectare. Configurați setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.
5	Încărcarea și montarea ISO de configurare HDS Configurați VM din fișierul de configurare ISO pe care l-ați creat cu instrumentul de configurare HDS.
6	Configurarea nodului HDS pentru integrarea proxy Dacă mediul de rețea necesită configurație proxy, specificați tipul de proxy pe care îl veți utiliza pentru nod și adăugați certificatul proxy la magazinul de încredere, dacă este necesar.
7	Înscrieți primul nod din cluster Înscrieți VM cu cloudul Cisco Webex ca nod de securitate a datelor hibride.
8	Creați și înscrieți mai multe noduri Finalizați configurarea clusterului.
9	Activați HDS cu entități găzduite multiple în Partner Hub. Activați HDS și gestionați organizațiile de entități găzduite în Partner Hub.

Efectuați configurarea inițială și descărcați fișierele de instalare

În această sarcină, descărcați un fișier OVA pe computerul dvs. (nu pe serverele pe care le configurați ca noduri de securitate a datelor hibride). Veți utiliza acest fișier mai târziu în procesul de instalare.

1	Conectați-vă la Partner Hub, apoi faceți clic pe Servicii.
2	În secțiunea Servicii cloud, găsiți cardul Securitate a datelor hibride, apoi faceți clic pe Configurare. Făcând clic pe Configurare în Partner Hub este esențial pentru procesul de implementare. Nu continuați cu instalarea fără a finaliza acest pas.
3	Faceți clic pe Adăugați o resursă și faceți clic pe Descărcați fișierul .OVA din cardul Instalare și configurare software . Versiunile mai vechi ale pachetului software (OVA) nu vor fi compatibile cu cele mai recente upgrade-uri de securitate a datelor hibride. Acest lucru poate duce la probleme în timpul upgrade-ului aplicației. Asigurați-vă că descărcați cea mai recentă versiune a fișierului OVA. De asemenea, puteți descărca OVA în orice moment din secțiunea Ajutor . Faceți clic pe Setări > Ajutor > Descărcați software-ul de securitate a datelor hibride. Fișierul OVA începe automat descărcarea. Salvați fișierul într-o locație de pe computerul dvs.
4	Opțional, faceți clic pe Consultați ghidul de implementare a securității datelor hibride pentru a verifica dacă există o versiune ulterioară a acestui ghid disponibilă.

Crearea unui ISO de configurare pentru gazdele HDS

Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi, utilizați ISO pentru a configura gazda de securitate a datelor hibride.

Înainte de a începe

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită detaliile de autentificare ale unui cont Partner Hub cu drepturi de administrator depline.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker la pasul 5 de mai jos. Acest tabel oferă câteva posibile variabile de mediu:

Descriere

Variabilă

Proxy HTTP fără autentificare

_AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT

Proxy HTTPS fără autentificare

_AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT

Proxy HTTP cu autentificare

_AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT

Proxy HTTPS cu autentificare

_AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT
Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier ori de câte ori efectuați modificări de configurație, cum ar fi:
- Acreditări bază de date
- Actualizări certificat
- Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile bazei de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

1

La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.:

În medii obișnuite:

configurare rmi ciscocitg/hds: stabil

În mediile FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.

2

Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele:

docker login -u hdscustomersro

3

La solicitarea parolei, introduceți acest hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Descărcați cea mai recentă imagine stabilă pentru mediul dvs.:

În medii obișnuite:

configurație ciscocitg/hds docker: stabil

În mediile FedRAMP:

docker extragere ciscocitg/hds-setup-fedramp:stabil

5

Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.:

În medii obișnuite fără un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

În medii obișnuite cu un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

În medii obișnuite cu un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

În mediile FedRAMP fără un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

În mediile FedRAMP cu un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

În mediile FedRAMP cu un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”.

6

Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală.

Utilizați un browser web pentru a accesa gazda locală http://127.0.0.1:8080 și a introduce numele de utilizator de administrator pentru Partner Hub la solicitare.

Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul corespunzător pentru acel cont. Instrumentul afișează apoi mesajul standard de conectare.

7

Când vi se solicită, introduceți acreditările de conectare de administrator Partner Hub, apoi faceți clic pe Conectați-vă pentru a permite accesul la serviciile necesare pentru Securitatea datelor hibride.

8

Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Începeți.

9

Pe pagina Import ISO aveți aceste opțiuni:

Nu—Dacă creați primul nod HDS, nu aveți un fișier ISO de încărcat.
Da—Dacă ați creat deja noduri HDS, selectați fișierul ISO în răsfoire și încărcați-l.

10

Verificați dacă certificatul dvs. X.509 îndeplinește cerințele din Cerințele privind certificatul X.509.

Dacă nu ați încărcat niciodată un certificat înainte, încărcați certificatul X.509, introduceți parola și faceți clic pe Continuați.
Dacă certificatul este OK, faceți clic pe Continuați.
Dacă certificatul dvs. a expirat sau doriți să îl înlocuiți, selectați Nu pentru Continuați să utilizați lanțul de certificate HDS și cheia privată din ISO anterioară?. Încărcați un nou certificat X.509, introduceți parola și faceți clic pe Continuați.

11

Introduceți adresa bazei de date și contul pentru HDS pentru a accesa baza de date cheie:

Selectați Tipul bazei de date (PostgreSQL sau Microsoft SQL Server).

Dacă alegeți Microsoft SQL Server, obțineți un câmp Tip de autentificare.
(Numai Microsoft SQL Server ) Selectați tipul de autentificare:
- Autentificare de bază: Aveți nevoie de un nume de cont SQL Server local în câmpul Nume de utilizator .
- Autentificare Windows: Aveți nevoie de un cont Windows în formatul nume de utilizator@DOMENIU în câmpul Nume de utilizator .
Introduceți adresa serverului de bază de date în forma : sau :.

Exemplu:
dbhost.example.org:1433 sau 198.51.100.17:1433

Puteți utiliza o adresă IP pentru autentificarea de bază, dacă nodurile nu pot utiliza DNS pentru a rezolva numele gazdei.

Dacă utilizați autentificarea Windows, trebuie să introduceți un Nume de domeniu complet calificat, în formatul dbhost.example.org:1433
Introduceți Numele bazei de date.
Introduceți Nume de utilizator și Parolă ale unui utilizator cu toate privilegiile în baza de date de stocare a cheilor.

12

Selectați un Mod de conectare la baza de date TLS:

Mod	Descriere
Preferați TLS (opțiune implicită)	Nodurile HDS nu necesită TLS pentru a se conecta la serverul de baze de date. Dacă activați TLS pe serverul bazei de date, nodurile încearcă o conexiune criptată.
Necesită TLS	Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS.
Solicitați TLS și verificați semnatarul certificatului	Acest mod nu se aplică pentru bazele de date SQL Server. Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS. După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de la serverul de baze de date cu autoritatea de certificare din Certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul scade conexiunea. Utilizați controlul certificat rădăcină bază de date sub lista verticală pentru a încărca certificatul rădăcină pentru această opțiune.
Solicitați TLS și verificați semnatarul certificatului și numele de gazdă	Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS. După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de la serverul de baze de date cu autoritatea de certificare din Certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul scade conexiunea. Nodurile verifică, de asemenea, dacă numele gazdei din certificatul de server se potrivește cu numele gazdei din câmpul Gazdă și port bază de date . Numele trebuie să se potrivească exact sau nodul scade conexiunea. Utilizați controlul certificat rădăcină bază de date sub lista verticală pentru a încărca certificatul rădăcină pentru această opțiune.

Când încărcați certificatul rădăcină (dacă este necesar) și faceți clic pe Continuați, instrumentul de configurare HDS testează conexiunea TLS la serverul de baze de date. Instrumentul verifică, de asemenea, semnatarul certificatului și numele de gazdă, dacă este cazul. Dacă un test nu reușește, instrumentul afișează un mesaj de eroare care descrie problema. Puteți alege dacă să ignorați eroarea și să continuați cu configurarea. (Din cauza diferențelor de conectivitate, nodurile HDS pot stabili conexiunea TLS, chiar dacă mașina instrumentului de configurare HDS nu o poate testa cu succes.)

13

Pe pagina Jurnale de sistem, configurați serverul Syslogd:

Introduceți URL-ul serverului syslog.

Dacă serverul nu este rezolvabil prin DNS de la noduri pentru clusterul dvs. HDS, utilizați o adresă IP în URL.

Exemplu:
udp://10.92.43.23:514 indică conectarea la gazda Syslogd 10.92.43.23 la portul UDP 514.
Dacă configurați serverul să utilizeze criptarea TLS, bifați Serverul syslog este configurat pentru criptarea SSL?.

Dacă bifați această casetă de selectare, asigurați-vă că introduceți un URL TCP, cum ar fi tcp://10.92.43.23:514.
Din lista derulantă Choose syslog recording termination (Alegeți înregistrarea syslog), alegeți setarea corespunzătoare pentru fișierul ISO: Alegeți dacă se utilizează linia nouă pentru Graylog și Rsyslog TCP
- Biți nuli -- \x00
- Linie nouă -- \n—Selectați această opțiune pentru Graylog și Rsyslog TCP.
Faceți clic pe Continuați.

14

(Opțional) Puteți modifica valoarea implicită pentru unii parametri de conexiune la baza de date în Setări avansate. În general, acest parametru este singurul parametru pe care s-ar putea să îl modificați:

app_datasource_connection_pool_maxMărime: 10

15

Faceți clic pe Continuați pe ecranul Resetați parola conturilor de serviciu .

Parolele conturilor de servicii au o durată de viață de nouă luni. Utilizați acest ecran când parolele se apropie de expirare sau doriți să le resetați pentru a anula fișierele ISO anterioare.

16

Faceți clic pe Descărcați fișierul ISO. Salvați fișierul într-o locație ușor de găsit.

17

Faceți o copie de rezervă a fișierului ISO în sistemul local.

Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la acei administratori de securitate a datelor hibride care ar trebui să efectueze modificări de configurație.

18

Pentru a închide instrumentul de configurare, tastați CTRL+C.

Ce este de făcut în continuare

Copie de rezervă a fișierului ISO de configurare. Aveți nevoie de acesta pentru a crea mai multe noduri pentru recuperare sau pentru a efectua modificări de configurație. Dacă pierdeți toate copiile fișierului ISO, ați pierdut și cheia principală. Recuperarea cheilor din baza de date PostgreSQL sau Microsoft SQL Server nu este posibilă.

Nu avem niciodată o copie a acestei chei și nu vă putem ajuta dacă o pierdeți.

Instalați gazda HDS OVA

Utilizați această procedură pentru a crea o mașină virtuală din fișierul OVA.

1	Utilizați clientul VMware vSphere de pe computerul dvs. pentru a vă conecta la gazda virtuală ESXi.
2	Selectați Fișier > Implementare șablon OVF.
3	În expert, specificați locația fișierului OVA pe care l-ați descărcat mai devreme, apoi faceți clic pe Înainte.
4	Pe pagina Selectați un nume și un folder , introduceți un Nume mașină virtuală pentru nod (de exemplu, „HDS_Node_1”), alegeți o locație în care poate fi găzduită implementarea nodului mașinii virtuale, apoi faceți clic pe Înainte.
5	Pe pagina Selectați o resursă de calcul , alegeți resursa de calcul de destinație, apoi faceți clic pe Înainte. Se execută o verificare de validare. După ce se termină, apar detaliile șablonului.
6	Verificați detaliile șablonului, apoi faceți clic pe Înainte.
7	Dacă vi se solicită să alegeți configurația resursei pe pagina Configurare , faceți clic pe 4 CPU , apoi faceți clic pe Înainte.
8	Pe pagina Selectați spațiul de stocare , faceți clic pe Înainte pentru a accepta formatul de disc și politica de stocare VM implicită.
9	Pe pagina Selectați rețele , selectați opțiunea de rețea din lista de intrări pentru a asigura conectivitatea dorită la VM.
10	Pe pagina Particularizare șablon , configurați următoarele setări de rețea: Nume gazdă—Introduceți FQDN (nume de gazdă și domeniu) sau un singur cuvânt nume de gazdă pentru nod. Nu este necesar să setați domeniul ca să corespundă domeniului pe care l-ați utilizat pentru a obține certificatul X.509. Pentru a asigura o înregistrare reușită în cloud, utilizați numai caractere mici în FQDN sau numele gazdei pe care l-ați setat pentru nod. Capitalizarea nu este acceptată în acest moment. Lungimea totală a FQDN nu trebuie să depășească 64 de caractere. Adresă IP— Introduceți adresa IP pentru interfața internă a nodului. Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat. Mască—Introduceți adresa măștii de subrețea în notație cu zecimale. De exemplu, 255.255.255.0. Gateway – Introduceți adresa IP a gateway-ului. Un gateway este un nod de rețea care servește ca punct de acces la o altă rețea. Servere DNS—Introduceți o listă de servere DNS separate prin virgulă, care se ocupă de traducerea numelor de domenii în adrese IP numerice. (Sunt permise până la 4 intrări DNS.) Servere NTP – Introduceți serverul NTP al organizației dvs. sau alt server NTP extern care poate fi utilizat în organizația dvs. Este posibil ca serverele NTP implicite să nu funcționeze pentru toate întreprinderile. De asemenea, puteți utiliza o listă separată prin virgulă pentru a introduce mai multe servere NTP. Implementați toate nodurile din aceeași subrețea sau VLAN, astfel încât toate nodurile dintr-un cluster să fie accesibile de la clienții din rețeaua dvs., în scopuri administrative. Dacă preferați, puteți sări peste configurația setărilor de rețea și să urmați pașii din Configurați VM de securitate a datelor hibride pentru a configura setările de la consola de nod. Opțiunea de a configura setările de rețea în timpul implementării OVA a fost testată cu ESXi 7.0. Este posibil ca această opțiune să nu fie disponibilă în versiunile anterioare.
11	Faceți clic dreapta pe VM nod, apoi alegeți Alimentare > Alimentare pornită. Software-ul de securitate a datelor hibride este instalat ca invitat pe gazda VM. Acum sunteți gata să vă conectați la consolă și să configurați nodul. Sfaturi de depanare Este posibil să întâmpinați o întârziere de câteva minute înainte de apariția containerelor nodului. În timpul primei boot-ări, apare un mesaj firewall de punte pe consolă, în timpul căruia nu vă puteți conecta.

Configurați VM de securitate a datelor hibride

Utilizați această procedură pentru a vă conecta pentru prima dată la consola VM a nodului de securitate a datelor hibride și a seta acreditările de conectare. De asemenea, puteți utiliza consola pentru a configura setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.

1	În clientul VMware vSphere, selectați VM nodul de securitate a datelor hibride și selectați fila Consolă . VM pornește și apare o solicitare de conectare. Dacă mesajul de conectare nu se afișează, apăsați Enter.
2	Utilizați următoarele date de conectare și parolă implicite pentru a vă conecta și a modifica datele de autentificare: Conectați-vă: `administrator` Parolă: `cisco (dezambiguizare)` Din moment ce vă conectați pentru prima dată la VM, trebuie să schimbați parola de administrator.
3	Dacă ați configurat deja setările de rețea în Instalați OVA gazdă HDS, omiteți restul acestei proceduri. În caz contrar, selectați opțiunea Editare configurație din meniul principal.
4	Configurați o configurație statică cu informații despre adresa IP, mască, gateway și DNS. Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat.
5	(Opțional) Schimbați numele de gazdă, domeniul sau serverul(serverele) NTP, dacă este necesar pentru a corespunde politicii dvs. de rețea. Nu este necesar să setați domeniul ca să corespundă domeniului pe care l-ați utilizat pentru a obține certificatul X.509.
6	Salvați configurația de rețea și reporniți VM pentru ca modificările să aibă efect.

Încărcarea și montarea ISO de configurare HDS

Utilizați această procedură pentru a configura mașina virtuală din fișierul ISO pe care l-ați creat cu instrumentul de configurare HDS.

Înainte de a începe

Deoarece fișierul ISO deține cheia principală, acesta ar trebui să fie expus numai pe baza necesității de a cunoaște, pentru accesul VM-urilor de securitate a datelor hibride și al oricăror administratori care ar putea fi nevoiți să facă modificări. Asigurați-vă că numai acei administratori pot accesa dataStore.

1

Încărcați fișierul ISO de pe computerul dvs.:

În panoul de navigare stânga al clientului VMware vSphere, faceți clic pe serverul ESXi.
În lista Hardware a filei Configurare, faceți clic pe Stocare.
În lista Datastores, faceți clic dreapta pe datastore pentru VM-urile dvs. și faceți clic pe Răsfoiți Datastore.
Faceți clic pe pictograma Încărcare fișiere, apoi faceți clic pe Încărcare fișier.
Navigați la locația în care ați descărcat fișierul ISO pe computer și faceți clic pe Deschidere.
Faceți clic pe Da pentru a accepta avertismentul operațiunii de încărcare/descărcare și a închide caseta de dialog a datelor.

2

Montează fișierul ISO:

În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările.
Faceți clic pe OK pentru a accepta avertismentul cu opțiuni de editare restricționate.
Faceți clic pe CD/DVD Drive 1, selectați opțiunea de montare dintr-un fișier ISO de bază de date și navigați la locația în care ați încărcat fișierul ISO de configurare.
Bifați opțiunea Conectat și Conectare la pornire.
Salvați modificările și reporniți mașina virtuală.

Ce este de făcut în continuare

Dacă politica IT solicită, puteți, opțional, să demontați fișierul ISO după ce toate nodurile preiau modificările de configurație. Consultați (Opțional) Demontați ISO după configurarea HDS pentru detalii.

Configurarea nodului HDS pentru integrarea proxy

Dacă mediul de rețea necesită un proxy, utilizați această procedură pentru a specifica tipul de proxy pe care doriți să îl integrați cu Securitatea datelor hibride. Dacă alegeți un proxy de inspectare transparent sau un proxy explicit HTTPS, puteți utiliza interfața nodului pentru a încărca și instala certificatul rădăcină. De asemenea, puteți verifica conexiunea proxy din interfață și puteți depana orice probleme potențiale.

Înainte de a începe

Consultați Suport proxy pentru o prezentare generală a opțiunilor proxy acceptate.
Cerințe server proxy

1	Introduceți URL-ul de configurare a nodului HDS `https://[HDS Node IP sau FQDN]/setup` într-un browser web, introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.
2	Accesați Trust Store & Proxy, apoi alegeți o opțiune: Fără proxy—Opțiunea implicită înainte de a integra un proxy. Nu este necesară actualizarea certificatului. Proxy transparent fără inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy și nu ar trebui să necesite modificări pentru a funcționa cu un proxy fără inspectare. Nu este necesară actualizarea certificatului. Proxy de inspectare transparent—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy. Nu sunt necesare modificări de configurare HTTPS pe implementarea hibride de securitate a datelor, cu toate acestea, nodurile HDS au nevoie de un certificat rădăcină, astfel încât acestea să aibă încredere în proxy. Proxy-urile de inspectare sunt de obicei utilizate de IT pentru a aplica politici pe care site-urile web pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS). Proxy explicit—Cu proxy explicit, spuneți clientului (nodurilor HDS) ce server proxy să utilizeze, iar această opțiune acceptă mai multe tipuri de autentificare. După ce alegeți această opțiune, trebuie să introduceți următoarele informații: IP/FQDN proxy—Adresa care poate fi utilizată pentru a accesa computerul proxy. Port proxy—Un număr de port utilizat de proxy pentru a asculta traficul protejat. Protocol proxy—Alegeți http (vizualizează și controlează toate solicitările primite de la client) sau https (oferă un canal către server, iar clientul primește și validează certificatul serverului). Alegeți o opțiune în funcție de ceea ce acceptă serverul proxy. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare: Fără—Nu este necesară mai multă autentificare. Disponibil pentru proxy-uri HTTP sau HTTPS. De bază—Utilizat pentru un agent de utilizator HTTP care furnizează un nume de utilizator și o parolă atunci când efectuează o solicitare. Utilizează codificarea Base64. Disponibil pentru proxy-uri HTTP sau HTTPS. Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola. Rezumat- Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite prin rețea. Disponibil numai pentru proxy-uri HTTPS. Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola. Urmați pașii următori pentru un proxy de inspectare transparent, un proxy explicit HTTP cu autentificare de bază sau un proxy explicit HTTPS.
3	Faceți clic pe Încărcare certificat rădăcină sau certificat de entitate de sfârșit , apoi navigați la o alegeți certificatul rădăcină pentruproxy. Certificatul este încărcat, dar nu este încă instalat, deoarece trebuie să reporniți nodul pentru a instala certificatul. Faceți clic pe săgeata ghilimelei unghiulare de numele emitentului certificatului pentru a obține mai multe detalii sau faceți clic pe Ștergere dacă ați făcut o greșeală și doriți să reîncărcați fișierul.
4	Faceți clic pe Verificare conexiune proxy pentru a testa conectivitatea la rețea între nod și proxy. Dacă testul de conexiune nu reușește, veți vedea un mesaj de eroare care arată motivul și modul în care puteți corecta problema. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a reușit, nodul nu a reușit să ajungă la serverul DNS. Această condiție este de așteptat în multe configurații proxy explicite. Puteți continua configurarea, iar nodul va funcționa în modul Rezoluție DNS externă blocată. Dacă considerați că aceasta este o eroare, parcurgeți acești pași și apoi consultați Dezactivare mod rezoluție DNS externă blocată.
5	După ce trece testul de conexiune, pentru proxy explicit setat la https numai, activați comutatorul pentru a ruta toate port 443/444 https solicitările de la acest nod prin proxy explicit. Această setare necesită 15 secunde pentru a intra în vigoare.
6	Faceți clic pe Instalare toate certificatele în Depozitul de încredere (apare pentru un proxy explicit HTTPS sau un proxy de inspectare transparent) sau pe Repornire (apare pentru un proxy explicit HTTP), citiți solicitarea, apoi faceți clic pe Instalare dacă sunteți gata. Nodul repornește în câteva minute.
7	După repornirea nodului, conectați-vă din nou, dacă este necesar, apoi deschideți pagina Prezentare generală pentru a verifica verificările de conectivitate pentru a vă asigura că toate sunt în stare verde. Verificarea conexiunii proxy testează numai un subdomeniu de webex.com. Dacă există probleme de conectivitate, o problemă comună este că unele dintre domeniile cloud listate în instrucțiunile de instalare sunt blocate la proxy.

Înscrieți primul nod din cluster

Această sarcină preia nodul generic pe care l-ați creat în Configurați VM de securitate a datelor hibride, înregistrează nodul în cloudul Webex și îl transformă într-un nod de securitate a datelor hibride.

Când înscrieți primul nod, creați un cluster căruia îi este atribuit nodul. Un cluster conține unul sau mai multe noduri implementate pentru a asigura redundanța.

Înainte de a începe

După ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți din nou.
Asigurați-vă că orice blocare a ferestrelor pop-up din browser este dezactivată sau că permiteți o excepție pentru admin.webex.com.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți cardul Securitate a datelor hibride și faceți clic pe Configurare.
4	În pagina care se deschide, faceți clic pe Adăugați o resursă.
5	În primul câmp al cardului Adăugați un nod , introduceți un nume pentru clusterul căruia doriți să îi atribuiți nodul de securitate a datelor hibride. Vă recomandăm să denumiți un cluster în funcție de locul geografic în care se află nodurile clusterului. Exemple: "San Francisco" sau "New York" sau "Dallas"
6	În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Adăugare în partea de jos a ecranului. Această adresă IP sau FQDN trebuie să corespundă adresei IP sau numelui gazdei și domeniului pe care le-ați utilizat în Configurați VM de securitate a datelor hibride. Apare un mesaj care indică faptul că vă puteți înscrie nodul în Webex.
7	Faceți clic pe Accesați nodul. După câteva momente, veți fi redirecționat(ă) către testele de conectivitate a nodului pentru serviciile Webex. Dacă toate testele sunt reușite, apare pagina Permiteți accesul la Nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați organizației dvs. Webex permisiuni pentru a vă accesa nodul.
8	Bifați caseta de selectare Permiteți accesul la nodul de securitate a datelor hibride , apoi faceți clic pe Continuați. Contul dvs. este validat, iar mesajul „Înscriere finalizată” indică faptul că nodul dvs. este acum înscris în cloudul Webex.
9	Faceți clic pe link sau închideți fila pentru a reveni la pagina Securitatea datelor hibride Partner Hub. Pe pagina Securitatea datelor hibride , noul cluster care conține nodul pe care l-ați înscris este afișat în fila Resurse . Nodul va descărca automat cel mai recent software din cloud.

Creați și înscrieți mai multe noduri

Pentru a adăuga noduri suplimentare la clusterul dvs., trebuie doar să creați VM suplimentare și să montați același fișier ISO de configurare, apoi să înregistrați nodul. Vă recomandăm să aveți cel puțin 3 noduri.

Înainte de a începe

După ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți din nou.
Asigurați-vă că orice blocare a ferestrelor pop-up din browser este dezactivată sau că permiteți o excepție pentru admin.webex.com.

1	Creați o nouă mașină virtuală din OVA, repetând pașii din Instalați OVA gazdă HDS.
2	Configurați configurația inițială pe noul VM, repetând pașii din Configurați VM de securitate a datelor hibride.
3	Pe noul VM, repetați pașii din Încărcarea și montarea ISO de configurare HDS.
4	Dacă configurați un proxy pentru implementarea dvs., repetați pașii din Configurați nodul HDS pentru integrarea proxy după cum este necesar pentru nodul nou.
5	Înscrieți nodul. În https://admin.webex.com, selectați Servicii din meniul din partea stângă a ecranului. În secțiunea Servicii cloud, găsiți cardul Securitate a datelor hibride și faceți clic pe Vizualizați toate. Apare pagina Resurse de securitate a datelor hibride. Clusterul nou creat va apărea în pagina Resurse . Faceți clic pe cluster pentru a vizualiza nodurile alocate clusterului. Faceți clic pe Adăugați un nod în partea dreaptă a ecranului. Introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Adăugați. Se deschide o pagină cu un mesaj care indică faptul că vă puteți înscrie nodul în cloudul Webex. După câteva momente, veți fi redirecționat(ă) către testele de conectivitate a nodului pentru serviciile Webex. Dacă toate testele sunt reușite, apare pagina Permiteți accesul la Nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați organizației dvs. permisiuni pentru a vă accesa nodul. Bifați caseta de selectare Permiteți accesul la nodul de securitate a datelor hibride , apoi faceți clic pe Continuați. Contul dvs. este validat, iar mesajul „Înscriere finalizată” indică faptul că nodul dvs. este acum înscris în cloudul Webex. Faceți clic pe link sau închideți fila pentru a reveni la pagina Securitatea datelor hibride Partner Hub. Mesajul pop-up Adăugat la nod apare, de asemenea, în partea de jos a ecranului din Partner Hub. Nodul dvs. este înregistrat.

Gestionați organizațiile entității găzduite pe securitatea datelor hibride cu entități găzduite multiple

Activați HDS cu entități găzduite multiple în Partner Hub

Această sarcină asigură că toți utilizatorii organizațiilor client pot începe să utilizeze HDS pentru cheile de criptare locale și alte servicii de securitate.

Înainte de a începe

Asigurați-vă că ați finalizat configurarea clusterului HDS cu entități găzduite multiple cu numărul necesar de noduri.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Editare setări.
4	Faceți clic pe Activare HDS pe cardul Stare HDS .

Adăugați organizații ale entităților găzduite în Partner Hub

În această sarcină, alocați organizații client la Clusterul dvs. de securitate a datelor hibride.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Vizualizați toate.
4	Faceți clic pe clusterul căruia doriți să i se atribuie un client.
5	Accesați fila Clienți alocați .
6	Faceți clic pe Adăugați clienți.
7	Selectați clientul pe care doriți să îl adăugați din meniul derulant.
8	Faceți clic pe Adăugare, clientul va fi adăugat la cluster.
9	Repetați pașii 6-8 pentru a adăuga mai mulți clienți la clusterul dvs.
10	Faceți clic pe Gata în partea de jos a ecranului după ce ați adăugat clienții.

Ce este de făcut în continuare

Rulați instrumentul de configurare HDS conform detaliilor din Creați chei principale ale clientului (CMK) utilizând instrumentul de configurare HDS pentru a finaliza procesul de configurare.

Creați chei principale ale clientului (CMK) utilizând instrumentul de configurare HDS

Înainte de a începe

Alocați clienți la clusterul corespunzător, după cum este detaliat în Adăugați organizații găzduite în Partner Hub. Rulați instrumentul de configurare HDS pentru a finaliza procesul de configurare pentru organizațiile client nou adăugate.

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită detaliile de autentificare ale unui cont Partner Hub cu drepturi de administrator depline pentru organizația dvs.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker la pasul 5. Acest tabel oferă câteva posibile variabile de mediu:

Descriere	Variabilă
Proxy HTTP fără autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS fără autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP cu autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT`
Proxy HTTPS cu autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT`

Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier ori de câte ori efectuați modificări de configurație, cum ar fi:
- Acreditări bază de date
- Actualizări certificat
- Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile bazei de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi, utilizați ISO pentru a configura gazda de securitate a datelor hibride.

1	La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite: `configurare rmi ciscocitg/hds: stabil` În mediile FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.
2	Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele: `docker login -u hdscustomersro`
3	La solicitarea parolei, introduceți acest hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite: `configurație ciscocitg/hds docker: stabil` În mediile FedRAMP: `docker extragere ciscocitg/hds-setup-fedramp:stabil`
5	Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În mediile FedRAMP fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”.
6	Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală. Utilizați un browser web pentru a accesa gazda locală `http://127.0.0.1:8080` și a introduce numele de utilizator de administrator pentru Partner Hub la solicitare. Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul corespunzător pentru acel cont. Instrumentul afișează apoi mesajul standard de conectare.
7	Când vi se solicită, introduceți acreditările de conectare de administrator Partner Hub, apoi faceți clic pe Conectați-vă pentru a permite accesul la serviciile necesare pentru Securitatea datelor hibride.
8	Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Începeți.
9	Pe pagina Import ISO , faceți clic pe Da.
10	Selectați fișierul dvs. ISO în browser și încărcați-l. Asigurați conexiunea la baza dvs. de date pentru a efectua gestionarea CMK.
11	Accesați fila Administrare CMK entitate găzduită , unde veți găsi următoarele trei modalități de a gestiona CMK entitate găzduită. Creare CMK pentru toate ORGANIZAȚIILE sau Creare CMK - Faceți clic pe acest buton de pe bannerul din partea de sus a ecranului pentru a crea CMK pentru toate organizațiile nou adăugate. Faceți clic pe butonul Gestionare CMK din partea dreaptă a ecranului și faceți clic pe Creare CMK pentru a crea CMK-uri pentru toate organizațiile nou adăugate. Faceți clic… lângă starea în așteptare a gestionării CMK a unei anumite organizații din tabel și faceți clic pe Creați CMK pentru a crea CMK pentru organizația respectivă.
12	Odată ce crearea CMK reușește, starea din tabel se va schimba din În așteptare gestionare CMK în Gestionat CMK.
13	Dacă crearea CMK nu reușește, se va afișa o eroare.

Eliminați organizațiile entității găzduite

Înainte de a începe

După eliminare, utilizatorii organizațiilor client nu vor putea folosi HDS pentru nevoile lor de criptare și vor pierde toate spațiile existente. Înainte de a elimina organizațiile client, contactați-vă partenerul Cisco sau managerul de cont.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Vizualizați toate.
4	În fila Resurse , faceți clic pe clusterul din care doriți să eliminați organizațiile client.
5	În pagina care se deschide, faceți clic pe Clienți alocați.
6	Din lista de organizații client care se afișează, faceți clic pe ... în partea dreaptă a organizației client pe care doriți să o eliminați și faceți clic pe Eliminare din cluster.

Ce este de făcut în continuare

Finalizați procesul de eliminare prin revocarea CMK-urilor organizațiilor client, așa cum este detaliat în Revocarea CMK-urilor entităților găzduite eliminate din HDS.

Revocați CMK-urile entităților găzduite eliminate din HDS.

Înainte de a începe

Eliminați clienții din clusterul corespunzător, așa cum este detaliat în Eliminați organizațiile entității găzduite. Rulați instrumentul de configurare HDS pentru a finaliza procesul de eliminare pentru organizațiile client care au fost eliminate.

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită detaliile de autentificare ale unui cont Partner Hub cu drepturi de administrator depline pentru organizația dvs.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker la pasul 5. Acest tabel oferă câteva posibile variabile de mediu:

Descriere	Variabilă
Proxy HTTP fără autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS fără autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP cu autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT`
Proxy HTTPS cu autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT`

Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier ori de câte ori efectuați modificări de configurație, cum ar fi:
- Acreditări bază de date
- Actualizări certificat
- Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile bazei de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi, utilizați ISO pentru a configura gazda de securitate a datelor hibride.

1	La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite: `configurare rmi ciscocitg/hds: stabil` În mediile FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.
2	Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele: `docker login -u hdscustomersro`
3	La solicitarea parolei, introduceți acest hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite: `configurație ciscocitg/hds docker: stabil` În mediile FedRAMP: `docker extragere ciscocitg/hds-setup-fedramp:stabil`
5	Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În mediile FedRAMP fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”.
6	Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală. Utilizați un browser web pentru a accesa gazda locală `http://127.0.0.1:8080` și a introduce numele de utilizator de administrator pentru Partner Hub la solicitare. Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul corespunzător pentru acel cont. Instrumentul afișează apoi mesajul standard de conectare.
7	Când vi se solicită, introduceți acreditările de conectare de administrator Partner Hub, apoi faceți clic pe Conectați-vă pentru a permite accesul la serviciile necesare pentru Securitatea datelor hibride.
8	Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Începeți.
9	Pe pagina Import ISO , faceți clic pe Da.
10	Selectați fișierul dvs. ISO în browser și încărcați-l.
11	Accesați fila Administrare CMK entitate găzduită , unde veți găsi următoarele trei modalități de a gestiona CMK entitate găzduită. Revocare CMK pentru toate ORGANIZAȚIILE sau Revocare CMK - Faceți clic pe acest buton de pe bannerul din partea de sus a ecranului pentru a revoca CMK-urile tuturor organizațiilor care au fost eliminate. Faceți clic pe butonul Gestionare CMK din partea dreaptă a ecranului și faceți clic pe Revocare CMK pentru a revoca CMK-urile tuturor organizațiilor care au fost eliminate. Faceți clic pe lângă starea CMK pentru a fi revocată a unei anumite organizații din tabel și faceți clic pe Revocare CMK pentru a revoca CMK pentru organizația respectivă.
12	Odată ce revocarea CMK reușește, organizația client nu va mai apărea în tabel.
13	Dacă revocarea CMK nu reușește, se va afișa o eroare.

Testați implementarea securității datelor hibride

Utilizați această procedură pentru a testa scenariile de criptare a securității datelor hibride cu entități găzduite multiple.

Înainte de a începe

Configurați implementarea securității datelor hibride cu entități găzduite multiple.
Asigurați-vă că aveți acces la syslog pentru a verifica dacă solicitările cheie sunt transmise la implementarea securității datelor hibride cu entități găzduite multiple.

1

Tastele pentru un anumit spațiu sunt setate de către creatorul spațiului. Conectați-vă la Aplicația Webex ca unul dintre utilizatorii organizației client, apoi creați un spațiu.

Dacă dezactivați implementarea securității datelor hibride, conținutul din spațiile pe care le creează utilizatorii nu mai este accesibil odată ce copiile din memoria cache a cheilor de criptare sunt înlocuite.

2

Trimiteți mesaje către noul spațiu.

3

Verificați ieșirea syslog pentru a verifica dacă solicitările cheie sunt transmise la implementarea securității datelor hibride.

Pentru a verifica dacă un utilizator stabilește mai întâi un canal securizat către KMS, filtrați după kms.data.method=create și kms.data.type=COLLECTION_KEY_:

Ar trebui să găsiți o intrare precum următoarea (identificatori scurtați pentru lizibilitate):

2020-07-21 17:35:34.562 (+0000) INFORMAȚII KMS [pool-14-thread-1] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Pentru a verifica dacă un utilizator solicită o cheie existentă din KMS, filtrați kms.data.method=retrieve și kms.data.type=KEY:

Ar trebui să găsiți o intrare precum:

2020-07-21 17:44:19.889 (+0000) INFORMAȚII KMS [pool-14-thread-31] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=CHEIE, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Pentru a verifica dacă există un utilizator care solicită crearea unei noi chei KMS, filtrați după kms.data.method=create și kms.data.type=KEY_COLLECTION:

Ar trebui să găsiți o intrare precum:

2020-07-21 17:44:21.975 (+0000) INFORMAȚII KMS [pool-14-thread-33] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Pentru a verifica dacă un utilizator solicită crearea unui nou obiect de resurse KMS (KRO) atunci când este creat un spațiu sau o altă resursă protejată, filtrați după kms.data.method=create și kms.data.type=RESOURCE_COLLECTION:

Ar trebui să găsiți o intrare precum:

2020-07-21 17:44:22.808 (+0000) INFORMAȚII KMS [pool-15-thread-1] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURSĂ_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorizați Securitatea datelor hibride

Un indicator de stare din Partner Hub vă arată dacă implementarea securității datelor hibride cu entități găzduite multiple este în regulă. Pentru o alertă mai proactivă, înscrieți-vă pentru notificări prin e-mail. Veți fi notificat atunci când există alarme sau upgrade-uri de software cu impact asupra serviciului.

1	În Partner Hub, selectați Servicii din meniul din partea stângă a ecranului.
2	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Editare setări. Apare pagina Setări de securitate a datelor hibride.
3	În secțiunea Notificări prin e-mail, introduceți una sau mai multe adrese de e-mail separate prin virgule și apăsați Enter.

Gestionați implementarea HDS

Utilizați sarcinile descrise aici pentru a gestiona implementarea securității datelor hibride.

Setați programarea upgrade-ului clusterului

Upgrade-urile software pentru Securitatea datelor hibride se efectuează automat la nivel de cluster, ceea ce garantează faptul că toate nodurile rulează întotdeauna aceeași versiune software. Upgrade-urile se efectuează în funcție de programul de upgrade pentru cluster. Atunci când un upgrade de software devine disponibil, aveți opțiunea de a efectua manual upgrade-ul clusterului înainte de ora programată pentru upgrade. Puteți seta un anumit program de upgrade sau puteți utiliza programul implicit de upgrade de la ora 3:00 a.m. Zilnic în Statele Unite: America/Los Angeles. De asemenea, puteți alege să amânați un upgrade viitor, dacă este necesar.

Pentru a seta programul de upgrade:

1	Conectați-vă la Hubul pentru parteneri.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Configurare
4	Pe pagina Resurse de securitate a datelor hibride, selectați clusterul.
5	Faceți clic pe fila Setări cluster .
6	În pagina Setări cluster, sub Programare upgrade, selectați ora și fusul orar pentru programarea upgrade-ului. Notă: În fusul orar se afișează următoarea dată și oră de upgrade disponibile. Puteți amâna upgrade-ul până în ziua următoare, dacă este necesar, făcând clic pe Amânare cu 24 de ore.

Modificați configurația nodului

Ocazional, poate fi necesar să modificați configurația nodului hibrid de securitate a datelor dintr-un motiv ar fi:

Modificarea certificatelor x.509 din cauza expirării sau din alte motive.

Nu acceptăm schimbarea numelui de domeniu CN al unui certificat. Domeniul trebuie să se potrivească cu domeniul inițial utilizat pentru înregistrarea clusterului.
Actualizarea setărilor bazei de date pentru a trece la o replică a bazei de date PostgreSQL sau Microsoft SQL Server.

Nu acceptăm migrarea datelor de la PostgreSQL la Microsoft SQL Server sau invers. Pentru a schimba mediul bazei de date, începeți o nouă implementare a Hybrid Data Security.
Crearea unei noi configurații pentru a pregăti un nou centru de date.

De asemenea, în scopuri de securitate, Hybrid Data Security utilizează parole de cont de serviciu care au o durată de viață de nouă luni. După ce instrumentul de instalare HDS generează aceste parole, le implementați la fiecare dintre nodurile HDS în fișierul de configurare ISO. Când parolele organizației se apropie de expirare, primiți o notificare de la echipa Webex pentru a reseta parola pentru contul dvs. (E-mailul include textul „Utilizați API-ul contului de mașină pentru a actualiza parola.”) Dacă parolele nu au expirat încă, instrumentul vă oferă două opțiuni:

Resetare ușoară—Parolele vechi și cele noi funcționează timp de până la 10 zile. Folosiți această perioadă pentru a înlocui treptat fișierul ISO pe noduri.
Resetare forțată—Parolele vechi nu mai funcționează imediat.

Dacă parolele dvs. expiră fără resetare, acest lucru va afecta serviciul HDS, necesitând o resetare hardware imediată și înlocuirea fișierului ISO pe toate nodurile.

Utilizați această procedură pentru a genera un nou fișier ISO de configurare și pentru a-l aplica clusterului dvs.

Înainte de a începe

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită datele de autentificare ale unui cont Partner Hub cu drepturi depline de administrator pentru partener.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker în 1.e. Acest tabel oferă câteva posibile variabile de mediu:

Descriere	Variabilă
Proxy HTTP fără autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS fără autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP cu autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT`
Proxy HTTPS cu autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT`

Aveți nevoie de o copie a fișierului ISO de configurare curent pentru a genera o nouă configurație. ISO conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de ISO când faceți modificări de configurare, inclusiv acreditările bazei de date, actualizări de certificate sau modificări ale politicii de autorizare.

1	Folosind Docker pe o mașină locală, rulați Instrumentul de configurare HDS. La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite: `configurare rmi ciscocitg/hds: stabil` În mediile FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora. Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele: `docker login -u hdscustomersro` La solicitarea parolei, introduceți acest hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite: `configurație ciscocitg/hds docker: stabil` În mediile FedRAMP: `docker extragere ciscocitg/hds-setup-fedramp:stabil` Asigurați-vă că utilizați cel mai recent instrument de configurare pentru această procedură. Versiunile instrumentului create înainte de 22 februarie 2018 nu au ecrane de resetare a parolei. Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În medii obișnuite cu un HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În mediile FedRAMP fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Când containerul se execută, vedeți "Express server de ascultare pe portul 8080." Utilizați un browser pentru a vă conecta la localhost, `http://127.0.0.1:8080`. Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală. Când vi se solicită, introduceți acreditările de conectare ale clientului Partner Hub și apoi faceți clic pe Acceptați pentru a continua. Importați fișierul ISO de configurare curentă. Urmați instrucțiunile pentru a finaliza instrumentul și descărcați fișierul actualizat. Pentru a închide instrumentul de configurare, tastați `CTRL+C`. Creați o copie de rezervă a fișierului actualizat într-un alt centru de date.
2	Dacă aveți un singur nod HDS care rulează, creați un nou VM nod de securitate a datelor hibride și înregistrați-l utilizând noul fișier ISO de configurare. Pentru instrucțiuni mai detaliate, consultați Creați și înscrieți mai multe noduri. Instalați OVA gazdă HDS. Configurați VM HDS. Montați fișierul de configurare actualizat. Înscrieți noul nod în Partner Hub.
3	Pentru nodurile HDS existente care rulează fișierul de configurare mai vechi, montați fișierul ISO. Efectuați următoarea procedură pe fiecare nod pe rând, actualizând fiecare nod înainte de a opri următorul nod: Opriți mașina virtuală. În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările. Faceți clic pe `UNITATE CD/DVD 1`, selectați opțiunea de montare dintr-un fișier ISO și navigați la locația în care ați descărcat noul fișier ISO de configurare. Bifaţi Conectare la pornire. Salvați modificările și porniți mașina virtuală.
4	Repetați pasul 3 pentru a înlocui configurația pe fiecare nod rămas care rulează configurația veche.

Dezactivarea modului de rezoluție DNS extern blocat

Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează căutarea DNS și conectivitatea la cloud-ul Cisco Webex. Dacă serverul DNS al nodului nu poate rezolva numele DNS publice, nodul intră automat în modul Rezoluție DNS externă blocată.

Dacă nodurile sunt capabile să rezolve numele DNS publice prin serverele DNS interne, puteți dezactiva acest mod prin reluarea testului de conexiune proxy pe fiecare nod.

Înainte de a începe

Asigurați-vă că serverele DNS interne pot rezolva numele DNS publice și că nodurile pot comunica cu acestea.

1	Într-un browser web, deschideți interfața nodului Hibrid Data Security (adresa IP/configurare, de exemplu, https://192.0.2.0/setup), introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.
2	Accesați Prezentare generală (pagina implicită). Când este activată, Rezoluția DNS externă blocată este setată la Da.
3	Accesați pagina Trust Store & Proxy.
4	Faceți clic pe Verificare conexiune proxy. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a avut succes, nodul nu a reușit să ajungă la serverul DNS și va rămâne în acest mod. În caz contrar, după ce reporniți nodul și reveniți la pagina Prezentare generală, Rezoluția DNS externă blocată ar trebui să fie setată la nu.

Ce trebuie să faceți în continuare

Repetați testul de conexiune proxy pe fiecare nod din clusterul hibrid de securitate a datelor.

Eliminați un nod

Utilizați această procedură pentru a elimina un nod de securitate a datelor hibride din cloudul Webex. După ce eliminați nodul din cluster, ștergeți mașina virtuală pentru a preveni accesul în continuare la datele dvs. de securitate.

1

Utilizați clientul VMware vSphere de pe computerul dvs. pentru a vă conecta la gazda virtuală ESXi și pentru a porni mașina virtuală.

2

Eliminați nodul:

Conectați-vă la Partner Hub, apoi selectați Servicii.
Pe cardul Securitate a datelor hibride, faceți clic pe Vizualizați toate pentru a afișa pagina Resurse de securitate a datelor hibride.
Selectați clusterul pentru a-și afișa panoul Prezentare generală.
Faceți clic pe nodul pe care doriți să îl eliminați.
Faceți clic pe Anulați înscrierea acestui nod în panoul care apare în partea dreaptă
De asemenea, puteți anula înscrierea nodului făcând clic… în partea dreaptă a nodului și selectând Eliminați acest nod.

3

În clientul vSphere, ștergeți VM. (În panoul de navigare din stânga, faceți clic dreapta pe VM și faceți clic pe Ștergere.)

Dacă nu ștergeți VM, nu uitați să demontați fișierul ISO de configurare. Fără fișierul ISO, nu puteți utiliza VM pentru a accesa datele de securitate.

Recuperarea după dezastru utilizând centrul de date în așteptare

Cel mai critic serviciu pe care clusterul dvs. de securitate a datelor hibride îl oferă este crearea și stocarea cheilor utilizate pentru a cripta mesajele și alt conținut stocat în cloudul Webex. Pentru fiecare utilizator din organizație care este atribuit Securitatea datelor hibride, noile solicitări de creare a cheii sunt direcționate către cluster. Clusterul este, de asemenea, responsabil pentru returnarea cheilor pe care le-a creat oricărui utilizator autorizat să le recupereze, de exemplu, membrilor unui spațiu de conversație.

Deoarece clusterul îndeplinește funcția critică de furnizare a acestor chei, este imperativ ca clusterul să rămână în funcțiune și să fie menținute copiile de rezervă corespunzătoare. Pierderea bazei de date hibride de securitate a datelor sau a ISO-ului de configurare utilizat pentru schemă va duce la PIERDEREA IREVERSIBILĂ a conținutului clientului. Pentru a preveni o astfel de pierdere sunt obligatorii următoarele practici:

Dacă un dezastru face ca implementarea HDS în centrul de date principal să devină indisponibilă, urmați această procedură pentru a trece manual la centrul de date în așteptare.

Înainte de a începe

Anulați înscrierea tuturor nodurilor din Partner Hub, după cum este menționat în Eliminați un nod. Utilizați cel mai recent fișier ISO care a fost configurat în raport cu nodurile clusterului care era activ anterior, pentru a efectua procedura de reluare în caz de nereușită menționată mai jos.

1	Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.
2	Finalizați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit.
3	Faceți o copie de rezervă a fișierului ISO în sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la acei administratori de securitate a datelor hibride care ar trebui să efectueze modificări de configurație.
4	În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările.
5	Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Datastore ISO File. Asigurați-vă că sunt bifate opțiunile Conectat și Conectare la pornire , astfel încât modificările actualizate ale configurației să poată intra în vigoare după pornirea nodurilor.
6	Porniți nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute.
7	Înscrieți nodul în Partner Hub. Consultați Înscrieți primul nod din cluster.
8	Repetați procesul pentru fiecare nod din centrul de date în așteptare.

Ce este de făcut în continuare

După reluarea în caz de nereușită, în cazul în care centrul de date principal redevine activ, anulați înregistrarea nodurilor centrului de date în așteptare și repetați procesul de configurare ISO și de înregistrare a nodurilor centrului de date principal, după cum s-a menționat mai sus.

(Opțional) Demontați ISO după configurarea HDS

Configurația standard HDS rulează cu ISO montat. Dar, unii clienți preferă să nu lase fișierele ISO montate continuu. Puteți demonta fișierul ISO după ce toate nodurile HDS preiau noua configurație.

Încă utilizați fișierele ISO pentru a efectua modificări de configurație. Când creați un nou ISO sau actualizați un ISO prin intermediul instrumentului de configurare, trebuie să montați ISO actualizat pe toate nodurile HDS. După ce toate nodurile au preluat modificările de configurație, puteți demonta din nou ISO cu această procedură.

Înainte de a începe

Efectuați upgrade pentru toate nodurile HDS la versiunea 2021.01.22.4720 sau la o versiune ulterioară.

1	Închideți unul dintre nodurile HDS.
2	În dispozitivul vCenter Server, selectați nodul HDS.
3	Alegeți Editare setări > Unitate CD/DVD și debifați Datastore ISO File.
4	Porniți nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 20 de minute.
5	Repetați la rând pentru fiecare nod HDS.

Soluționați problemele privind securitatea datelor hibride

Vizualizați alertele și soluționarea problemelor

O implementare de securitate a datelor hibride este considerată indisponibilă dacă toate nodurile din cluster sunt inaccesibile sau clusterul funcționează atât de lent încât necesită timp liber. Dacă utilizatorii nu pot contacta Clusterul dvs. de securitate a datelor hibride, vor prezenta următoarele simptome:

Nu se pot crea spații noi (nu se pot crea chei noi)
Mesajele și titlurile spațiului nu au putut fi decriptate pentru:
- Utilizatori noi adăugați într-un spațiu (nu se pot prelua cheile)
- Utilizatori existenți într-un spațiu utilizând un client nou (nu se pot prelua cheile)
Utilizatorii existenți dintr-un spațiu vor continua să ruleze cu succes atât timp cât clienții lor au o memorie cache a cheilor de criptare

Este important să monitorizați în mod corespunzător clusterul de securitate a datelor hibride și să abordați prompt orice alerte pentru a evita întreruperea serviciului.

Alerte

Dacă există o problemă cu configurarea securității datelor hibride, Partner Hub afișează alerte administratorului organizației și trimite e-mailuri la adresa de e-mail configurată. Alertele acoperă multe scenarii comune.

Tabelul 1. Probleme comune și pașii pentru a le rezolva
Alertă	Acțiune
Eroare de acces la baza de date locală.	Verificați dacă există erori la baza de date sau probleme de rețea locală.
Eroare de conexiune la baza de date locală.	Verificați dacă serverul bazei de date este disponibil și dacă s-au utilizat datele de autentificare corecte la contul de serviciu în configurarea nodului.
Acces nereușit la serviciul cloud.	Verificați dacă nodurile pot accesa serverele Webex, conform specificațiilor din Cerințe de conectivitate externă.
Se reînnoiește înscrierea la serviciul cloud.	Înscrierea la serviciile cloud a fost abandonată. Înregistrarea este în curs de reînnoire.
Înscrierea la serviciul cloud a scăzut.	Înscrierea la serviciile cloud a fost încheiată. Serviciul se oprește.
Serviciul nu a fost încă activat.	Activați HDS în Partner Hub.
Domeniul configurat nu corespunde certificatului serverului.	Asigurați-vă că certificatul dvs. de server corespunde domeniului de activare a serviciului configurat. Cauza cea mai probabilă este că certificatul NC a fost modificat recent și este acum diferit de cel utilizat în timpul configurării inițiale.
Nu s-a reușit autentificarea la serviciile cloud.	Verificați acuratețea și posibila expirare a acreditărilor contului de serviciu.
Nu s-a reușit deschiderea fișierului de keystore local.	Verificați integritatea și acuratețea parolei în fișierul de keystore local.
Certificatul serverului local nu este valid.	Verificați data de expirare a certificatului serverului și confirmați că acesta a fost emis de o autoritate de certificare de încredere.
Nu se pot publica măsurătorile.	Verificați accesul rețelei locale la serviciile externe din cloud.
Directorul /media/configdrive/hds nu există.	Verificați configurația de montare ISO pe gazda virtuală. Verificați dacă fișierul ISO există, dacă este configurat pentru montare la repornire și dacă se montează cu succes.
Configurarea organizației entității găzduite nu este finalizată pentru organizațiile adăugate	Finalizați configurarea prin crearea de CMK-uri pentru organizațiile de entități găzduite nou adăugate utilizând Instrumentul de configurare HDS.
Configurarea organizației entității găzduite nu este finalizată pentru organizațiile eliminate	Finalizați configurarea prin revocarea CMK-urilor organizațiilor găzduite care au fost eliminate cu ajutorul Instrumentului de configurare HDS.

Soluționați problemele privind securitatea datelor hibride

Utilizați următoarele indicații generale atunci când depanați problemele cu Securitatea datelor hibride.

1	Consultați Partner Hub pentru orice alerte și remediați orice elemente pe care le găsiți acolo. Consultați imaginea de mai jos pentru referință.
2	Revizuiți ieșirea serverului syslog pentru activitatea din implementarea securității datelor hibride. Filtru pentru cuvinte precum „Avertisment” și „Eroare” pentru a ajuta la depanare.
3	Contactați asistența Cisco.

Alte note

Probleme cunoscute privind securitatea datelor hibride

Dacă închideți clusterul de securitate a datelor hibride (prin ștergerea acestuia din Partner Hub sau prin închiderea tuturor nodurilor), pierdeți fișierul ISO de configurare sau pierdeți accesul la baza de date din keystore, utilizatorii Aplicației Webex din organizațiile client nu mai pot utiliza spațiile din lista lor de persoane care au fost create cu chei din KMS. Nu avem în prezent o soluție sau o soluție pentru această problemă și vă încurajăm să nu închideți serviciile dvs. HDS odată ce acestea gestionează conturile de utilizator active.
Un client care are o conexiune ECDH existentă la un KMS menține această conexiune pentru o perioadă de timp (probabil o oră).

Utilizați OpenSSL pentru a genera un fișier PKCS12

Înainte de a începe

OpenSSL este un instrument care poate fi utilizat pentru a face fișierul PKCS12 în formatul corect pentru încărcarea în instrumentul de configurare HDS. Există și alte modalități de a face acest lucru, iar noi nu sprijinim sau promovăm într-un mod mai presus de altul.
Dacă alegeți să utilizați OpenSSL, vă oferim această procedură ca ghid pentru a vă ajuta să creați un fișier care îndeplinește cerințele de certificat X.509 din Cerințele de certificat X.509. Înțelegeți aceste cerințe înainte de a continua.
Instalați OpenSSL într-un mediu acceptat. Consultați https://www.openssl.org pentru software și documentație.
Creați o cheie privată.
Inițiați această procedură atunci când primiți certificatul de server de la Certificate Authority (CA).

1	Când primiți certificatul de server de la CA, salvați-l ca `hdsnode.pem`.
2	Afișați certificatul ca text și verificați detaliile. `openssl x509 -text -noout -în hdsnode.pem`
3	Utilizați un editor de text pentru a crea un fișier pachet de certificate numit `hdsnode-bundle.pem`. Fișierul pachet trebuie să includă certificatul de server, orice certificate CA intermediare și certificatele CA rădăcină, în formatul de mai jos: `-----începeți certificatul------ ### Certificat de server. ### ------------------------------------ ### Certificat CA intermediar. ### ------------------------------------ ### Certificatul autorității de certificare rădăcină. ### -----încheiere certificat------`
4	Creați fișierul .p12 cu numele prietenos `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -nume kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Verificați detaliile certificatului serverului. `openssl pkcs12 -în hdsnode.p12` Introduceți o parolă la solicitarea de a cripta cheia privată astfel încât să fie afișată în ieșire. Apoi, verificați dacă cheia privată și primul certificat includ liniile `friendlyName: Cheie kms-privată`. Exemplu: bash$ openssl pkcs12 -în hdsnode.p12 Introduceți parola de import: MAC a verificat atributele pungii OK friendlyName: kms-private-cheie localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Atribute cheie: Introduceți fraza de acces PEM: Verificare - Introduceți fraza pass PEM: -----BEGIN CRIPTAT CHEIE PRIVATĂ----- -----END CRIPTAT CHEIE PRIVATĂ------- Atributele pungii prietenoaseName: kms-private-cheie localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us emitent=/C=US/O=Să criptăm/CN=Să criptăm autoritatea X3 -----BEGIN CERTIFICATE----- -----end certificate------- Atribute prietenoase cu pungaNume: CN=Să Criptăm Autoritatea X3,O=Să Criptăm,C=US subject=/C=US/O=Să Criptăm/CN=Să Criptăm Autoritatea X3 emitentă=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE---- -----END CERTIFICATE------

Ce este de făcut în continuare

Reveniți la Finalizați cerințele preliminare pentru securitatea datelor hibride. Veți utiliza fișierul hdsnode.p12 și parola pe care ați setat-o pentru acesta în Creați o configurație ISO pentru gazdele HDS.

Puteți reutiliza aceste fișiere pentru a solicita un nou certificat atunci când certificatul original expiră.

Trafic între nodurile HDS și cloud

Trafic de colectare a măsurătorilor de ieșire

Nodurile de securitate a datelor hibride trimit anumite măsurători în cloudul Webex. Printre acestea se numără măsurătorile de sistem privind numărul maxim de cadre, efectivul de cadre utilizate, sarcina procesorului și numărul de fire de execuție; măsurătorile privind șirurile sincronizate și asincrone; măsurătorile privind alertele care implică un prag de conexiuni de criptare, o latență sau o lungime a cozii de apeluri; măsurătorile privind baza de date și măsurătorile privind conexiunile de criptare. Nodurile trimit material cheie criptat printr-un canal în afara benzii (separat de solicitare).

Trafic de intrare

Nodurile de securitate a datelor hibride primesc următoarele tipuri de trafic de intrare din cloudul Webex:

Solicitări de criptare de la clienți, care sunt rutate de serviciul de criptare
Upgrade-uri la software-ul nodului

Configurarea proxy-urilor Squid pentru securitatea datelor hibride

Websocket nu se poate conecta prin Squid Proxy

Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea conexiunilor websocket (wss:) pe care Securitatea datelor hibride le necesită. Aceste secțiuni oferă îndrumări despre cum să configurați diferite versiuni de Squid pentru a ignora wss: traficul pentru funcționarea corespunzătoare a serviciilor.

Calmar 4 și 5

Adăugați on_unsupported_protocol directiva la squid.conf:

on_unsupported_protocol tunel toate

Calmar 3.5.27

Am testat cu succes Securitatea datelor hibride cu următoarele reguli adăugate la squid.conf. Aceste reguli pot fi modificate pe măsură ce dezvoltăm caracteristici și actualizăm cloud-ul Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 toate ssl_bump stare step2 toate ssl_bump bump3 toate

Informații noi și modificate

Acest tabel acoperă noile funcții sau funcționalități, modificările conținutului existent și orice erori majore care au fost remediate în Ghidul de implementare pentru securitatea datelor hibride cu entități găzduite multiple.

Dată	Modificări efectuate
ianuarie 30, 2025	A fost adăugată versiunea 2022 a serverului SQL la lista de servere SQL acceptate în Cerințe server bază de date.
15 ianuarie 2025	Au fost adăugate limitări ale securității datelor hibride cu entități găzduite multiple.
ianuarie 08, 2025	S-a adăugat o notă în Efectuați configurarea inițială și descărcați fișierele de instalare , precizând că făcând clic pe Configurare pe cardul HDS din Partner Hub este un pas important al procesului de instalare.
ianuarie 07, 2025	Cerințe pentru gazda virtuală, Flux de sarcini de implementare a securității datelor hibride și Instalați HDS OVA gazdă pentru a afișa noua cerință pentru ESXi 7.0.
13 decembrie 2024	Prima publicare.

Dezactivați securitatea datelor hibride cu entități găzduite multiple

Fluxul de activități pentru dezactivarea HDS cu entități găzduite multiple

Urmați acești pași pentru a dezactiva complet HDS cu entități găzduite multiple.

Înainte de a începe

Această sarcină trebuie efectuată numai de un administrator complet pentru partener.

1	Eliminați toți clienții din toate clusterele dvs., după cum este menționat în Eliminați organizațiile entității găzduite.
2	Revocați CMK-urile tuturor clienților, după cum se menționează în Revocați CMK-urile entităților găzduite eliminate din HDS..
3	Eliminați toate nodurile din toate clusterele dvs., așa cum este menționat în Eliminați un nod.
4	Ștergeți toate clusterele din Partner Hub utilizând una dintre următoarele două metode. Faceți clic pe clusterul pe care doriți să îl ștergeți și selectați Ștergeți acest cluster din colțul din dreapta sus al paginii de prezentare generală. În pagina Resurse, faceți clic… pe partea dreaptă a unui cluster și selectați Eliminare cluster.
5	Faceți clic pe fila Setări din pagina de prezentare generală a securității datelor hibride și faceți clic pe Dezactivare HDS pe cardul de stare HDS.

Începeți cu Securitatea datelor hibride cu entități găzduite multiple

Prezentare generală a securității datelor hibride cu entități găzduite multiple

Încă din prima zi, securitatea datelor a fost accentul principal în proiectarea Aplicației Webex. Piatra de temelie a acestei securități este criptarea conținutului end-to-end, activată de clienții Aplicației Webex care interacționează cu Key Management Service (KMS). KMS este responsabil pentru crearea și gestionarea cheilor criptografice pe care clienții le utilizează pentru a cripta și decripta dinamic mesajele și fișierele.

În mod implicit, toți clienții Aplicației Webex primesc criptarea end-to-end cu cheile dinamice stocate în cloud KMS, în domeniul securității Cisco. Hybrid Data Security mută KMS și alte funcții legate de securitate în centrul de date al întreprinderii dvs., deci nimeni în afară de dvs. nu deține cheile conținutului dvs. criptat.

Securitatea datelor hibride cu entități găzduite multiple permite organizațiilor să utilizeze HDS prin intermediul unui partener local de încredere, care poate acționa ca furnizor de servicii și poate gestiona criptarea locală și alte servicii de securitate. Această configurație permite organizației partenere să aibă control complet asupra implementării și gestionării cheilor de criptare și garantează că datele de utilizator ale organizațiilor client sunt în siguranță împotriva accesului extern. Organizațiile partenere configurează instanțele HDS și creează clustere HDS după cum este necesar. Fiecare instanță poate accepta mai multe organizații ale clienților, spre deosebire de o implementare HDS obișnuită, care este limitată la o singură organizație.

Deși organizațiile partenere au control asupra implementării și gestionării, acestea nu au acces la datele și conținutul generate de clienți. Acest acces este limitat la organizațiile clienților și la utilizatorii acestora.

Acest lucru permite, de asemenea, organizațiilor mai mici să profite de HDS, deoarece serviciile de gestionare a cheilor și infrastructura de securitate, cum ar fi centrele de date, sunt deținute de partenerul local de încredere.

Modul în care securitatea datelor hibride cu entități găzduite multiple oferă suveranitatea și controlul datelor

Conținutul generat de utilizatori este protejat împotriva accesului extern, cum ar fi furnizorii de servicii în cloud.
Partenerii locali de încredere gestionează cheile de criptare ale clienților cu care au deja o relație stabilită.
Opțiunea de asistență tehnică locală, dacă aceasta este furnizată de partener.
Acceptă conținut pentru întâlniri, mesagerie și apeluri.

Acest document are scopul de a ajuta organizațiile partenere să configureze și să gestioneze clienții într-un sistem de securitate a datelor hibride cu entități găzduite multiple.

Limitări ale securității datelor hibride cu entități găzduite multiple

Organizațiile partenere nu trebuie să aibă nicio implementare HDS existentă activă în Control Hub.
Organizațiile de entități găzduite sau de clienți care doresc să fie gestionate de un partener nu trebuie să aibă nicio implementare HDS existentă în Control Hub.
Odată ce HDS entitate găzduită multiplă este implementat de partener, toți utilizatorii organizațiilor client, precum și utilizatorii organizației partenere încep să utilizeze HDS entitate găzduită multiplă pentru serviciile lor de criptare.

Organizația parteneră și organizațiile clienților pe care le gestionează vor avea aceeași implementare HDS cu entități găzduite multiple.

Organizația parteneră nu va mai utiliza KMS în cloud după ce este implementat HDS cu entități găzduite multiple.
Nu există niciun mecanism de mutare a cheilor înapoi în Cloud KMS după o implementare HDS.
În prezent, fiecare implementare HDS cu entități găzduite multiple poate avea un singur cluster, cu mai multe noduri sub aceasta.
Rolurile de administrator au anumite limitări; consultați secțiunea de mai jos pentru detalii.

Roluri în securitatea datelor hibride cu entități găzduite multiple

Administrator complet pentru partener - Poate gestiona setările pentru toți clienții pe care partenerul îi administrează. De asemenea, poate aloca roluri de administrator utilizatorilor existenți în organizație și poate aloca anumiți clienți care urmează să fie gestionați de administratorii partenerilor.
Administrator partener - Poate gestiona setările pentru clienții pe care administratorul i-a asigurat sau care au fost alocați utilizatorului.
Administrator cu drepturi depline - Administrator al organizației partenere care este autorizat să efectueze sarcini precum modificarea setărilor organizației, gestionarea licențelor și atribuirea rolurilor.

Configurarea integrală a HDS cu entități găzduite multiple și gestionarea tuturor organizațiilor clienților - Sunt necesare drepturi de administrator complet pentru partener și drepturi de administrator complet.
Gestionarea organizațiilor de entități găzduite alocate - Sunt necesare drepturile de administrator partener și de administrator cu drepturi depline.

Arhitectura domeniului securitate

Arhitectura cloud Webex separă diferite tipuri de servicii în domenii sau domenii de încredere separate, așa cum este descris mai jos.

Pentru a înțelege mai bine Securitatea datelor hibride, să aruncăm o privire mai întâi la acest caz în cloud pur, în care Cisco oferă toate funcțiile din domeniile sale cloud. Serviciul de identitate, singurul loc în care utilizatorii pot fi corelați direct cu informațiile lor personale, cum ar fi adresa de e-mail, este separat logic și fizic de domeniul securității din centrul de date B. Ambele sunt la rândul lor separate de domeniul în care conținutul criptat este stocat în cele din urmă, în centrul de date C.

În această diagramă, clientul este Aplicația Webex care rulează pe laptopul unui utilizator și s-a autentificat în serviciul de identitate. Atunci când utilizatorul compune un mesaj pentru a-l trimite unui spațiu, se efectuează următorii pași:

Clientul stabilește o conexiune securizată cu serviciul de gestionare a cheilor (KMS), apoi solicită o cheie pentru a cripta mesajul. Conexiunea securizată utilizează ECDH, iar KMS criptează cheia utilizând o cheie principală AES-256.
Mesajul este criptat înainte de a părăsi clientul. Clientul îl trimite către serviciul de indexare, care creează indici de căutare criptați pentru a ajuta la căutările viitoare ale conținutului.
Mesajul criptat este trimis către serviciul de conformitate pentru verificări ale conformității.
Mesajul criptat este stocat în domeniul de stocare.

Când implementați Securitatea datelor hibride, mutați funcțiile domeniului de securitate (KMS, indexare și conformitate) în centrul dvs. de date local. Celelalte servicii cloud care alcătuiesc Webex (inclusiv stocarea identității și a conținutului) rămân în domeniile Cisco.

Colaborarea cu alte organizații

Utilizatorii din organizația dvs. pot utiliza în mod regulat Aplicația Webex pentru a colabora cu participanți externi din alte organizații. Când unul dintre utilizatorii dvs. solicită o cheie pentru un spațiu deținut de organizația dvs. (deoarece a fost creat de unul dintre utilizatorii dvs.), KMS-ul trimite cheia către client printr-un canal securizat ECDH. Cu toate acestea, atunci când o altă organizație deține cheia pentru spațiu, KMS-ul dvs. direcționează solicitarea către cloudul Webex printr-un canal ECDH separat pentru a obține cheia de la KMS corespunzător, apoi returnează cheia utilizatorului pe canalul original.

Serviciul KMS care rulează pe Org A validează conexiunile la KMS din alte organizații utilizând certificate x.509 PKI. Consultați Pregătiți mediul dvs. pentru detalii despre generarea unui certificat x.509 pentru a fi utilizat cu implementarea securității datelor hibride cu entități găzduite multiple.

Așteptări privind implementarea securității datelor hibride

O implementare a securității datelor hibride necesită un angajament semnificativ și o conștientizare a riscurilor asociate cu deținerea cheilor de criptare.

Pentru a implementa Securitatea datelor hibride, trebuie să furnizați:

Un centru de date securizat într-o țară care este o locație acceptată pentru planurile Cisco Webex Teams.
Echipamentul, software-ul și accesul la rețea descrise în Pregătiți mediul.

Pierderea completă a ISO-ului de configurare pe care îl creați pentru Securitatea datelor hibride sau a bazei de date pe care o furnizați va duce la pierderea cheilor. Pierderea cheii împiedică utilizatorii să decripteze conținutul spațiului și alte date criptate în Aplicația Webex. Dacă se întâmplă acest lucru, puteți construi o nouă implementare, dar va fi vizibil numai conținut nou. Pentru a evita pierderea accesului la date, trebuie să:

Gestionați copiile de siguranță și recuperarea bazei de date și a configurației ISO.
Fiți pregătiți pentru a efectua recuperarea rapidă în caz de dezastru în cazul în care se produce o catastrofă, cum ar fi eșecul discului bazei de date sau dezastrul centrului de date.

Nu există niciun mecanism de mutare a cheilor înapoi în Cloud după o implementare HDS.

Proces de configurare la nivel înalt

Acest document se referă la configurarea și gestionarea unei implementări a securității datelor hibride cu entități găzduite multiple:

Configurați Securitatea datelor hibride—Aceasta include pregătirea infrastructurii necesare și instalarea software-ului de securitate a datelor hibride, construirea unui cluster HDS, adăugarea de organizații găzduite în cluster și gestionarea cheilor principale ale clientului (CMK). Acest lucru va permite tuturor utilizatorilor din organizațiile client să utilizeze clusterul dvs. de securitate a datelor hibride pentru funcții de securitate.

Fazele de configurare, activare și gestionare sunt tratate în detaliu în următoarele trei capitole.
Mențineți implementarea securității datelor hibride—Webex cloud oferă automat upgrade-uri în curs. Departamentul dvs. IT poate oferi asistență de nivel unu pentru această implementare și poate implica asistența Cisco după cum este necesar. Puteți utiliza notificările pe ecran și puteți configura alerte pe bază de e-mail în Partner Hub.
Înțelegeți alertele obișnuite, pașii de depanare și problemele cunoscute—Dacă întâmpinați probleme la implementarea sau utilizarea Securității datelor hibride, ultimul capitol al acestui ghid și anexa Probleme cunoscute vă pot ajuta să identificați și să remediați problema.

Model de implementare a securității datelor hibride

În centrul de date al întreprinderii, implementați Securitatea datelor hibride ca un singur cluster de noduri pe gazde virtuale separate. Nodurile comunică cu cloudul Webex prin websocketuri securizate și HTTP securizat.

În timpul procesului de instalare, vă oferim fișierul OVA pentru a configura dispozitivul virtual pe VM-urile pe care le furnizați. Utilizați instrumentul de configurare HDS pentru a crea un fișier ISO de configurare a clusterului personalizat, pe care îl montați pe fiecare nod. Clusterul de securitate a datelor hibride utilizează serverul Syslogd furnizat și baza de date PostgreSQL sau Microsoft SQL Server. (Configurați detaliile de conectare Syslogd și a bazei de date în instrumentul de configurare HDS.)

Model de implementare a securității datelor hibride

Numărul minim de noduri pe care le puteți avea într-un cluster este de două. Vă recomandăm cel puțin trei per cluster. Existența mai multor noduri asigură faptul că serviciul nu este întrerupt în timpul unui upgrade de software sau al altei activități de întreținere pe un nod. (Cloudul Webex efectuează upgrade numai pentru un nod la un moment dat.)

Toate nodurile dintr-un cluster accesează același server de date cheie și jurnal de activitate la același server syslog. Nodurile în sine sunt apatride și gestionează solicitările cheie în modul round-robin, așa cum este direcționat de cloud.

Nodurile devin active atunci când le înscrieți în Partner Hub. Pentru a scoate din uz un nod individual, puteți să-l anulați înscrierea și să-l reînscrieți ulterior, dacă este necesar.

Centrul de date în așteptare pentru recuperarea după dezastre

În timpul implementării, configurați un centru de date în așteptare securizat. În cazul unui dezastru al centrului de date, puteți eșua manual implementarea la centrul de date în așteptare.

Bazele de date ale centrelor de date active și de așteptare sunt sincronizate unele cu altele, ceea ce va minimiza timpul necesar pentru efectuarea comutării automate.

Nodurile active de securitate a datelor hibride trebuie să fie întotdeauna în același centru de date ca serverul de baze de date active.

Suport proxy

Hybrid Data Security acceptă inspectarea explicită, transparentă și proxy-uri care nu inspectează. Puteți lega aceste proxy-uri de implementare, astfel încât să puteți securiza și monitoriza traficul de la întreprindere în cloud. Puteți utiliza o interfață de administrator de platformă pe nodurile pentru gestionarea certificatelor și pentru a verifica starea generală a conectivității după ce ați configurat proxy-ul pe noduri.

Nodurile hibride de securitate a datelor acceptă următoarele opțiuni proxy:

Fără proxy—Setare implicită dacă nu utilizați configurația nodului HDS Trust Store și Proxy pentru a integra un proxy. Nu este necesară actualizarea certificatului.
Proxy transparent fără inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy și nu ar trebui să necesite modificări pentru a funcționa cu un proxy fără inspectare. Nu este necesară actualizarea certificatului.
Proxy transparent pentru tunelare sau inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy. Nu sunt necesare modificări de configurare HTTP sau HTTPS pe noduri. Cu toate acestea, nodurile au nevoie de un certificat rădăcină, astfel încât să aibă încredere în proxy. Proxy-urile de inspectare sunt de obicei utilizate de IT pentru a aplica politici pe care site-urile web pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).
Proxy explicit- Cu proxy explicit, spuneți nodurilor HDS ce server proxy și ce schemă de autentificare să utilizați. Pentru a configura un proxy explicit, trebuie să introduceți următoarele informații pe fiecare nod:
1. IP/FQDN proxy—Adresa care poate fi utilizată pentru a accesa computerul proxy.
2. Port proxy—Un număr de port utilizat de proxy pentru a asculta traficul protejat.
3. Protocol proxy- În funcție de ceea ce acceptă serverul proxy, alegeți dintre următoarele protocoale:
  - HTTP - Vizualizează și controlează toate solicitările pe care le trimite clientul.
  - HTTPS - Oferă un canal serverului. Clientul primește și validează certificatul serverului.
4. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:
  - Fără—Nu este necesară mai multă autentificare.
    
    Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
  - De bază—Utilizat pentru un agent de utilizator HTTP care furnizează un nume de utilizator și o parolă atunci când efectuează o solicitare. Utilizează codificarea Base64.
    
    Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
    
    Vă solicită să introduceți numele de utilizator și parola pe fiecare nod.
  - Rezumat- Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite prin rețea.
    
    Disponibil numai dacă selectați HTTPS ca protocol proxy.
    
    Vă solicită să introduceți numele de utilizator și parola pe fiecare nod.

Exemplu de noduri hibride de securitate a datelor și proxy

Această diagramă afișează un exemplu de conexiune între securitatea datelor hibride, rețea și un proxy. Pentru opțiunile proxy de inspectare transparente și https explicit inspectare, același certificat rădăcină trebuie să fie instalat pe proxy și pe nodurile hibride de securitate a datelor.

Modul de rezolvare DNS extern blocat (configurații proxy explicite)

Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează căutarea DNS și conectivitatea la cloud-ul Cisco Webex. În implementările cu configurații proxy explicite care nu permit rezoluția DNS externă pentru clienții interni, dacă nodul nu poate interoga serverele DNS, acesta intră automat în modul Rezoluție DNS externă blocată. În acest mod, înregistrarea nodului și alte teste de conectivitate proxy pot continua.

Pregătiți mediul dvs.

Cerințe pentru securitatea datelor hibride cu entități găzduite multiple

Cerințe de licență Cisco Webex

Pentru a implementa securitatea datelor hibride cu entități găzduite multiple:

Organizații partenere: Contactați partenerul dvs. Cisco sau managerul de cont și asigurați-vă că funcția entitate găzduită multiplă este activată.
Organizații entitate găzduită: Trebuie să aveți pachetul Pro pentru Cisco Webex Control Hub. (Consultați https://www.cisco.com/go/pro-pack.)

Cerințe desktop docker

Înainte de a instala nodurile HDS, aveți nevoie de Docker Desktop pentru a rula un program de configurare. Docker și-a actualizat recent modelul de licențiere. Este posibil ca organizația să necesite un abonament plătit pentru Docker Desktop. Pentru detalii, consultați postarea de pe blogul Docker, " Docker actualizează și extinde abonamentele noastre de produse".

Cerințe certificat X.509

Lanțul de certificate trebuie să îndeplinească următoarele cerințe:

Tabelul 1. Cerințe privind certificatul X.509 pentru implementarea securității datelor hibride
Obligatoriu	Detalii
Semnat de o Autoritate de certificare (CA) de încredere	În mod implicit, avem încredere în CA-urile din lista Mozilla (cu excepția WoSign și StartCom) la https://wiki.mozilla.org/CA:IncludedCAs.
Conține un nume de domeniu comun (CN) care identifică implementarea securității datelor hibride Nu este un certificat wildcard	CN nu trebuie să fie accesibil sau gazdă live. Vă recomandăm să utilizați un nume care reflectă organizația dvs., de exemplu `hds.company.com`. NC nu trebuie să conțină un * (wildcard). CN este utilizat pentru a verifica nodurile de securitate a datelor hibride pentru clienții Aplicației Webex. Toate nodurile de securitate a datelor hibride din clusterul dvs. utilizează același certificat. KMS se identifică utilizând domeniul CN, nu orice domeniu definit în câmpurile SAN x.509v3. După ce ați înregistrat un nod cu acest certificat, nu acceptăm schimbarea numelui domeniului CN.
Semnătură non-SHA1	Software-ul KMS nu acceptă semnăturile SHA1 pentru validarea conexiunilor la KMS-urile altor organizații.
Formatat ca fișier PKCS #12 protejat prin parolă Utilizați numele prietenos al `kms-private-key` pentru a eticheta certificatul, cheia privată și orice certificate intermediare de încărcat.	Puteți utiliza un convertor, cum ar fi OpenSSL, pentru a schimba formatul certificatului. Va trebui să introduceți parola atunci când rulați instrumentul de configurare HDS.

Software-ul KMS nu impune utilizarea cheii sau restricțiile extinse de utilizare a cheii. Unele autorități de certificare solicită ca restricțiile extinse de utilizare a cheii să fie aplicate fiecărui certificat, cum ar fi autentificarea pe server. Este ok să utilizați autentificarea pe server sau alte setări.

Cerințe pentru gazda virtuală

Gazdele virtuale pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. au următoarele cerințe:

Cel puțin două gazde separate (3 recomandată) se află în același centru de date securizat
VMware ESXi 7.0 (sau o versiune ulterioară) instalat și rulează.

Trebuie să efectuați upgrade dacă aveți o versiune anterioară de ESXi.
Minimum 4 vCPU-uri, 8 GB memorie principală, 30 GB spațiu pe hard disk local per server

Cerințe server de bază de date

Creați o nouă bază de date pentru stocarea cheilor. Nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.

Există două opțiuni pentru serverul de bază de date. Cerințele pentru fiecare dintre acestea sunt următoarele:

Tabelul 2. Cerințele serverului de baze de date în funcție de tipul de bază de date
Parolă	Server Microsoft SQL
PostgreSQL 14, 15 sau 16, instalat și rulează.	Serverul SQL 2016, 2017, 2019 sau 2022 (Enterprise sau Standard) este instalat. Serverul SQL 2016 necesită Service Pack 2 și Actualizarea cumulativă 2 sau o versiune ulterioară.
Minimum 8 vCPU-uri, 16 GB memorie principală, spațiu suficient pe hard disk și monitorizare pentru a vă asigura că nu este depășită (se recomandă 2-TB dacă doriți să rulați baza de date pentru o lungă perioadă de timp fără a fi nevoie să creșteți spațiul de stocare)	Minimum 8 vCPU-uri, 16 GB memorie principală, spațiu suficient pe hard disk și monitorizare pentru a vă asigura că nu este depășită (se recomandă 2-TB dacă doriți să rulați baza de date pentru o lungă perioadă de timp fără a fi nevoie să creșteți spațiul de stocare)

Software-ul HDS instalează în prezent următoarele versiuni de drivere pentru comunicarea cu serverul de bază de date:

Parolă

Server Microsoft SQL

Driver Postgres JDBC 42.2.5

Driver 4.6 pentru serverul SQL JDBC

Această versiune de driver acceptă SQL Server activat permanent (Instanțe de cluster de reluare în caz de nereușită activată permanent și Grupuri de disponibilitate activate permanent).

Cerințe suplimentare pentru autentificarea Windows împotriva Microsoft SQL Server

Dacă doriți ca nodurile HDS să utilizeze autentificarea Windows pentru a obține acces la baza dvs. de date keystore pe Microsoft SQL Server, atunci aveți nevoie de următoarea configurație în mediul dvs.:

Nodurile HDS, infrastructura Active Directory și serverul MS SQL trebuie să fie sincronizate cu NTP.
Contul Windows pe care îl furnizați nodurilor HDS trebuie să aibă acces de citire/scriere la baza de date.
Serverele DNS pe care le furnizați nodurilor HDS trebuie să poată rezolva centrul de distribuție a cheilor (KDC).
Puteți înregistra instanța bazei de date HDS pe serverul Microsoft SQL ca nume principal al serviciului (SPN) în Active Directory. Consultați Înscrierea unui nume principal de serviciu pentru conexiunile Kerberos.

Instrumentul de configurare HDS, lansatorul HDS și KMS local trebuie să utilizeze autentificarea Windows pentru a accesa baza de date din keystore. Aceștia utilizează detaliile din configurația ISO pentru a construi SPN atunci când solicitați acces cu autentificarea Kerberos.

Cerințe de conectivitate externă

Configurați firewall-ul pentru a permite următoarea conectivitate pentru aplicațiile HDS:

Aplicație	Protocol	Port	Direcție din aplicație	Destinație
Noduri de securitate a datelor hibride	TCP	443	HTTPS și WSS de ieșire	Servere Webex: .wbx2.com .ciscospark.com Toate gazdele Common Identity Alte URL-uri listate pentru Securitatea datelor hibride în tabelul URL-uri suplimentare pentru serviciile hibride Webex din Cerințe de rețea pentru serviciile Webex
Instrument de configurare HDS	TCP	443	HTTPS de ieșire	*.wbx2.com Toate gazdele Common Identity hub.docker.com

Nodurile de securitate a datelor hibride funcționează cu traducerea accesului la rețea (NAT) sau în spatele unui firewall, atât timp cât NAT sau firewall permite conexiunile de ieșire necesare la destinațiile de domeniu din tabelul precedent. Pentru conexiunile de intrare la nodurile de securitate a datelor hibride, nu trebuie să fie vizibile porturi de pe internet. În cadrul centrului dvs. de date, clienții au nevoie de acces la nodurile de securitate a datelor hibride de pe porturile TCP 443 și 22, în scopuri administrative.

URL-urile pentru gazdele Common Identity (CI) sunt specifice regiunii. Acestea sunt gazdele CI actuale:

Regiune	URL-uri gazdă Common Identity
Țările din America	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Uniunea Europeană	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapore	https://idbroker-sg.webex.com https://identity-sg.webex.com
Emiratele Arabe Unite	https://idbroker-ae.webex.com https://identity-ae.webex.com

Cerințe server proxy

Acceptăm oficial următoarele soluții proxy care se pot integra cu nodurile hibride de securitate a datelor.
- Proxy transparent - Cisco Web Security Appliance (WSA).
- Proxy explicit - Calmar.
  
  Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea conexiunilor websocket (wss:). Pentru a rezolva această problemă, consultați Configurați proxy-urile Squid pentru securitatea datelor hibride.
Acceptăm următoarele combinații de tip de autentificare pentru proxy-uri explicite:
- Fără autentificare cu HTTP sau HTTPS
- Autentificare de bază cu HTTP sau HTTPS
- Autentificare digest numai cu HTTPS
Pentru un proxy de inspectare transparent sau un proxy explicit HTTPS, trebuie să aveți o copie a certificatului rădăcină al proxy-ului. Instrucțiunile de implementare din acest ghid vă spun cum să încărcați copia în depozitele de încredere ale nodurilor hibride de securitate a datelor.
Rețeaua care găzduiește nodurile HDS trebuie să fie configurată pentru a forța traficul TCP de ieșire pe portul 443 pentru a ruta prin proxy.
Proxy-urile care inspectează traficul web pot interfera cu conexiunile de soclu web. Dacă apare această problemă, ocolirea (nu inspectarea) traficului către wbx2.com și ciscospark.com va rezolva problema.

Completați cerințele preliminare pentru securitatea datelor hibride

Utilizați această listă de verificare pentru a vă asigura că sunteți gata să instalați și să configurați clusterul de securitate a datelor hibride.

1	Asigurați-vă că organizația dvs. parteneră are activată funcția HDS pentru entități găzduite multiple și obțineți acreditările unui cont cu administrator complet pentru partener și drepturi de administrator complet. Asigurați-vă că organizația client Webex este activată pentru Pachetul Pro pentru Cisco Webex Control Hub. Contactați-vă partenerul Cisco sau managerul de cont pentru ajutor cu acest proces. Organizațiile client nu trebuie să aibă nicio implementare HDS existentă.
2	Alegeți un nume de domeniu pentru implementarea HDS (de exemplu, `hds.company.com`) și obțineți un lanț de certificate care conține un certificat X.509, o cheie privată și orice certificate intermediare. Lanțul de certificate trebuie să îndeplinească cerințele din Cerințele de certificat X.509.
3	Pregătiți gazde virtuale identice pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. Aveți nevoie de cel puțin două gazde separate (3 recomandată) care să fie co-localizate în același centru de date securizat, care să îndeplinească cerințele din Cerințele gazdei virtuale.
4	Pregătiți serverul de bază de date care va acționa ca magazin de date cheie pentru cluster, în conformitate cu Cerințele serverului de bază de date. Serverul de baze de date trebuie să fie amplasat în centrul de date securizat cu gazdele virtuale. Creați o bază de date pentru stocarea cheilor. (Trebuie să creați această bază de date – nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.) Colectați detaliile pe care nodurile le vor utiliza pentru a comunica cu serverul de bază de date: numele gazdei sau adresa IP (gazdă) și portul numele bazei de date (dbname) pentru stocarea cheii numele de utilizator și parola unui utilizator cu toate privilegiile în baza de date de stocare a cheii
5	Pentru recuperare rapidă în caz de dezastru, configurați un mediu de rezervă într-un alt centru de date. Mediul de rezervă oglindește mediul de producție al VM-urilor și al unui server de baze de date de rezervă. De exemplu, dacă producția are 3 VM care rulează noduri HDS, mediul de rezervă trebuie să aibă 3 VM.
6	Configurați o gazdă syslog pentru a colecta jurnale de la nodurile din cluster. Colectați adresa de rețea și portul syslog (implicit este UDP 514).
7	Creați o politică de rezervă securizată pentru nodurile de securitate a datelor hibride, serverul de baze de date și gazda syslog. Cel puțin, pentru a preveni pierderea de date nerecuperabile, trebuie să efectuați o copie de rezervă a bazei de date și a fișierului ISO de configurare generat pentru nodurile de securitate a datelor hibride. Deoarece nodurile de securitate a datelor hibride stochează cheile utilizate la criptarea și decriptarea conținutului, nerespectarea menținerii unei implementări operaționale va duce la PIERDEREA IREVERSIBILĂ a conținutului respectiv. Clienții Aplicației Webex își ascund cheile, astfel încât este posibil ca o întrerupere să nu fie vizibilă imediat, dar va deveni evidentă în timp. În timp ce întreruperile temporare sunt imposibil de prevenit, acestea sunt recuperabile. Cu toate acestea, pierderea completă (nu sunt disponibile copii de siguranță) a bazei de date sau a fișierului ISO de configurare va avea ca rezultat date nerecuperabile ale clienților. Operatorii nodurilor de securitate a datelor hibride trebuie să mențină copii de siguranță frecvente ale bazei de date și ale fișierului ISO de configurare și să fie pregătiți să reconstruiască centrul de date de securitate a datelor hibride în cazul unei defecțiuni catastrofale.
8	Asigurați-vă că configurația firewallului permite conectivitatea pentru nodurile de securitate a datelor hibride, așa cum este descris în Cerințe de conectivitate externă.
9	Instalați Docker (https://www.docker.com) pe orice mașină locală care rulează un sistem de operare acceptat (Microsoft Windows 10 Professional sau Enterprise pe 64 de biți sau Mac OSX Yosemite 10.10.3 sau o versiune ulterioară) cu un browser web care îl poate accesa la http://127.0.0.1:8080. Utilizați instanța Docker pentru a descărca și rula instrumentul de configurare HDS, care generează informațiile de configurare locală pentru toate nodurile de securitate a datelor hibride. Este posibil să aveți nevoie de o licență Docker Desktop. Consultați Cerințe desktop docker pentru mai multe informații. Pentru a instala și rula instrumentul de configurare HDS, dispozitivul local trebuie să aibă conectivitatea descrisă în Cerințe de conectivitate externă.
10	Dacă integrați un proxy cu Securitatea datelor hibride, asigurați-vă că acesta îndeplinește Cerințele serverului proxy.

Configurați un cluster de securitate a datelor hibride

Fluxul de activități de implementare a securității datelor hibride

Înainte de a începe

1	Efectuați configurarea inițială și descărcați fișierele de instalare Descărcați fișierul OVA pe computerul dvs. local pentru utilizare ulterioară.
2	Crearea unui ISO de configurare pentru gazdele HDS Utilizați instrumentul de configurare HDS pentru a crea un fișier de configurare ISO pentru nodurile de securitate a datelor hibride.
3	Instalați gazda HDS OVA Creați o mașină virtuală din fișierul OVA și efectuați configurația inițială, cum ar fi setările de rețea. Opțiunea de a configura setările de rețea în timpul implementării OVA a fost testată cu ESXi 7.0. Este posibil ca această opțiune să nu fie disponibilă în versiunile anterioare.
4	Configurați VM de securitate a datelor hibride Conectați-vă la consola VM și setați acreditările de conectare. Configurați setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.
5	Încărcarea și montarea ISO de configurare HDS Configurați VM din fișierul de configurare ISO pe care l-ați creat cu instrumentul de configurare HDS.
6	Configurarea nodului HDS pentru integrarea proxy Dacă mediul de rețea necesită configurație proxy, specificați tipul de proxy pe care îl veți utiliza pentru nod și adăugați certificatul proxy la magazinul de încredere, dacă este necesar.
7	Înscrieți primul nod din cluster Înscrieți VM cu cloudul Cisco Webex ca nod de securitate a datelor hibride.
8	Creați și înscrieți mai multe noduri Finalizați configurarea clusterului.
9	Activați HDS cu entități găzduite multiple în Partner Hub. Activați HDS și gestionați organizațiile de entități găzduite în Partner Hub.

Efectuați configurarea inițială și descărcați fișierele de instalare

În această sarcină, descărcați un fișier OVA pe computerul dvs. (nu pe serverele pe care le configurați ca noduri de securitate a datelor hibride). Veți utiliza acest fișier mai târziu în procesul de instalare.

1	Conectați-vă la Partner Hub, apoi faceți clic pe Servicii.
2	În secțiunea Servicii cloud, găsiți cardul Securitate a datelor hibride, apoi faceți clic pe Configurare. Făcând clic pe Configurare în Partner Hub este esențial pentru procesul de implementare. Nu continuați cu instalarea fără a finaliza acest pas.
3	Faceți clic pe Adăugați o resursă și faceți clic pe Descărcați fișierul .OVA din cardul Instalare și configurare software . Versiunile mai vechi ale pachetului software (OVA) nu vor fi compatibile cu cele mai recente upgrade-uri de securitate a datelor hibride. Acest lucru poate duce la probleme în timpul upgrade-ului aplicației. Asigurați-vă că descărcați cea mai recentă versiune a fișierului OVA. De asemenea, puteți descărca OVA în orice moment din secțiunea Ajutor . Faceți clic pe Setări > Ajutor > Descărcați software-ul de securitate a datelor hibride. Fișierul OVA începe automat descărcarea. Salvați fișierul într-o locație de pe computerul dvs.
4	Opțional, faceți clic pe Consultați ghidul de implementare a securității datelor hibride pentru a verifica dacă există o versiune ulterioară a acestui ghid disponibilă.

Crearea unui ISO de configurare pentru gazdele HDS

Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi, utilizați ISO pentru a configura gazda de securitate a datelor hibride.

Înainte de a începe

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită detaliile de autentificare ale unui cont Partner Hub cu drepturi de administrator depline.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker la pasul 5 de mai jos. Acest tabel oferă câteva posibile variabile de mediu:

Descriere

Variabilă

Proxy HTTP fără autentificare

_AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT

Proxy HTTPS fără autentificare

_AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT

Proxy HTTP cu autentificare

_AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT

Proxy HTTPS cu autentificare

_AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT
Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier ori de câte ori efectuați modificări de configurație, cum ar fi:
- Acreditări bază de date
- Actualizări certificat
- Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile bazei de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

1

La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.:

În medii obișnuite:

configurare rmi ciscocitg/hds: stabil

În mediile FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.

2

Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele:

docker login -u hdscustomersro

3

La solicitarea parolei, introduceți acest hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Descărcați cea mai recentă imagine stabilă pentru mediul dvs.:

În medii obișnuite:

configurație ciscocitg/hds docker: stabil

În mediile FedRAMP:

docker extragere ciscocitg/hds-setup-fedramp:stabil

5

Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.:

În medii obișnuite fără un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

În medii obișnuite cu un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

În medii obișnuite cu un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

În mediile FedRAMP fără un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

În mediile FedRAMP cu un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

În mediile FedRAMP cu un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”.

6

Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală.

Utilizați un browser web pentru a accesa gazda locală http://127.0.0.1:8080 și a introduce numele de utilizator de administrator pentru Partner Hub la solicitare.

Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul corespunzător pentru acel cont. Instrumentul afișează apoi mesajul standard de conectare.

7

Când vi se solicită, introduceți acreditările de conectare de administrator Partner Hub, apoi faceți clic pe Conectați-vă pentru a permite accesul la serviciile necesare pentru Securitatea datelor hibride.

8

Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Începeți.

9

Pe pagina Import ISO aveți aceste opțiuni:

Nu—Dacă creați primul nod HDS, nu aveți un fișier ISO de încărcat.
Da—Dacă ați creat deja noduri HDS, selectați fișierul ISO în răsfoire și încărcați-l.

10

Verificați dacă certificatul dvs. X.509 îndeplinește cerințele din Cerințele privind certificatul X.509.

Dacă nu ați încărcat niciodată un certificat înainte, încărcați certificatul X.509, introduceți parola și faceți clic pe Continuați.
Dacă certificatul este OK, faceți clic pe Continuați.
Dacă certificatul dvs. a expirat sau doriți să îl înlocuiți, selectați Nu pentru Continuați să utilizați lanțul de certificate HDS și cheia privată din ISO anterioară?. Încărcați un nou certificat X.509, introduceți parola și faceți clic pe Continuați.

11

Introduceți adresa bazei de date și contul pentru HDS pentru a accesa baza de date cheie:

Selectați Tipul bazei de date (PostgreSQL sau Microsoft SQL Server).

Dacă alegeți Microsoft SQL Server, obțineți un câmp Tip de autentificare.
(Numai Microsoft SQL Server ) Selectați tipul de autentificare:
- Autentificare de bază: Aveți nevoie de un nume de cont SQL Server local în câmpul Nume de utilizator .
- Autentificare Windows: Aveți nevoie de un cont Windows în formatul nume de utilizator@DOMENIU în câmpul Nume de utilizator .
Introduceți adresa serverului de bază de date în forma : sau :.

Exemplu:
dbhost.example.org:1433 sau 198.51.100.17:1433

Puteți utiliza o adresă IP pentru autentificarea de bază, dacă nodurile nu pot utiliza DNS pentru a rezolva numele gazdei.

Dacă utilizați autentificarea Windows, trebuie să introduceți un Nume de domeniu complet calificat, în formatul dbhost.example.org:1433
Introduceți Numele bazei de date.
Introduceți Nume de utilizator și Parolă ale unui utilizator cu toate privilegiile în baza de date de stocare a cheilor.

12

Selectați un Mod de conectare la baza de date TLS:

Mod	Descriere
Preferați TLS (opțiune implicită)	Nodurile HDS nu necesită TLS pentru a se conecta la serverul de baze de date. Dacă activați TLS pe serverul bazei de date, nodurile încearcă o conexiune criptată.
Necesită TLS	Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS.
Solicitați TLS și verificați semnatarul certificatului	Acest mod nu se aplică pentru bazele de date SQL Server. Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS. După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de la serverul de baze de date cu autoritatea de certificare din Certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul scade conexiunea. Utilizați controlul certificat rădăcină bază de date sub lista verticală pentru a încărca certificatul rădăcină pentru această opțiune.
Solicitați TLS și verificați semnatarul certificatului și numele de gazdă	Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS. După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de la serverul de baze de date cu autoritatea de certificare din Certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul scade conexiunea. Nodurile verifică, de asemenea, dacă numele gazdei din certificatul de server se potrivește cu numele gazdei din câmpul Gazdă și port bază de date . Numele trebuie să se potrivească exact sau nodul scade conexiunea. Utilizați controlul certificat rădăcină bază de date sub lista verticală pentru a încărca certificatul rădăcină pentru această opțiune.

Când încărcați certificatul rădăcină (dacă este necesar) și faceți clic pe Continuați, instrumentul de configurare HDS testează conexiunea TLS la serverul de baze de date. Instrumentul verifică, de asemenea, semnatarul certificatului și numele de gazdă, dacă este cazul. Dacă un test nu reușește, instrumentul afișează un mesaj de eroare care descrie problema. Puteți alege dacă să ignorați eroarea și să continuați cu configurarea. (Din cauza diferențelor de conectivitate, nodurile HDS pot stabili conexiunea TLS, chiar dacă mașina instrumentului de configurare HDS nu o poate testa cu succes.)

13

Pe pagina Jurnale de sistem, configurați serverul Syslogd:

Introduceți URL-ul serverului syslog.

Dacă serverul nu este rezolvabil prin DNS de la noduri pentru clusterul dvs. HDS, utilizați o adresă IP în URL.

Exemplu:
udp://10.92.43.23:514 indică conectarea la gazda Syslogd 10.92.43.23 la portul UDP 514.
Dacă configurați serverul să utilizeze criptarea TLS, bifați Serverul syslog este configurat pentru criptarea SSL?.

Dacă bifați această casetă de selectare, asigurați-vă că introduceți un URL TCP, cum ar fi tcp://10.92.43.23:514.
Din lista derulantă Choose syslog recording termination (Alegeți înregistrarea syslog), alegeți setarea corespunzătoare pentru fișierul ISO: Alegeți dacă se utilizează linia nouă pentru Graylog și Rsyslog TCP
- Biți nuli -- \x00
- Linie nouă -- \n—Selectați această opțiune pentru Graylog și Rsyslog TCP.
Faceți clic pe Continuați.

14

(Opțional) Puteți modifica valoarea implicită pentru unii parametri de conexiune la baza de date în Setări avansate. În general, acest parametru este singurul parametru pe care s-ar putea să îl modificați:

app_datasource_connection_pool_maxMărime: 10

15

Faceți clic pe Continuați pe ecranul Resetați parola conturilor de serviciu .

Parolele conturilor de servicii au o durată de viață de nouă luni. Utilizați acest ecran când parolele se apropie de expirare sau doriți să le resetați pentru a anula fișierele ISO anterioare.

16

Faceți clic pe Descărcați fișierul ISO. Salvați fișierul într-o locație ușor de găsit.

17

Faceți o copie de rezervă a fișierului ISO în sistemul local.

Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la acei administratori de securitate a datelor hibride care ar trebui să efectueze modificări de configurație.

18

Pentru a închide instrumentul de configurare, tastați CTRL+C.

Ce este de făcut în continuare

Copie de rezervă a fișierului ISO de configurare. Aveți nevoie de acesta pentru a crea mai multe noduri pentru recuperare sau pentru a efectua modificări de configurație. Dacă pierdeți toate copiile fișierului ISO, ați pierdut și cheia principală. Recuperarea cheilor din baza de date PostgreSQL sau Microsoft SQL Server nu este posibilă.

Nu avem niciodată o copie a acestei chei și nu vă putem ajuta dacă o pierdeți.

Instalați gazda HDS OVA

Utilizați această procedură pentru a crea o mașină virtuală din fișierul OVA.

1	Utilizați clientul VMware vSphere de pe computerul dvs. pentru a vă conecta la gazda virtuală ESXi.
2	Selectați Fișier > Implementare șablon OVF.
3	În expert, specificați locația fișierului OVA pe care l-ați descărcat mai devreme, apoi faceți clic pe Înainte.
4	Pe pagina Selectați un nume și un folder , introduceți un Nume mașină virtuală pentru nod (de exemplu, „HDS_Node_1”), alegeți o locație în care poate fi găzduită implementarea nodului mașinii virtuale, apoi faceți clic pe Înainte.
5	Pe pagina Selectați o resursă de calcul , alegeți resursa de calcul de destinație, apoi faceți clic pe Înainte. Se execută o verificare de validare. După ce se termină, apar detaliile șablonului.
6	Verificați detaliile șablonului, apoi faceți clic pe Înainte.
7	Dacă vi se solicită să alegeți configurația resursei pe pagina Configurare , faceți clic pe 4 CPU , apoi faceți clic pe Înainte.
8	Pe pagina Selectați spațiul de stocare , faceți clic pe Înainte pentru a accepta formatul de disc și politica de stocare VM implicită.
9	Pe pagina Selectați rețele , selectați opțiunea de rețea din lista de intrări pentru a asigura conectivitatea dorită la VM.
10	Pe pagina Particularizare șablon , configurați următoarele setări de rețea: Nume gazdă—Introduceți FQDN (nume de gazdă și domeniu) sau un singur cuvânt nume de gazdă pentru nod. Nu este necesar să setați domeniul ca să corespundă domeniului pe care l-ați utilizat pentru a obține certificatul X.509. Pentru a asigura o înregistrare reușită în cloud, utilizați numai caractere mici în FQDN sau numele gazdei pe care l-ați setat pentru nod. Capitalizarea nu este acceptată în acest moment. Lungimea totală a FQDN nu trebuie să depășească 64 de caractere. Adresă IP— Introduceți adresa IP pentru interfața internă a nodului. Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat. Mască—Introduceți adresa măștii de subrețea în notație cu zecimale. De exemplu, 255.255.255.0. Gateway – Introduceți adresa IP a gateway-ului. Un gateway este un nod de rețea care servește ca punct de acces la o altă rețea. Servere DNS—Introduceți o listă de servere DNS separate prin virgulă, care se ocupă de traducerea numelor de domenii în adrese IP numerice. (Sunt permise până la 4 intrări DNS.) Servere NTP – Introduceți serverul NTP al organizației dvs. sau alt server NTP extern care poate fi utilizat în organizația dvs. Este posibil ca serverele NTP implicite să nu funcționeze pentru toate întreprinderile. De asemenea, puteți utiliza o listă separată prin virgulă pentru a introduce mai multe servere NTP. Implementați toate nodurile din aceeași subrețea sau VLAN, astfel încât toate nodurile dintr-un cluster să fie accesibile de la clienții din rețeaua dvs., în scopuri administrative. Dacă preferați, puteți sări peste configurația setărilor de rețea și să urmați pașii din Configurați VM de securitate a datelor hibride pentru a configura setările de la consola de nod. Opțiunea de a configura setările de rețea în timpul implementării OVA a fost testată cu ESXi 7.0. Este posibil ca această opțiune să nu fie disponibilă în versiunile anterioare.
11	Faceți clic dreapta pe VM nod, apoi alegeți Alimentare > Alimentare pornită. Software-ul de securitate a datelor hibride este instalat ca invitat pe gazda VM. Acum sunteți gata să vă conectați la consolă și să configurați nodul. Sfaturi de depanare Este posibil să întâmpinați o întârziere de câteva minute înainte de apariția containerelor nodului. În timpul primei boot-ări, apare un mesaj firewall de punte pe consolă, în timpul căruia nu vă puteți conecta.

Configurați VM de securitate a datelor hibride

Utilizați această procedură pentru a vă conecta pentru prima dată la consola VM a nodului de securitate a datelor hibride și a seta acreditările de conectare. De asemenea, puteți utiliza consola pentru a configura setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.

1	În clientul VMware vSphere, selectați VM nodul de securitate a datelor hibride și selectați fila Consolă . VM pornește și apare o solicitare de conectare. Dacă mesajul de conectare nu se afișează, apăsați Enter.
2	Utilizați următoarele date de conectare și parolă implicite pentru a vă conecta și a modifica datele de autentificare: Conectați-vă: `administrator` Parolă: `cisco (dezambiguizare)` Din moment ce vă conectați pentru prima dată la VM, trebuie să schimbați parola de administrator.
3	Dacă ați configurat deja setările de rețea în Instalați OVA gazdă HDS, omiteți restul acestei proceduri. În caz contrar, selectați opțiunea Editare configurație din meniul principal.
4	Configurați o configurație statică cu informații despre adresa IP, mască, gateway și DNS. Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat.
5	(Opțional) Schimbați numele de gazdă, domeniul sau serverul(serverele) NTP, dacă este necesar pentru a corespunde politicii dvs. de rețea. Nu este necesar să setați domeniul ca să corespundă domeniului pe care l-ați utilizat pentru a obține certificatul X.509.
6	Salvați configurația de rețea și reporniți VM pentru ca modificările să aibă efect.

Încărcarea și montarea ISO de configurare HDS

Utilizați această procedură pentru a configura mașina virtuală din fișierul ISO pe care l-ați creat cu instrumentul de configurare HDS.

Înainte de a începe

Deoarece fișierul ISO deține cheia principală, acesta ar trebui să fie expus numai pe baza necesității de a cunoaște, pentru accesul VM-urilor de securitate a datelor hibride și al oricăror administratori care ar putea fi nevoiți să facă modificări. Asigurați-vă că numai acei administratori pot accesa dataStore.

1

Încărcați fișierul ISO de pe computerul dvs.:

În panoul de navigare stânga al clientului VMware vSphere, faceți clic pe serverul ESXi.
În lista Hardware a filei Configurare, faceți clic pe Stocare.
În lista Datastores, faceți clic dreapta pe datastore pentru VM-urile dvs. și faceți clic pe Răsfoiți Datastore.
Faceți clic pe pictograma Încărcare fișiere, apoi faceți clic pe Încărcare fișier.
Navigați la locația în care ați descărcat fișierul ISO pe computer și faceți clic pe Deschidere.
Faceți clic pe Da pentru a accepta avertismentul operațiunii de încărcare/descărcare și a închide caseta de dialog a datelor.

2

Montează fișierul ISO:

În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările.
Faceți clic pe OK pentru a accepta avertismentul cu opțiuni de editare restricționate.
Faceți clic pe CD/DVD Drive 1, selectați opțiunea de montare dintr-un fișier ISO de bază de date și navigați la locația în care ați încărcat fișierul ISO de configurare.
Bifați opțiunea Conectat și Conectare la pornire.
Salvați modificările și reporniți mașina virtuală.

Ce este de făcut în continuare

Dacă politica IT solicită, puteți, opțional, să demontați fișierul ISO după ce toate nodurile preiau modificările de configurație. Consultați (Opțional) Demontați ISO după configurarea HDS pentru detalii.

Configurarea nodului HDS pentru integrarea proxy

Dacă mediul de rețea necesită un proxy, utilizați această procedură pentru a specifica tipul de proxy pe care doriți să îl integrați cu Securitatea datelor hibride. Dacă alegeți un proxy de inspectare transparent sau un proxy explicit HTTPS, puteți utiliza interfața nodului pentru a încărca și instala certificatul rădăcină. De asemenea, puteți verifica conexiunea proxy din interfață și puteți depana orice probleme potențiale.

Înainte de a începe

Consultați Suport proxy pentru o prezentare generală a opțiunilor proxy acceptate.
Cerințe server proxy

1	Introduceți URL-ul de configurare a nodului HDS `https://[HDS Node IP sau FQDN]/setup` într-un browser web, introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.
2	Accesați Trust Store & Proxy, apoi alegeți o opțiune: Fără proxy—Opțiunea implicită înainte de a integra un proxy. Nu este necesară actualizarea certificatului. Proxy transparent fără inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy și nu ar trebui să necesite modificări pentru a funcționa cu un proxy fără inspectare. Nu este necesară actualizarea certificatului. Proxy de inspectare transparent—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy. Nu sunt necesare modificări de configurare HTTPS pe implementarea hibride de securitate a datelor, cu toate acestea, nodurile HDS au nevoie de un certificat rădăcină, astfel încât acestea să aibă încredere în proxy. Proxy-urile de inspectare sunt de obicei utilizate de IT pentru a aplica politici pe care site-urile web pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS). Proxy explicit—Cu proxy explicit, spuneți clientului (nodurilor HDS) ce server proxy să utilizeze, iar această opțiune acceptă mai multe tipuri de autentificare. După ce alegeți această opțiune, trebuie să introduceți următoarele informații: IP/FQDN proxy—Adresa care poate fi utilizată pentru a accesa computerul proxy. Port proxy—Un număr de port utilizat de proxy pentru a asculta traficul protejat. Protocol proxy—Alegeți http (vizualizează și controlează toate solicitările primite de la client) sau https (oferă un canal către server, iar clientul primește și validează certificatul serverului). Alegeți o opțiune în funcție de ceea ce acceptă serverul proxy. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare: Fără—Nu este necesară mai multă autentificare. Disponibil pentru proxy-uri HTTP sau HTTPS. De bază—Utilizat pentru un agent de utilizator HTTP care furnizează un nume de utilizator și o parolă atunci când efectuează o solicitare. Utilizează codificarea Base64. Disponibil pentru proxy-uri HTTP sau HTTPS. Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola. Rezumat- Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite prin rețea. Disponibil numai pentru proxy-uri HTTPS. Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola. Urmați pașii următori pentru un proxy de inspectare transparent, un proxy explicit HTTP cu autentificare de bază sau un proxy explicit HTTPS.
3	Faceți clic pe Încărcare certificat rădăcină sau certificat de entitate de sfârșit , apoi navigați la o alegeți certificatul rădăcină pentruproxy. Certificatul este încărcat, dar nu este încă instalat, deoarece trebuie să reporniți nodul pentru a instala certificatul. Faceți clic pe săgeata ghilimelei unghiulare de numele emitentului certificatului pentru a obține mai multe detalii sau faceți clic pe Ștergere dacă ați făcut o greșeală și doriți să reîncărcați fișierul.
4	Faceți clic pe Verificare conexiune proxy pentru a testa conectivitatea la rețea între nod și proxy. Dacă testul de conexiune nu reușește, veți vedea un mesaj de eroare care arată motivul și modul în care puteți corecta problema. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a reușit, nodul nu a reușit să ajungă la serverul DNS. Această condiție este de așteptat în multe configurații proxy explicite. Puteți continua configurarea, iar nodul va funcționa în modul Rezoluție DNS externă blocată. Dacă considerați că aceasta este o eroare, parcurgeți acești pași și apoi consultați Dezactivare mod rezoluție DNS externă blocată.
5	După ce trece testul de conexiune, pentru proxy explicit setat la https numai, activați comutatorul pentru a ruta toate port 443/444 https solicitările de la acest nod prin proxy explicit. Această setare necesită 15 secunde pentru a intra în vigoare.
6	Faceți clic pe Instalare toate certificatele în Depozitul de încredere (apare pentru un proxy explicit HTTPS sau un proxy de inspectare transparent) sau pe Repornire (apare pentru un proxy explicit HTTP), citiți solicitarea, apoi faceți clic pe Instalare dacă sunteți gata. Nodul repornește în câteva minute.
7	După repornirea nodului, conectați-vă din nou, dacă este necesar, apoi deschideți pagina Prezentare generală pentru a verifica verificările de conectivitate pentru a vă asigura că toate sunt în stare verde. Verificarea conexiunii proxy testează numai un subdomeniu de webex.com. Dacă există probleme de conectivitate, o problemă comună este că unele dintre domeniile cloud listate în instrucțiunile de instalare sunt blocate la proxy.

Înscrieți primul nod din cluster

Această sarcină preia nodul generic pe care l-ați creat în Configurați VM de securitate a datelor hibride, înregistrează nodul în cloudul Webex și îl transformă într-un nod de securitate a datelor hibride.

Când înscrieți primul nod, creați un cluster căruia îi este atribuit nodul. Un cluster conține unul sau mai multe noduri implementate pentru a asigura redundanța.

Înainte de a începe

După ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți din nou.
Asigurați-vă că orice blocare a ferestrelor pop-up din browser este dezactivată sau că permiteți o excepție pentru admin.webex.com.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți cardul Securitate a datelor hibride și faceți clic pe Configurare.
4	În pagina care se deschide, faceți clic pe Adăugați o resursă.
5	În primul câmp al cardului Adăugați un nod , introduceți un nume pentru clusterul căruia doriți să îi atribuiți nodul de securitate a datelor hibride. Vă recomandăm să denumiți un cluster în funcție de locul geografic în care se află nodurile clusterului. Exemple: "San Francisco" sau "New York" sau "Dallas"
6	În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Adăugare în partea de jos a ecranului. Această adresă IP sau FQDN trebuie să corespundă adresei IP sau numelui gazdei și domeniului pe care le-ați utilizat în Configurați VM de securitate a datelor hibride. Apare un mesaj care indică faptul că vă puteți înscrie nodul în Webex.
7	Faceți clic pe Accesați nodul. După câteva momente, veți fi redirecționat(ă) către testele de conectivitate a nodului pentru serviciile Webex. Dacă toate testele sunt reușite, apare pagina Permiteți accesul la Nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați organizației dvs. Webex permisiuni pentru a vă accesa nodul.
8	Bifați caseta de selectare Permiteți accesul la nodul de securitate a datelor hibride , apoi faceți clic pe Continuați. Contul dvs. este validat, iar mesajul „Înscriere finalizată” indică faptul că nodul dvs. este acum înscris în cloudul Webex.
9	Faceți clic pe link sau închideți fila pentru a reveni la pagina Securitatea datelor hibride Partner Hub. Pe pagina Securitatea datelor hibride , noul cluster care conține nodul pe care l-ați înscris este afișat în fila Resurse . Nodul va descărca automat cel mai recent software din cloud.

Creați și înscrieți mai multe noduri

Pentru a adăuga noduri suplimentare la clusterul dvs., trebuie doar să creați VM suplimentare și să montați același fișier ISO de configurare, apoi să înregistrați nodul. Vă recomandăm să aveți cel puțin 3 noduri.

Înainte de a începe

După ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți din nou.
Asigurați-vă că orice blocare a ferestrelor pop-up din browser este dezactivată sau că permiteți o excepție pentru admin.webex.com.

1	Creați o nouă mașină virtuală din OVA, repetând pașii din Instalați OVA gazdă HDS.
2	Configurați configurația inițială pe noul VM, repetând pașii din Configurați VM de securitate a datelor hibride.
3	Pe noul VM, repetați pașii din Încărcarea și montarea ISO de configurare HDS.
4	Dacă configurați un proxy pentru implementarea dvs., repetați pașii din Configurați nodul HDS pentru integrarea proxy după cum este necesar pentru nodul nou.
5	Înscrieți nodul. În https://admin.webex.com, selectați Servicii din meniul din partea stângă a ecranului. În secțiunea Servicii cloud, găsiți cardul Securitate a datelor hibride și faceți clic pe Vizualizați toate. Apare pagina Resurse de securitate a datelor hibride. Clusterul nou creat va apărea în pagina Resurse . Faceți clic pe cluster pentru a vizualiza nodurile alocate clusterului. Faceți clic pe Adăugați un nod în partea dreaptă a ecranului. Introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Adăugați. Se deschide o pagină cu un mesaj care indică faptul că vă puteți înscrie nodul în cloudul Webex. După câteva momente, veți fi redirecționat(ă) către testele de conectivitate a nodului pentru serviciile Webex. Dacă toate testele sunt reușite, apare pagina Permiteți accesul la Nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați organizației dvs. permisiuni pentru a vă accesa nodul. Bifați caseta de selectare Permiteți accesul la nodul de securitate a datelor hibride , apoi faceți clic pe Continuați. Contul dvs. este validat, iar mesajul „Înscriere finalizată” indică faptul că nodul dvs. este acum înscris în cloudul Webex. Faceți clic pe link sau închideți fila pentru a reveni la pagina Securitatea datelor hibride Partner Hub. Mesajul pop-up Adăugat la nod apare, de asemenea, în partea de jos a ecranului din Partner Hub. Nodul dvs. este înregistrat.

Gestionați organizațiile entității găzduite pe securitatea datelor hibride cu entități găzduite multiple

Activați HDS cu entități găzduite multiple în Partner Hub

Această sarcină asigură că toți utilizatorii organizațiilor client pot începe să utilizeze HDS pentru cheile de criptare locale și alte servicii de securitate.

Înainte de a începe

Asigurați-vă că ați finalizat configurarea clusterului HDS cu entități găzduite multiple cu numărul necesar de noduri.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Editare setări.
4	Faceți clic pe Activare HDS pe cardul Stare HDS .

Adăugați organizații ale entităților găzduite în Partner Hub

În această sarcină, alocați organizații client la Clusterul dvs. de securitate a datelor hibride.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Vizualizați toate.
4	Faceți clic pe clusterul căruia doriți să i se atribuie un client.
5	Accesați fila Clienți alocați .
6	Faceți clic pe Adăugați clienți.
7	Selectați clientul pe care doriți să îl adăugați din meniul derulant.
8	Faceți clic pe Adăugare, clientul va fi adăugat la cluster.
9	Repetați pașii 6-8 pentru a adăuga mai mulți clienți la clusterul dvs.
10	Faceți clic pe Gata în partea de jos a ecranului după ce ați adăugat clienții.

Ce este de făcut în continuare

Rulați instrumentul de configurare HDS conform detaliilor din Creați chei principale ale clientului (CMK) utilizând instrumentul de configurare HDS pentru a finaliza procesul de configurare.

Creați chei principale ale clientului (CMK) utilizând instrumentul de configurare HDS

Înainte de a începe

Alocați clienți la clusterul corespunzător, după cum este detaliat în Adăugați organizații găzduite în Partner Hub. Rulați instrumentul de configurare HDS pentru a finaliza procesul de configurare pentru organizațiile client nou adăugate.

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită detaliile de autentificare ale unui cont Partner Hub cu drepturi de administrator depline pentru organizația dvs.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker la pasul 5. Acest tabel oferă câteva posibile variabile de mediu:

Descriere	Variabilă
Proxy HTTP fără autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS fără autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP cu autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT`
Proxy HTTPS cu autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT`

Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier ori de câte ori efectuați modificări de configurație, cum ar fi:
- Acreditări bază de date
- Actualizări certificat
- Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile bazei de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi, utilizați ISO pentru a configura gazda de securitate a datelor hibride.

1	La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite: `configurare rmi ciscocitg/hds: stabil` În mediile FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.
2	Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele: `docker login -u hdscustomersro`
3	La solicitarea parolei, introduceți acest hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite: `configurație ciscocitg/hds docker: stabil` În mediile FedRAMP: `docker extragere ciscocitg/hds-setup-fedramp:stabil`
5	Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În mediile FedRAMP fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”.
6	Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală. Utilizați un browser web pentru a accesa gazda locală `http://127.0.0.1:8080` și a introduce numele de utilizator de administrator pentru Partner Hub la solicitare. Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul corespunzător pentru acel cont. Instrumentul afișează apoi mesajul standard de conectare.
7	Când vi se solicită, introduceți acreditările de conectare de administrator Partner Hub, apoi faceți clic pe Conectați-vă pentru a permite accesul la serviciile necesare pentru Securitatea datelor hibride.
8	Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Începeți.
9	Pe pagina Import ISO , faceți clic pe Da.
10	Selectați fișierul dvs. ISO în browser și încărcați-l. Asigurați conexiunea la baza dvs. de date pentru a efectua gestionarea CMK.
11	Accesați fila Administrare CMK entitate găzduită , unde veți găsi următoarele trei modalități de a gestiona CMK entitate găzduită. Creare CMK pentru toate ORGANIZAȚIILE sau Creare CMK - Faceți clic pe acest buton de pe bannerul din partea de sus a ecranului pentru a crea CMK pentru toate organizațiile nou adăugate. Faceți clic pe butonul Gestionare CMK din partea dreaptă a ecranului și faceți clic pe Creare CMK pentru a crea CMK-uri pentru toate organizațiile nou adăugate. Faceți clic… lângă starea în așteptare a gestionării CMK a unei anumite organizații din tabel și faceți clic pe Creați CMK pentru a crea CMK pentru organizația respectivă.
12	Odată ce crearea CMK reușește, starea din tabel se va schimba din În așteptare gestionare CMK în Gestionat CMK.
13	Dacă crearea CMK nu reușește, se va afișa o eroare.

Eliminați organizațiile entității găzduite

Înainte de a începe

După eliminare, utilizatorii organizațiilor client nu vor putea folosi HDS pentru nevoile lor de criptare și vor pierde toate spațiile existente. Înainte de a elimina organizațiile client, contactați-vă partenerul Cisco sau managerul de cont.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Vizualizați toate.
4	În fila Resurse , faceți clic pe clusterul din care doriți să eliminați organizațiile client.
5	În pagina care se deschide, faceți clic pe Clienți alocați.
6	Din lista de organizații client care se afișează, faceți clic pe ... în partea dreaptă a organizației client pe care doriți să o eliminați și faceți clic pe Eliminare din cluster.

Ce este de făcut în continuare

Finalizați procesul de eliminare prin revocarea CMK-urilor organizațiilor client, așa cum este detaliat în Revocarea CMK-urilor entităților găzduite eliminate din HDS.

Revocați CMK-urile entităților găzduite eliminate din HDS.

Înainte de a începe

Eliminați clienții din clusterul corespunzător, așa cum este detaliat în Eliminați organizațiile entității găzduite. Rulați instrumentul de configurare HDS pentru a finaliza procesul de eliminare pentru organizațiile client care au fost eliminate.

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită detaliile de autentificare ale unui cont Partner Hub cu drepturi de administrator depline pentru organizația dvs.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker la pasul 5. Acest tabel oferă câteva posibile variabile de mediu:

Descriere	Variabilă
Proxy HTTP fără autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS fără autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP cu autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT`
Proxy HTTPS cu autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT`

Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier ori de câte ori efectuați modificări de configurație, cum ar fi:
- Acreditări bază de date
- Actualizări certificat
- Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile bazei de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi, utilizați ISO pentru a configura gazda de securitate a datelor hibride.

1	La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite: `configurare rmi ciscocitg/hds: stabil` În mediile FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.
2	Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele: `docker login -u hdscustomersro`
3	La solicitarea parolei, introduceți acest hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite: `configurație ciscocitg/hds docker: stabil` În mediile FedRAMP: `docker extragere ciscocitg/hds-setup-fedramp:stabil`
5	Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În mediile FedRAMP fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”.
6	Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală. Utilizați un browser web pentru a accesa gazda locală `http://127.0.0.1:8080` și a introduce numele de utilizator de administrator pentru Partner Hub la solicitare. Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul corespunzător pentru acel cont. Instrumentul afișează apoi mesajul standard de conectare.
7	Când vi se solicită, introduceți acreditările de conectare de administrator Partner Hub, apoi faceți clic pe Conectați-vă pentru a permite accesul la serviciile necesare pentru Securitatea datelor hibride.
8	Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Începeți.
9	Pe pagina Import ISO , faceți clic pe Da.
10	Selectați fișierul dvs. ISO în browser și încărcați-l.
11	Accesați fila Administrare CMK entitate găzduită , unde veți găsi următoarele trei modalități de a gestiona CMK entitate găzduită. Revocare CMK pentru toate ORGANIZAȚIILE sau Revocare CMK - Faceți clic pe acest buton de pe bannerul din partea de sus a ecranului pentru a revoca CMK-urile tuturor organizațiilor care au fost eliminate. Faceți clic pe butonul Gestionare CMK din partea dreaptă a ecranului și faceți clic pe Revocare CMK pentru a revoca CMK-urile tuturor organizațiilor care au fost eliminate. Faceți clic pe lângă starea CMK pentru a fi revocată a unei anumite organizații din tabel și faceți clic pe Revocare CMK pentru a revoca CMK pentru organizația respectivă.
12	Odată ce revocarea CMK reușește, organizația client nu va mai apărea în tabel.
13	Dacă revocarea CMK nu reușește, se va afișa o eroare.

Testați implementarea securității datelor hibride

Utilizați această procedură pentru a testa scenariile de criptare a securității datelor hibride cu entități găzduite multiple.

Înainte de a începe

Configurați implementarea securității datelor hibride cu entități găzduite multiple.
Asigurați-vă că aveți acces la syslog pentru a verifica dacă solicitările cheie sunt transmise la implementarea securității datelor hibride cu entități găzduite multiple.

1

Tastele pentru un anumit spațiu sunt setate de către creatorul spațiului. Conectați-vă la Aplicația Webex ca unul dintre utilizatorii organizației client, apoi creați un spațiu.

Dacă dezactivați implementarea securității datelor hibride, conținutul din spațiile pe care le creează utilizatorii nu mai este accesibil odată ce copiile din memoria cache a cheilor de criptare sunt înlocuite.

2

Trimiteți mesaje către noul spațiu.

3

Verificați ieșirea syslog pentru a verifica dacă solicitările cheie sunt transmise la implementarea securității datelor hibride.

Pentru a verifica dacă un utilizator stabilește mai întâi un canal securizat către KMS, filtrați după kms.data.method=create și kms.data.type=COLLECTION_KEY_:

Ar trebui să găsiți o intrare precum următoarea (identificatori scurtați pentru lizibilitate):

2020-07-21 17:35:34.562 (+0000) INFORMAȚII KMS [pool-14-thread-1] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Pentru a verifica dacă un utilizator solicită o cheie existentă din KMS, filtrați kms.data.method=retrieve și kms.data.type=KEY:

Ar trebui să găsiți o intrare precum:

2020-07-21 17:44:19.889 (+0000) INFORMAȚII KMS [pool-14-thread-31] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=CHEIE, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Pentru a verifica dacă există un utilizator care solicită crearea unei noi chei KMS, filtrați după kms.data.method=create și kms.data.type=KEY_COLLECTION:

Ar trebui să găsiți o intrare precum:

2020-07-21 17:44:21.975 (+0000) INFORMAȚII KMS [pool-14-thread-33] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Pentru a verifica dacă un utilizator solicită crearea unui nou obiect de resurse KMS (KRO) atunci când este creat un spațiu sau o altă resursă protejată, filtrați după kms.data.method=create și kms.data.type=RESOURCE_COLLECTION:

Ar trebui să găsiți o intrare precum:

2020-07-21 17:44:22.808 (+0000) INFORMAȚII KMS [pool-15-thread-1] - [KMS:REQUEST] primit, dispozitivId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURSĂ_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorizați Securitatea datelor hibride

Un indicator de stare din Partner Hub vă arată dacă implementarea securității datelor hibride cu entități găzduite multiple este în regulă. Pentru o alertă mai proactivă, înscrieți-vă pentru notificări prin e-mail. Veți fi notificat atunci când există alarme sau upgrade-uri de software cu impact asupra serviciului.

1	În Partner Hub, selectați Servicii din meniul din partea stângă a ecranului.
2	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Editare setări. Apare pagina Setări de securitate a datelor hibride.
3	În secțiunea Notificări prin e-mail, introduceți una sau mai multe adrese de e-mail separate prin virgule și apăsați Enter.

Gestionați implementarea HDS

Utilizați sarcinile descrise aici pentru a gestiona implementarea securității datelor hibride.

Setați programarea upgrade-ului clusterului

Upgrade-urile software pentru Securitatea datelor hibride se efectuează automat la nivel de cluster, ceea ce garantează faptul că toate nodurile rulează întotdeauna aceeași versiune software. Upgrade-urile se efectuează în funcție de programul de upgrade pentru cluster. Atunci când un upgrade de software devine disponibil, aveți opțiunea de a efectua manual upgrade-ul clusterului înainte de ora programată pentru upgrade. Puteți seta un anumit program de upgrade sau puteți utiliza programul implicit de upgrade de la ora 3:00 a.m. Zilnic în Statele Unite: America/Los Angeles. De asemenea, puteți alege să amânați un upgrade viitor, dacă este necesar.

Pentru a seta programul de upgrade:

1	Conectați-vă la Hubul pentru parteneri.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Configurare
4	Pe pagina Resurse de securitate a datelor hibride, selectați clusterul.
5	Faceți clic pe fila Setări cluster .
6	În pagina Setări cluster, sub Programare upgrade, selectați ora și fusul orar pentru programarea upgrade-ului. Notă: În fusul orar se afișează următoarea dată și oră de upgrade disponibile. Puteți amâna upgrade-ul până în ziua următoare, dacă este necesar, făcând clic pe Amânare cu 24 de ore.

Modificați configurația nodului

Ocazional, poate fi necesar să modificați configurația nodului hibrid de securitate a datelor dintr-un motiv ar fi:

Modificarea certificatelor x.509 din cauza expirării sau din alte motive.

Nu acceptăm schimbarea numelui de domeniu CN al unui certificat. Domeniul trebuie să se potrivească cu domeniul inițial utilizat pentru înregistrarea clusterului.
Actualizarea setărilor bazei de date pentru a trece la o replică a bazei de date PostgreSQL sau Microsoft SQL Server.

Nu acceptăm migrarea datelor de la PostgreSQL la Microsoft SQL Server sau invers. Pentru a schimba mediul bazei de date, începeți o nouă implementare a Hybrid Data Security.
Crearea unei noi configurații pentru a pregăti un nou centru de date.

De asemenea, în scopuri de securitate, Hybrid Data Security utilizează parole de cont de serviciu care au o durată de viață de nouă luni. După ce instrumentul de instalare HDS generează aceste parole, le implementați la fiecare dintre nodurile HDS în fișierul de configurare ISO. Când parolele organizației se apropie de expirare, primiți o notificare de la echipa Webex pentru a reseta parola pentru contul dvs. (E-mailul include textul „Utilizați API-ul contului de mașină pentru a actualiza parola.”) Dacă parolele nu au expirat încă, instrumentul vă oferă două opțiuni:

Resetare ușoară—Parolele vechi și cele noi funcționează timp de până la 10 zile. Folosiți această perioadă pentru a înlocui treptat fișierul ISO pe noduri.
Resetare forțată—Parolele vechi nu mai funcționează imediat.

Dacă parolele dvs. expiră fără resetare, acest lucru va afecta serviciul HDS, necesitând o resetare hardware imediată și înlocuirea fișierului ISO pe toate nodurile.

Utilizați această procedură pentru a genera un nou fișier ISO de configurare și pentru a-l aplica clusterului dvs.

Înainte de a începe

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită datele de autentificare ale unui cont Partner Hub cu drepturi depline de administrator pentru partener.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker în 1.e. Acest tabel oferă câteva posibile variabile de mediu:

Descriere	Variabilă
Proxy HTTP fără autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS fără autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP cu autentificare	`_AGENT GLOBAL_HTTP_PROXY=http://nume utilizator:password@server_IP:PORT`
Proxy HTTPS cu autentificare	`_AGENT GLOBAL_HTTPS_PROXY=http://nume utilizator:password@server_IP:PORT`

Aveți nevoie de o copie a fișierului ISO de configurare curent pentru a genera o nouă configurație. ISO conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de ISO când faceți modificări de configurare, inclusiv acreditările bazei de date, actualizări de certificate sau modificări ale politicii de autorizare.

1	Folosind Docker pe o mașină locală, rulați Instrumentul de configurare HDS. La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite: `configurare rmi ciscocitg/hds: stabil` În mediile FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora. Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele: `docker login -u hdscustomersro` La solicitarea parolei, introduceți acest hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite: `configurație ciscocitg/hds docker: stabil` În mediile FedRAMP: `docker extragere ciscocitg/hds-setup-fedramp:stabil` Asigurați-vă că utilizați cel mai recent instrument de configurare pentru această procedură. Versiunile instrumentului create înainte de 22 februarie 2018 nu au ecrane de resetare a parolei. Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În medii obișnuite cu un HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În mediile FedRAMP fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Când containerul se execută, vedeți "Express server de ascultare pe portul 8080." Utilizați un browser pentru a vă conecta la localhost, `http://127.0.0.1:8080`. Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală. Când vi se solicită, introduceți acreditările de conectare ale clientului Partner Hub și apoi faceți clic pe Acceptați pentru a continua. Importați fișierul ISO de configurare curentă. Urmați instrucțiunile pentru a finaliza instrumentul și descărcați fișierul actualizat. Pentru a închide instrumentul de configurare, tastați `CTRL+C`. Creați o copie de rezervă a fișierului actualizat într-un alt centru de date.
2	Dacă aveți un singur nod HDS care rulează, creați un nou VM nod de securitate a datelor hibride și înregistrați-l utilizând noul fișier ISO de configurare. Pentru instrucțiuni mai detaliate, consultați Creați și înscrieți mai multe noduri. Instalați OVA gazdă HDS. Configurați VM HDS. Montați fișierul de configurare actualizat. Înscrieți noul nod în Partner Hub.
3	Pentru nodurile HDS existente care rulează fișierul de configurare mai vechi, montați fișierul ISO. Efectuați următoarea procedură pe fiecare nod pe rând, actualizând fiecare nod înainte de a opri următorul nod: Opriți mașina virtuală. În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările. Faceți clic pe `UNITATE CD/DVD 1`, selectați opțiunea de montare dintr-un fișier ISO și navigați la locația în care ați descărcat noul fișier ISO de configurare. Bifaţi Conectare la pornire. Salvați modificările și porniți mașina virtuală.
4	Repetați pasul 3 pentru a înlocui configurația pe fiecare nod rămas care rulează configurația veche.

Dezactivarea modului de rezoluție DNS extern blocat

Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează căutarea DNS și conectivitatea la cloud-ul Cisco Webex. Dacă serverul DNS al nodului nu poate rezolva numele DNS publice, nodul intră automat în modul Rezoluție DNS externă blocată.

Dacă nodurile sunt capabile să rezolve numele DNS publice prin serverele DNS interne, puteți dezactiva acest mod prin reluarea testului de conexiune proxy pe fiecare nod.

Înainte de a începe

Asigurați-vă că serverele DNS interne pot rezolva numele DNS publice și că nodurile pot comunica cu acestea.

1	Într-un browser web, deschideți interfața nodului Hibrid Data Security (adresa IP/configurare, de exemplu, https://192.0.2.0/setup), introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.
2	Accesați Prezentare generală (pagina implicită). Când este activată, Rezoluția DNS externă blocată este setată la Da.
3	Accesați pagina Trust Store & Proxy.
4	Faceți clic pe Verificare conexiune proxy. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a avut succes, nodul nu a reușit să ajungă la serverul DNS și va rămâne în acest mod. În caz contrar, după ce reporniți nodul și reveniți la pagina Prezentare generală, Rezoluția DNS externă blocată ar trebui să fie setată la nu.

Ce trebuie să faceți în continuare

Repetați testul de conexiune proxy pe fiecare nod din clusterul hibrid de securitate a datelor.

Eliminați un nod

Utilizați această procedură pentru a elimina un nod de securitate a datelor hibride din cloudul Webex. După ce eliminați nodul din cluster, ștergeți mașina virtuală pentru a preveni accesul în continuare la datele dvs. de securitate.

1

Utilizați clientul VMware vSphere de pe computerul dvs. pentru a vă conecta la gazda virtuală ESXi și pentru a porni mașina virtuală.

2

Eliminați nodul:

Conectați-vă la Partner Hub, apoi selectați Servicii.
Pe cardul Securitate a datelor hibride, faceți clic pe Vizualizați toate pentru a afișa pagina Resurse de securitate a datelor hibride.
Selectați clusterul pentru a-și afișa panoul Prezentare generală.
Faceți clic pe nodul pe care doriți să îl eliminați.
Faceți clic pe Anulați înscrierea acestui nod în panoul care apare în partea dreaptă
De asemenea, puteți anula înscrierea nodului făcând clic… în partea dreaptă a nodului și selectând Eliminați acest nod.

3

În clientul vSphere, ștergeți VM. (În panoul de navigare din stânga, faceți clic dreapta pe VM și faceți clic pe Ștergere.)

Dacă nu ștergeți VM, nu uitați să demontați fișierul ISO de configurare. Fără fișierul ISO, nu puteți utiliza VM pentru a accesa datele de securitate.

Recuperarea după dezastru utilizând centrul de date în așteptare

Cel mai critic serviciu pe care clusterul dvs. de securitate a datelor hibride îl oferă este crearea și stocarea cheilor utilizate pentru a cripta mesajele și alt conținut stocat în cloudul Webex. Pentru fiecare utilizator din organizație care este atribuit Securitatea datelor hibride, noile solicitări de creare a cheii sunt direcționate către cluster. Clusterul este, de asemenea, responsabil pentru returnarea cheilor pe care le-a creat oricărui utilizator autorizat să le recupereze, de exemplu, membrilor unui spațiu de conversație.

Deoarece clusterul îndeplinește funcția critică de furnizare a acestor chei, este imperativ ca clusterul să rămână în funcțiune și să fie menținute copiile de rezervă corespunzătoare. Pierderea bazei de date hibride de securitate a datelor sau a ISO-ului de configurare utilizat pentru schemă va duce la PIERDEREA IREVERSIBILĂ a conținutului clientului. Pentru a preveni o astfel de pierdere sunt obligatorii următoarele practici:

Dacă un dezastru face ca implementarea HDS în centrul de date principal să devină indisponibilă, urmați această procedură pentru a trece manual la centrul de date în așteptare.

Înainte de a începe

Anulați înscrierea tuturor nodurilor din Partner Hub, după cum este menționat în Eliminați un nod. Utilizați cel mai recent fișier ISO care a fost configurat în raport cu nodurile clusterului care era activ anterior, pentru a efectua procedura de reluare în caz de nereușită menționată mai jos.

1	Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.
2	Finalizați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit.
3	Faceți o copie de rezervă a fișierului ISO în sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la acei administratori de securitate a datelor hibride care ar trebui să efectueze modificări de configurație.
4	În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările.
5	Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Datastore ISO File. Asigurați-vă că sunt bifate opțiunile Conectat și Conectare la pornire , astfel încât modificările actualizate ale configurației să poată intra în vigoare după pornirea nodurilor.
6	Porniți nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute.
7	Înscrieți nodul în Partner Hub. Consultați Înscrieți primul nod din cluster.
8	Repetați procesul pentru fiecare nod din centrul de date în așteptare.

Ce este de făcut în continuare

După reluarea în caz de nereușită, în cazul în care centrul de date principal redevine activ, anulați înregistrarea nodurilor centrului de date în așteptare și repetați procesul de configurare ISO și de înregistrare a nodurilor centrului de date principal, după cum s-a menționat mai sus.

(Opțional) Demontați ISO după configurarea HDS

Configurația standard HDS rulează cu ISO montat. Dar, unii clienți preferă să nu lase fișierele ISO montate continuu. Puteți demonta fișierul ISO după ce toate nodurile HDS preiau noua configurație.

Încă utilizați fișierele ISO pentru a efectua modificări de configurație. Când creați un nou ISO sau actualizați un ISO prin intermediul instrumentului de configurare, trebuie să montați ISO actualizat pe toate nodurile HDS. După ce toate nodurile au preluat modificările de configurație, puteți demonta din nou ISO cu această procedură.

Înainte de a începe

Efectuați upgrade pentru toate nodurile HDS la versiunea 2021.01.22.4720 sau la o versiune ulterioară.

1	Închideți unul dintre nodurile HDS.
2	În dispozitivul vCenter Server, selectați nodul HDS.
3	Alegeți Editare setări > Unitate CD/DVD și debifați Datastore ISO File.
4	Porniți nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 20 de minute.
5	Repetați la rând pentru fiecare nod HDS.

Soluționați problemele privind securitatea datelor hibride

Vizualizați alertele și soluționarea problemelor

O implementare de securitate a datelor hibride este considerată indisponibilă dacă toate nodurile din cluster sunt inaccesibile sau clusterul funcționează atât de lent încât necesită timp liber. Dacă utilizatorii nu pot contacta Clusterul dvs. de securitate a datelor hibride, vor prezenta următoarele simptome:

Nu se pot crea spații noi (nu se pot crea chei noi)
Mesajele și titlurile spațiului nu au putut fi decriptate pentru:
- Utilizatori noi adăugați într-un spațiu (nu se pot prelua cheile)
- Utilizatori existenți într-un spațiu utilizând un client nou (nu se pot prelua cheile)
Utilizatorii existenți dintr-un spațiu vor continua să ruleze cu succes atât timp cât clienții lor au o memorie cache a cheilor de criptare

Este important să monitorizați în mod corespunzător clusterul de securitate a datelor hibride și să abordați prompt orice alerte pentru a evita întreruperea serviciului.

Alerte

Dacă există o problemă cu configurarea securității datelor hibride, Partner Hub afișează alerte administratorului organizației și trimite e-mailuri la adresa de e-mail configurată. Alertele acoperă multe scenarii comune.

Tabelul 1. Probleme comune și pașii pentru a le rezolva
Alertă	Acțiune
Eroare de acces la baza de date locală.	Verificați dacă există erori la baza de date sau probleme de rețea locală.
Eroare de conexiune la baza de date locală.	Verificați dacă serverul bazei de date este disponibil și dacă s-au utilizat datele de autentificare corecte la contul de serviciu în configurarea nodului.
Acces nereușit la serviciul cloud.	Verificați dacă nodurile pot accesa serverele Webex, conform specificațiilor din Cerințe de conectivitate externă.
Se reînnoiește înscrierea la serviciul cloud.	Înscrierea la serviciile cloud a fost abandonată. Înregistrarea este în curs de reînnoire.
Înscrierea la serviciul cloud a scăzut.	Înscrierea la serviciile cloud a fost încheiată. Serviciul se oprește.
Serviciul nu a fost încă activat.	Activați HDS în Partner Hub.
Domeniul configurat nu corespunde certificatului serverului.	Asigurați-vă că certificatul dvs. de server corespunde domeniului de activare a serviciului configurat. Cauza cea mai probabilă este că certificatul NC a fost modificat recent și este acum diferit de cel utilizat în timpul configurării inițiale.
Nu s-a reușit autentificarea la serviciile cloud.	Verificați acuratețea și posibila expirare a acreditărilor contului de serviciu.
Nu s-a reușit deschiderea fișierului de keystore local.	Verificați integritatea și acuratețea parolei în fișierul de keystore local.
Certificatul serverului local nu este valid.	Verificați data de expirare a certificatului serverului și confirmați că acesta a fost emis de o autoritate de certificare de încredere.
Nu se pot publica măsurătorile.	Verificați accesul rețelei locale la serviciile externe din cloud.
Directorul /media/configdrive/hds nu există.	Verificați configurația de montare ISO pe gazda virtuală. Verificați dacă fișierul ISO există, dacă este configurat pentru montare la repornire și dacă se montează cu succes.
Configurarea organizației entității găzduite nu este finalizată pentru organizațiile adăugate	Finalizați configurarea prin crearea de CMK-uri pentru organizațiile de entități găzduite nou adăugate utilizând Instrumentul de configurare HDS.
Configurarea organizației entității găzduite nu este finalizată pentru organizațiile eliminate	Finalizați configurarea prin revocarea CMK-urilor organizațiilor găzduite care au fost eliminate cu ajutorul Instrumentului de configurare HDS.

Soluționați problemele privind securitatea datelor hibride

Utilizați următoarele indicații generale atunci când depanați problemele cu Securitatea datelor hibride.

1	Consultați Partner Hub pentru orice alerte și remediați orice elemente pe care le găsiți acolo. Consultați imaginea de mai jos pentru referință.
2	Revizuiți ieșirea serverului syslog pentru activitatea din implementarea securității datelor hibride. Filtru pentru cuvinte precum „Avertisment” și „Eroare” pentru a ajuta la depanare.
3	Contactați asistența Cisco.

Alte note

Probleme cunoscute privind securitatea datelor hibride

Dacă închideți clusterul de securitate a datelor hibride (prin ștergerea acestuia din Partner Hub sau prin închiderea tuturor nodurilor), pierdeți fișierul ISO de configurare sau pierdeți accesul la baza de date din keystore, utilizatorii Aplicației Webex din organizațiile client nu mai pot utiliza spațiile din lista lor de persoane care au fost create cu chei din KMS. Nu avem în prezent o soluție sau o soluție pentru această problemă și vă încurajăm să nu închideți serviciile dvs. HDS odată ce acestea gestionează conturile de utilizator active.
Un client care are o conexiune ECDH existentă la un KMS menține această conexiune pentru o perioadă de timp (probabil o oră).

Utilizați OpenSSL pentru a genera un fișier PKCS12

Înainte de a începe

OpenSSL este un instrument care poate fi utilizat pentru a face fișierul PKCS12 în formatul corect pentru încărcarea în instrumentul de configurare HDS. Există și alte modalități de a face acest lucru, iar noi nu sprijinim sau promovăm într-un mod mai presus de altul.
Dacă alegeți să utilizați OpenSSL, vă oferim această procedură ca ghid pentru a vă ajuta să creați un fișier care îndeplinește cerințele de certificat X.509 din Cerințele de certificat X.509. Înțelegeți aceste cerințe înainte de a continua.
Instalați OpenSSL într-un mediu acceptat. Consultați https://www.openssl.org pentru software și documentație.
Creați o cheie privată.
Inițiați această procedură atunci când primiți certificatul de server de la Certificate Authority (CA).

1	Când primiți certificatul de server de la CA, salvați-l ca `hdsnode.pem`.
2	Afișați certificatul ca text și verificați detaliile. `openssl x509 -text -noout -în hdsnode.pem`
3	Utilizați un editor de text pentru a crea un fișier pachet de certificate numit `hdsnode-bundle.pem`. Fișierul pachet trebuie să includă certificatul de server, orice certificate CA intermediare și certificatele CA rădăcină, în formatul de mai jos: `-----începeți certificatul------ ### Certificat de server. ### ------------------------------------ ### Certificat CA intermediar. ### ------------------------------------ ### Certificatul autorității de certificare rădăcină. ### -----încheiere certificat------`
4	Creați fișierul .p12 cu numele prietenos `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -nume kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Verificați detaliile certificatului serverului. `openssl pkcs12 -în hdsnode.p12` Introduceți o parolă la solicitarea de a cripta cheia privată astfel încât să fie afișată în ieșire. Apoi, verificați dacă cheia privată și primul certificat includ liniile `friendlyName: Cheie kms-privată`. Exemplu: bash$ openssl pkcs12 -în hdsnode.p12 Introduceți parola de import: MAC a verificat atributele pungii OK friendlyName: kms-private-cheie localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Atribute cheie: Introduceți fraza de acces PEM: Verificare - Introduceți fraza pass PEM: -----BEGIN CRIPTAT CHEIE PRIVATĂ----- -----END CRIPTAT CHEIE PRIVATĂ------- Atributele pungii prietenoaseName: kms-private-cheie localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us emitent=/C=US/O=Să criptăm/CN=Să criptăm autoritatea X3 -----BEGIN CERTIFICATE----- -----end certificate------- Atribute prietenoase cu pungaNume: CN=Să Criptăm Autoritatea X3,O=Să Criptăm,C=US subject=/C=US/O=Să Criptăm/CN=Să Criptăm Autoritatea X3 emitentă=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE---- -----END CERTIFICATE------

Ce este de făcut în continuare

Reveniți la Finalizați cerințele preliminare pentru securitatea datelor hibride. Veți utiliza fișierul hdsnode.p12 și parola pe care ați setat-o pentru acesta în Creați o configurație ISO pentru gazdele HDS.

Puteți reutiliza aceste fișiere pentru a solicita un nou certificat atunci când certificatul original expiră.

Trafic între nodurile HDS și cloud

Trafic de colectare a măsurătorilor de ieșire

Nodurile de securitate a datelor hibride trimit anumite măsurători în cloudul Webex. Printre acestea se numără măsurătorile de sistem privind numărul maxim de cadre, efectivul de cadre utilizate, sarcina procesorului și numărul de fire de execuție; măsurătorile privind șirurile sincronizate și asincrone; măsurătorile privind alertele care implică un prag de conexiuni de criptare, o latență sau o lungime a cozii de apeluri; măsurătorile privind baza de date și măsurătorile privind conexiunile de criptare. Nodurile trimit material cheie criptat printr-un canal în afara benzii (separat de solicitare).

Trafic de intrare

Nodurile de securitate a datelor hibride primesc următoarele tipuri de trafic de intrare din cloudul Webex:

Solicitări de criptare de la clienți, care sunt rutate de serviciul de criptare
Upgrade-uri la software-ul nodului

Configurarea proxy-urilor Squid pentru securitatea datelor hibride

Websocket nu se poate conecta prin Squid Proxy

Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea conexiunilor websocket (wss:) pe care Securitatea datelor hibride le necesită. Aceste secțiuni oferă îndrumări despre cum să configurați diferite versiuni de Squid pentru a ignora wss: traficul pentru funcționarea corespunzătoare a serviciilor.

Calmar 4 și 5

Adăugați on_unsupported_protocol directiva la squid.conf:

on_unsupported_protocol tunel toate

Calmar 3.5.27

Am testat cu succes Securitatea datelor hibride cu următoarele reguli adăugate la squid.conf. Aceste reguli pot fi modificate pe măsură ce dezvoltăm caracteristici și actualizăm cloud-ul Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 toate ssl_bump stare step2 toate ssl_bump bump3 toate

Informații noi și modificate

Acest tabel acoperă noile funcții sau funcționalități, modificările conținutului existent și orice erori majore care au fost remediate în Ghidul de implementare pentru securitatea datelor hibride cu entități găzduite multiple.

Dată	Modificări efectuate
4 martie 2025	A fost adăugat Rulați instrumentul de configurare HDS utilizând secțiunea Podman Desktop . A fost adăugată o notă în Cerințe Docker Desktop oferind clienților o opțiune alternativă open-source. Creați o configurație ISO pentru gazdele HDS și modificați configurația nodului cu instrucțiuni de utilizare a desktopului Podman pentru clienții fără o licență Docker Desktop.
ianuarie 30, 2025	A fost adăugată versiunea 2022 a serverului SQL la lista de servere SQL acceptate în Cerințe server bază de date.
15 ianuarie 2025	Au fost adăugate Limitări ale securității datelor hibride cu entități găzduite multiple.
ianuarie 08, 2025	S-a adăugat o notă în Efectuați configurarea inițială și descărcați fișierele de instalare , precizând că făcând clic pe Configurare pe cardul HDS din Partner Hub este un pas important al procesului de instalare.
ianuarie 07, 2025	Cerințe pentru gazda virtuală, Flux de sarcini de implementare a securității datelor hibride și Instalați HDS OVA gazdă pentru a afișa noua cerință pentru ESXi 7.0.
13 decembrie 2024	Prima publicare.

Dezactivați securitatea datelor hibride cu entități găzduite multiple

Fluxul de activități pentru dezactivarea HDS cu entități găzduite multiple

Urmați acești pași pentru a dezactiva complet HDS cu entități găzduite multiple.

Înainte de a începe

Această sarcină trebuie efectuată numai de un administrator complet pentru partener.

1	Eliminați toți clienții din toate clusterele dvs., după cum este menționat în Eliminați organizațiile entității găzduite.
2	Revocați CMK-urile tuturor clienților, după cum se menționează în Revocați CMK-urile entităților găzduite eliminate din HDS..
3	Eliminați toate nodurile din toate clusterele dvs., așa cum este menționat în Eliminați un nod.
4	Ștergeți toate clusterele din Partner Hub utilizând una dintre următoarele două metode. Faceți clic pe clusterul pe care doriți să îl ștergeți și selectați Ștergeți acest cluster din colțul din dreapta sus al paginii de prezentare generală. În pagina Resurse, faceți clic… pe partea dreaptă a unui cluster și selectați Eliminare cluster.
5	Faceți clic pe fila Setări din pagina de prezentare generală a securității datelor hibride și faceți clic pe Dezactivare HDS pe cardul de stare HDS.

Începeți cu Securitatea datelor hibride cu entități găzduite multiple

Prezentare generală a securității datelor hibride cu entități găzduite multiple

Încă din prima zi, securitatea datelor a fost accentul principal în proiectarea Aplicației Webex. Piatra de temelie a acestei securități este criptarea conținutului end-to-end, activată de clienții Aplicației Webex care interacționează cu Key Management Service (KMS). KMS este responsabil pentru crearea și gestionarea cheilor criptografice pe care clienții le utilizează pentru a cripta și decripta dinamic mesajele și fișierele.

În mod implicit, toți clienții Aplicației Webex primesc criptarea end-to-end cu cheile dinamice stocate în cloud KMS, în domeniul securității Cisco. Hybrid Data Security mută KMS și alte funcții legate de securitate în centrul de date al întreprinderii dvs., deci nimeni în afară de dvs. nu deține cheile conținutului dvs. criptat.

Securitatea datelor hibride cu entități găzduite multiple permite organizațiilor să utilizeze HDS prin intermediul unui partener local de încredere, care poate acționa ca furnizor de servicii și poate gestiona criptarea locală și alte servicii de securitate. Această configurație permite organizației partenere să aibă control complet asupra implementării și gestionării cheilor de criptare și garantează că datele de utilizator ale organizațiilor client sunt în siguranță împotriva accesului extern. Organizațiile partenere configurează instanțele HDS și creează clustere HDS după cum este necesar. Fiecare instanță poate accepta mai multe organizații ale clienților, spre deosebire de o implementare HDS obișnuită, care este limitată la o singură organizație.

Deși organizațiile partenere au control asupra implementării și gestionării, acestea nu au acces la datele și conținutul generate de clienți. Acest acces este limitat la organizațiile clienților și la utilizatorii acestora.

Acest lucru permite, de asemenea, organizațiilor mai mici să profite de HDS, deoarece serviciile de gestionare a cheilor și infrastructura de securitate, cum ar fi centrele de date, sunt deținute de partenerul local de încredere.

Modul în care securitatea datelor hibride cu entități găzduite multiple oferă suveranitatea și controlul datelor

Conținutul generat de utilizatori este protejat împotriva accesului extern, cum ar fi furnizorii de servicii în cloud.
Partenerii locali de încredere gestionează cheile de criptare ale clienților cu care au deja o relație stabilită.
Opțiunea de asistență tehnică locală, dacă aceasta este furnizată de partener.
Acceptă conținut pentru întâlniri, mesagerie și apeluri.

Acest document are scopul de a ajuta organizațiile partenere să configureze și să gestioneze clienții într-un sistem de securitate a datelor hibride cu entități găzduite multiple.

Limitări ale securității datelor hibride cu entități găzduite multiple

Organizațiile partenere nu trebuie să aibă nicio implementare HDS existentă activă în Control Hub.
Organizațiile de entități găzduite sau de clienți care doresc să fie gestionate de un partener nu trebuie să aibă nicio implementare HDS existentă în Control Hub.
Odată ce HDS entitate găzduită multiplă este implementat de partener, toți utilizatorii organizațiilor client, precum și utilizatorii organizației partenere încep să utilizeze HDS entitate găzduită multiplă pentru serviciile lor de criptare.

Organizația parteneră și organizațiile clienților pe care le gestionează vor avea aceeași implementare HDS cu entități găzduite multiple.

Organizația parteneră nu va mai utiliza KMS în cloud după ce este implementat HDS cu entități găzduite multiple.
Nu există niciun mecanism de mutare a cheilor înapoi în Cloud KMS după o implementare HDS.
În prezent, fiecare implementare HDS cu entități găzduite multiple poate avea un singur cluster, cu mai multe noduri sub aceasta.
Rolurile de administrator au anumite limitări; consultați secțiunea de mai jos pentru detalii.

Roluri în securitatea datelor hibride cu entități găzduite multiple

Administrator complet pentru partener - Poate gestiona setările pentru toți clienții pe care partenerul îi administrează. De asemenea, poate aloca roluri de administrator utilizatorilor existenți în organizație și poate aloca anumiți clienți care urmează să fie gestionați de administratorii partenerilor.
Administrator partener - Poate gestiona setările pentru clienții pe care administratorul i-a asigurat sau care au fost alocați utilizatorului.
Administrator cu drepturi depline - Administrator al organizației partenere care este autorizat să efectueze sarcini precum modificarea setărilor organizației, gestionarea licențelor și atribuirea rolurilor.

Configurarea integrală a HDS cu entități găzduite multiple și gestionarea tuturor organizațiilor clienților - Sunt necesare drepturi de administrator complet pentru partener și drepturi de administrator complet.
Gestionarea organizațiilor de entități găzduite alocate - Sunt necesare drepturile de administrator partener și de administrator cu drepturi depline.

Arhitectura domeniului securitate

Arhitectura cloud Webex separă diferite tipuri de servicii în domenii sau domenii de încredere separate, așa cum este descris mai jos.

Pentru a înțelege mai bine Securitatea datelor hibride, să aruncăm o privire mai întâi la acest caz în cloud pur, în care Cisco oferă toate funcțiile din domeniile sale cloud. Serviciul de identitate, singurul loc în care utilizatorii pot fi corelați direct cu informațiile lor personale, cum ar fi adresa de e-mail, este separat logic și fizic de domeniul securității din centrul de date B. Ambele sunt la rândul lor separate de domeniul în care conținutul criptat este stocat în cele din urmă, în centrul de date C.

În această diagramă, clientul este Aplicația Webex care rulează pe laptopul unui utilizator și s-a autentificat în serviciul de identitate. Atunci când utilizatorul compune un mesaj pentru a-l trimite unui spațiu, se efectuează următorii pași:

Clientul stabilește o conexiune securizată cu serviciul de gestionare a cheilor (KMS), apoi solicită o cheie pentru a cripta mesajul. Conexiunea securizată utilizează ECDH, iar KMS criptează cheia utilizând o cheie principală AES-256.
Mesajul este criptat înainte de a părăsi clientul. Clientul îl trimite către serviciul de indexare, care creează indici de căutare criptați pentru a ajuta la căutările viitoare ale conținutului.
Mesajul criptat este trimis către serviciul de conformitate pentru verificări ale conformității.
Mesajul criptat este stocat în domeniul de stocare.

Când implementați Securitatea datelor hibride, mutați funcțiile domeniului de securitate (KMS, indexare și conformitate) în centrul dvs. de date local. Celelalte servicii cloud care alcătuiesc Webex (inclusiv stocarea identității și a conținutului) rămân în domeniile Cisco.

Colaborarea cu alte organizații

Utilizatorii din organizația dvs. pot utiliza în mod regulat Aplicația Webex pentru a colabora cu participanți externi din alte organizații. Când unul dintre utilizatorii dvs. solicită o cheie pentru un spațiu deținut de organizația dvs. (deoarece a fost creat de unul dintre utilizatorii dvs.), KMS-ul trimite cheia către client printr-un canal securizat ECDH. Cu toate acestea, atunci când o altă organizație deține cheia pentru spațiu, KMS-ul dvs. direcționează solicitarea către cloudul Webex printr-un canal ECDH separat pentru a obține cheia de la KMS corespunzător, apoi returnează cheia utilizatorului pe canalul original.

Serviciul KMS care rulează pe Org A validează conexiunile la KMS din alte organizații utilizând certificate x.509 PKI. Consultați Pregătiți mediul dvs. pentru detalii despre generarea unui certificat x.509 pentru a fi utilizat cu implementarea securității datelor hibride cu entități găzduite multiple.

Așteptări privind implementarea securității datelor hibride

O implementare a securității datelor hibride necesită un angajament semnificativ și o conștientizare a riscurilor asociate cu deținerea cheilor de criptare.

Pentru a implementa Securitatea datelor hibride, trebuie să furnizați:

Un centru de date securizat într-o țară care este o locație acceptată pentru planurile Cisco Webex Teams.
Echipamentul, software-ul și accesul la rețea descrise în Pregătiți mediul.

Pierderea completă a ISO-ului de configurare pe care îl creați pentru Securitatea datelor hibride sau a bazei de date pe care o furnizați va duce la pierderea cheilor. Pierderea cheii împiedică utilizatorii să decripteze conținutul spațiului și alte date criptate în Aplicația Webex. Dacă se întâmplă acest lucru, puteți construi o nouă implementare, dar va fi vizibil numai conținut nou. Pentru a evita pierderea accesului la date, trebuie să:

Gestionați copiile de siguranță și recuperarea bazei de date și a configurației ISO.
Fiți pregătiți pentru a efectua recuperarea rapidă în caz de dezastru în cazul în care se produce o catastrofă, cum ar fi eșecul discului bazei de date sau dezastrul centrului de date.

Nu există niciun mecanism de mutare a cheilor înapoi în Cloud după o implementare HDS.

Proces de configurare la nivel înalt

Acest document se referă la configurarea și gestionarea unei implementări a securității datelor hibride cu entități găzduite multiple:

Configurați Securitatea datelor hibride—Aceasta include pregătirea infrastructurii necesare și instalarea software-ului de securitate a datelor hibride, construirea unui cluster HDS, adăugarea de organizații găzduite în cluster și gestionarea cheilor principale ale clientului (CMK). Acest lucru va permite tuturor utilizatorilor din organizațiile client să utilizeze clusterul dvs. de securitate a datelor hibride pentru funcții de securitate.

Fazele de configurare, activare și gestionare sunt tratate în detaliu în următoarele trei capitole.
Mențineți implementarea securității datelor hibride—Webex cloud oferă automat upgrade-uri în curs. Departamentul dvs. IT poate oferi asistență de nivel unu pentru această implementare și poate implica asistența Cisco după cum este necesar. Puteți utiliza notificările pe ecran și puteți configura alerte pe bază de e-mail în Partner Hub.
Înțelegeți alertele obișnuite, pașii de depanare și problemele cunoscute—Dacă întâmpinați probleme la implementarea sau utilizarea Securității datelor hibride, ultimul capitol al acestui ghid și anexa Probleme cunoscute vă pot ajuta să identificați și să remediați problema.

Model de implementare a securității datelor hibride

În centrul de date al întreprinderii, implementați Securitatea datelor hibride ca un singur cluster de noduri pe gazde virtuale separate. Nodurile comunică cu cloudul Webex prin websocketuri securizate și HTTP securizat.

În timpul procesului de instalare, vă oferim fișierul OVA pentru a configura dispozitivul virtual pe VM-urile pe care le furnizați. Utilizați instrumentul de configurare HDS pentru a crea un fișier ISO de configurare a clusterului personalizat, pe care îl montați pe fiecare nod. Clusterul de securitate a datelor hibride utilizează serverul Syslogd furnizat și baza de date PostgreSQL sau Microsoft SQL Server. (Configurați detaliile de conectare Syslogd și a bazei de date în instrumentul de configurare HDS.)

Model de implementare a securității datelor hibride

Numărul minim de noduri pe care le puteți avea într-un cluster este de două. Vă recomandăm cel puțin trei per cluster. Existența mai multor noduri asigură faptul că serviciul nu este întrerupt în timpul unui upgrade de software sau al altei activități de întreținere pe un nod. (Cloudul Webex efectuează upgrade numai pentru un nod la un moment dat.)

Toate nodurile dintr-un cluster accesează același server de date cheie și jurnal de activitate la același server syslog. Nodurile în sine sunt apatride și gestionează solicitările cheie în modul round-robin, așa cum este direcționat de cloud.

Nodurile devin active atunci când le înscrieți în Partner Hub. Pentru a scoate din uz un nod individual, puteți să-l anulați înscrierea și să-l reînscrieți ulterior, dacă este necesar.

Centrul de date în așteptare pentru recuperarea după dezastre

În timpul implementării, configurați un centru de date în așteptare securizat. În cazul unui dezastru al centrului de date, puteți eșua manual implementarea la centrul de date în așteptare.

Bazele de date ale centrelor de date active și de așteptare sunt sincronizate unele cu altele, ceea ce va minimiza timpul necesar pentru efectuarea comutării automate.

Nodurile active de securitate a datelor hibride trebuie să fie întotdeauna în același centru de date ca serverul de baze de date active.

Suport proxy

Hybrid Data Security acceptă inspectarea explicită, transparentă și proxy-uri care nu inspectează. Puteți lega aceste proxy-uri de implementare, astfel încât să puteți securiza și monitoriza traficul de la întreprindere în cloud. Puteți utiliza o interfață de administrator de platformă pe nodurile pentru gestionarea certificatelor și pentru a verifica starea generală a conectivității după ce ați configurat proxy-ul pe noduri.

Nodurile hibride de securitate a datelor acceptă următoarele opțiuni proxy:

Fără proxy—Setare implicită dacă nu utilizați configurația nodului HDS Trust Store și Proxy pentru a integra un proxy. Nu este necesară actualizarea certificatului.
Proxy transparent fără inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy și nu ar trebui să necesite modificări pentru a funcționa cu un proxy fără inspectare. Nu este necesară actualizarea certificatului.
Proxy transparent pentru tunelare sau inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy. Nu sunt necesare modificări de configurare HTTP sau HTTPS pe noduri. Cu toate acestea, nodurile au nevoie de un certificat rădăcină, astfel încât să aibă încredere în proxy. Proxy-urile de inspectare sunt de obicei utilizate de IT pentru a aplica politici pe care site-urile web pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).
Proxy explicit- Cu proxy explicit, spuneți nodurilor HDS ce server proxy și ce schemă de autentificare să utilizați. Pentru a configura un proxy explicit, trebuie să introduceți următoarele informații pe fiecare nod:
1. IP/FQDN proxy—Adresa care poate fi utilizată pentru a accesa computerul proxy.
2. Port proxy—Un număr de port utilizat de proxy pentru a asculta traficul protejat.
3. Protocol proxy- În funcție de ceea ce acceptă serverul proxy, alegeți dintre următoarele protocoale:
  - HTTP - Vizualizează și controlează toate solicitările pe care le trimite clientul.
  - HTTPS - Oferă un canal serverului. Clientul primește și validează certificatul serverului.
4. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:
  - Fără—Nu este necesară mai multă autentificare.
    
    Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
  - De bază—Utilizat pentru un agent de utilizator HTTP care furnizează un nume de utilizator și o parolă atunci când efectuează o solicitare. Utilizează codificarea Base64.
    
    Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
    
    Vă solicită să introduceți numele de utilizator și parola pe fiecare nod.
  - Rezumat- Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite prin rețea.
    
    Disponibil numai dacă selectați HTTPS ca protocol proxy.
    
    Vă solicită să introduceți numele de utilizator și parola pe fiecare nod.

Exemplu de noduri hibride de securitate a datelor și proxy

Această diagramă afișează un exemplu de conexiune între securitatea datelor hibride, rețea și un proxy. Pentru opțiunile proxy de inspectare transparente și https explicit inspectare, același certificat rădăcină trebuie să fie instalat pe proxy și pe nodurile hibride de securitate a datelor.

Modul de rezolvare DNS extern blocat (configurații proxy explicite)

Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează căutarea DNS și conectivitatea la cloud-ul Cisco Webex. În implementările cu configurații proxy explicite care nu permit rezoluția DNS externă pentru clienții interni, dacă nodul nu poate interoga serverele DNS, acesta intră automat în modul Rezoluție DNS externă blocată. În acest mod, înregistrarea nodului și alte teste de conectivitate proxy pot continua.

Pregătiți mediul dvs.

Cerințe pentru securitatea datelor hibride cu entități găzduite multiple

Cerințe de licență Cisco Webex

Pentru a implementa securitatea datelor hibride cu entități găzduite multiple:

Organizații partenere: Contactați partenerul dvs. Cisco sau managerul de cont și asigurați-vă că funcția entitate găzduită multiplă este activată.
Organizații entitate găzduită: Trebuie să aveți pachetul Pro pentru Cisco Webex Control Hub. (Consultați https://www.cisco.com/go/pro-pack.)

Cerințe desktop docker

Înainte de a instala nodurile HDS, aveți nevoie de Docker Desktop pentru a rula un program de configurare. Docker și-a actualizat recent modelul de licențiere. Este posibil ca organizația să necesite un abonament plătit pentru Docker Desktop. Pentru detalii, consultați postarea de pe blogul Docker, " Docker actualizează și extinde abonamentele noastre de produse".

Clienții fără o licență Docker Desktop pot utiliza un instrument de gestionare a containerelor cu sursă deschisă, cum ar fi Podman Desktop, pentru a rula, gestiona și crea containere. Consultați Rulați instrumentul de configurare HDS utilizând Podman Desktop pentru detalii.

Cerințe certificat X.509

Lanțul de certificate trebuie să îndeplinească următoarele cerințe:

Tabelul 1. Cerințe privind certificatul X.509 pentru implementarea securității datelor hibride
Obligatoriu	Detalii
Semnat de o Autoritate de certificare (CA) de încredere	În mod implicit, avem încredere în CA-urile din lista Mozilla (cu excepția WoSign și StartCom) la https://wiki.mozilla.org/CA:IncludedCAs.
Conține un nume de domeniu comun (CN) care identifică implementarea securității datelor hibride Nu este un certificat wildcard	CN nu trebuie să fie accesibil sau gazdă live. Vă recomandăm să utilizați un nume care reflectă organizația dvs., de exemplu, `hds.company.com`. NC nu trebuie să conțină un * (wildcard). CN este utilizat pentru a verifica nodurile de securitate a datelor hibride pentru clienții Aplicației Webex. Toate nodurile de securitate a datelor hibride din clusterul dvs. utilizează același certificat. KMS se identifică utilizând domeniul CN, nu orice domeniu definit în câmpurile SAN x.509v3. După ce ați înregistrat un nod cu acest certificat, nu acceptăm schimbarea numelui domeniului CN.
Semnătură non-SHA1	Software-ul KMS nu acceptă semnăturile SHA1 pentru validarea conexiunilor la KMS-urile altor organizații.
Formatat ca fișier PKCS #12 protejat prin parolă Utilizați numele prietenos al `kms-private-key` pentru a eticheta certificatul, cheia privată și orice certificate intermediare de încărcat.	Puteți utiliza un convertor, cum ar fi OpenSSL, pentru a schimba formatul certificatului. Va trebui să introduceți parola atunci când rulați instrumentul de configurare HDS.

Software-ul KMS nu impune utilizarea cheii sau restricțiile extinse de utilizare a cheii. Unele autorități de certificare solicită ca restricțiile extinse de utilizare a cheii să fie aplicate fiecărui certificat, cum ar fi autentificarea pe server. Este ok să utilizați autentificarea pe server sau alte setări.

Cerințe pentru gazda virtuală

Gazdele virtuale pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. au următoarele cerințe:

Cel puțin două gazde separate (3 recomandată) se află în același centru de date securizat
VMware ESXi 7.0 (sau o versiune ulterioară) instalat și rulează.

Trebuie să efectuați upgrade dacă aveți o versiune anterioară de ESXi.
Minimum 4 vCPU-uri, 8 GB memorie principală, 30 GB spațiu pe hard disk local per server

Cerințe server de bază de date

Creați o nouă bază de date pentru stocarea cheilor. Nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.

Există două opțiuni pentru serverul de bază de date. Cerințele pentru fiecare dintre acestea sunt următoarele:

Tabelul 2. Cerințele serverului de baze de date în funcție de tipul de bază de date
Parolă	Server Microsoft SQL
PostgreSQL 14, 15 sau 16, instalat și rulează.	Serverul SQL 2016, 2017, 2019 sau 2022 (Enterprise sau Standard) este instalat. Serverul SQL 2016 necesită Service Pack 2 și Actualizarea cumulativă 2 sau o versiune ulterioară.
Minimum 8 vCPU-uri, 16 GB memorie principală, spațiu suficient pe hard disk și monitorizare pentru a vă asigura că nu este depășită (se recomandă 2-TB dacă doriți să rulați baza de date pentru o lungă perioadă de timp fără a fi nevoie să creșteți spațiul de stocare)	Minimum 8 vCPU-uri, 16 GB memorie principală, spațiu suficient pe hard disk și monitorizare pentru a vă asigura că nu este depășită (se recomandă 2-TB dacă doriți să rulați baza de date pentru o lungă perioadă de timp fără a fi nevoie să creșteți spațiul de stocare)

Software-ul HDS instalează în prezent următoarele versiuni de drivere pentru comunicarea cu serverul de bază de date:

Parolă

Server Microsoft SQL

Driver Postgres JDBC 42.2.5

Driver 4.6 pentru serverul SQL JDBC

Această versiune de driver acceptă SQL Server activat permanent (Instanțe de cluster de reluare în caz de nereușită activată permanent și Grupuri de disponibilitate activate permanent).

Cerințe suplimentare pentru autentificarea Windows împotriva Microsoft SQL Server

Dacă doriți ca nodurile HDS să utilizeze autentificarea Windows pentru a obține acces la baza dvs. de date keystore pe Microsoft SQL Server, atunci aveți nevoie de următoarea configurație în mediul dvs.:

Nodurile HDS, infrastructura Active Directory și serverul MS SQL trebuie să fie sincronizate cu NTP.
Contul Windows pe care îl furnizați nodurilor HDS trebuie să aibă acces de citire/scriere la baza de date.
Serverele DNS pe care le furnizați nodurilor HDS trebuie să poată rezolva centrul de distribuție a cheilor (KDC).
Puteți înregistra instanța bazei de date HDS pe serverul Microsoft SQL ca nume principal al serviciului (SPN) în Active Directory. Consultați Înscrierea unui nume principal de serviciu pentru conexiunile Kerberos.

Instrumentul de configurare HDS, lansatorul HDS și KMS local trebuie să utilizeze autentificarea Windows pentru a accesa baza de date din keystore. Aceștia utilizează detaliile din configurația ISO pentru a construi SPN atunci când solicitați acces cu autentificarea Kerberos.

Cerințe de conectivitate externă

Configurați firewall-ul pentru a permite următoarea conectivitate pentru aplicațiile HDS:

Aplicație	Protocol	Port	Direcție din aplicație	Destinație
Noduri de securitate a datelor hibride	TCP	443	HTTPS și WSS de ieșire	Servere Webex: .wbx2.com .ciscospark.com Toate gazdele Common Identity Alte URL-uri listate pentru Securitatea datelor hibride în tabelul URL-uri suplimentare pentru serviciile hibride Webex din Cerințe de rețea pentru serviciile Webex
Instrument de configurare HDS	TCP	443	HTTPS de ieșire	*.wbx2.com Toate gazdele Common Identity hub.docker.com

Nodurile de securitate a datelor hibride funcționează cu traducerea accesului la rețea (NAT) sau în spatele unui firewall, atât timp cât NAT sau firewall permite conexiunile de ieșire necesare la destinațiile de domeniu din tabelul precedent. Pentru conexiunile de intrare la nodurile de securitate a datelor hibride, nu trebuie să fie vizibile porturi de pe internet. În cadrul centrului dvs. de date, clienții au nevoie de acces la nodurile de securitate a datelor hibride de pe porturile TCP 443 și 22, în scopuri administrative.

URL-urile pentru gazdele Common Identity (CI) sunt specifice regiunii. Acestea sunt gazdele CI actuale:

Regiune	URL-uri gazdă Common Identity
Țările din America	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Uniunea Europeană	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapore	https://idbroker-sg.webex.com https://identity-sg.webex.com
Emiratele Arabe Unite	https://idbroker-ae.webex.com https://identity-ae.webex.com

Cerințe server proxy

Acceptăm oficial următoarele soluții proxy care se pot integra cu nodurile hibride de securitate a datelor.
- Proxy transparent - Cisco Web Security Appliance (WSA).
- Proxy explicit - Calmar.
  
  Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea conexiunilor websocket (wss:). Pentru a rezolva această problemă, consultați Configurați proxy-urile Squid pentru securitatea datelor hibride.
Acceptăm următoarele combinații de tip de autentificare pentru proxy-uri explicite:
- Fără autentificare cu HTTP sau HTTPS
- Autentificare de bază cu HTTP sau HTTPS
- Autentificare digest numai cu HTTPS
Pentru un proxy de inspectare transparent sau un proxy explicit HTTPS, trebuie să aveți o copie a certificatului rădăcină al proxy-ului. Instrucțiunile de implementare din acest ghid vă spun cum să încărcați copia în depozitele de încredere ale nodurilor hibride de securitate a datelor.
Rețeaua care găzduiește nodurile HDS trebuie să fie configurată pentru a forța traficul TCP de ieșire pe portul 443 pentru a ruta prin proxy.
Proxy-urile care inspectează traficul web pot interfera cu conexiunile de soclu web. Dacă apare această problemă, ocolirea traficului (nu inspectarea) către wbx2.com și ciscospark.com va rezolva problema.

Completați cerințele preliminare pentru securitatea datelor hibride

Utilizați această listă de verificare pentru a vă asigura că sunteți gata să instalați și să configurați clusterul de securitate a datelor hibride.

1	Asigurați-vă că organizația dvs. parteneră are activată funcția HDS pentru entități găzduite multiple și obțineți acreditările unui cont cu administrator complet pentru partener și drepturi de administrator complet. Asigurați-vă că organizația client Webex este activată pentru Pachetul Pro pentru Cisco Webex Control Hub. Contactați-vă partenerul Cisco sau managerul de cont pentru ajutor cu acest proces. Organizațiile client nu trebuie să aibă nicio implementare HDS existentă.
2	Alegeți un nume de domeniu pentru implementarea HDS (de exemplu, `hds.company.com`) și obțineți un lanț de certificate care conține un certificat X.509, o cheie privată și orice certificate intermediare. Lanțul de certificate trebuie să îndeplinească cerințele din Cerințele de certificat X.509.
3	Pregătiți gazde virtuale identice pe care le veți configura ca noduri de securitate a datelor hibride în clusterul dvs. Aveți nevoie de cel puțin două gazde separate (3 recomandată) care să fie co-localizate în același centru de date securizat, care să îndeplinească cerințele din Cerințele gazdei virtuale.
4	Pregătiți serverul de bază de date care va acționa ca magazin de date cheie pentru cluster, în conformitate cu Cerințele serverului de bază de date. Serverul de baze de date trebuie să fie amplasat în centrul de date securizat cu gazdele virtuale. Creați o bază de date pentru stocarea cheilor. (Trebuie să creați această bază de date – nu utilizați baza de date implicită. Aplicațiile HDS, atunci când sunt instalate, creează schema bazei de date.) Colectați detaliile pe care nodurile le vor utiliza pentru a comunica cu serverul de bază de date: numele gazdei sau adresa IP (gazdă) și portul numele bazei de date (dbname) pentru stocarea cheii numele de utilizator și parola unui utilizator cu toate privilegiile în baza de date de stocare a cheii
5	Pentru recuperare rapidă în caz de dezastru, configurați un mediu de rezervă într-un alt centru de date. Mediul de rezervă oglindește mediul de producție al VM-urilor și al unui server de baze de date de rezervă. De exemplu, dacă producția are 3 VM care rulează noduri HDS, mediul de rezervă trebuie să aibă 3 VM.
6	Configurați o gazdă syslog pentru a colecta jurnale de la nodurile din cluster. Colectați adresa de rețea și portul syslog (implicit este UDP 514).
7	Creați o politică de rezervă securizată pentru nodurile de securitate a datelor hibride, serverul de baze de date și gazda syslog. Cel puțin, pentru a preveni pierderea de date nerecuperabile, trebuie să efectuați o copie de rezervă a bazei de date și a fișierului ISO de configurare generat pentru nodurile de securitate a datelor hibride. Deoarece nodurile de securitate a datelor hibride stochează cheile utilizate la criptarea și decriptarea conținutului, nerespectarea menținerii unei implementări operaționale va duce la PIERDEREA IREVERSIBILĂ a conținutului respectiv. Clienții Aplicației Webex își ascund cheile, astfel încât este posibil ca o întrerupere să nu fie vizibilă imediat, dar va deveni evidentă în timp. În timp ce întreruperile temporare sunt imposibil de prevenit, acestea sunt recuperabile. Cu toate acestea, pierderea completă (nu sunt disponibile copii de siguranță) a bazei de date sau a fișierului ISO de configurare va avea ca rezultat date nerecuperabile ale clienților. Operatorii nodurilor de securitate a datelor hibride trebuie să mențină copii de siguranță frecvente ale bazei de date și ale fișierului ISO de configurare și să fie pregătiți să reconstruiască centrul de date de securitate a datelor hibride în cazul unei defecțiuni catastrofale.
8	Asigurați-vă că configurația firewallului permite conectivitatea pentru nodurile de securitate a datelor hibride, așa cum este descris în Cerințe de conectivitate externă.
9	Instalați Docker (https://www.docker.com) pe orice mașină locală care rulează un sistem de operare acceptat (Microsoft Windows 10 Professional sau Enterprise pe 64 de biți sau Mac OSX Yosemite 10.10.3 sau o versiune ulterioară) cu un browser web care îl poate accesa la http://127.0.0.1:8080. Utilizați instanța Docker pentru a descărca și rula instrumentul de configurare HDS, care generează informațiile de configurare locală pentru toate nodurile de securitate a datelor hibride. Este posibil să aveți nevoie de o licență Docker Desktop. Consultați Cerințe desktop docker pentru mai multe informații. Pentru a instala și rula instrumentul de configurare HDS, dispozitivul local trebuie să aibă conectivitatea descrisă în Cerințe de conectivitate externă.
10	Dacă integrați un proxy cu Securitatea datelor hibride, asigurați-vă că acesta îndeplinește Cerințele serverului proxy.

Configurați un cluster de securitate a datelor hibride

Fluxul de activități de implementare a securității datelor hibride

Înainte de a începe

1	Efectuați configurarea inițială și descărcați fișierele de instalare Descărcați fișierul OVA pe computerul dvs. local pentru utilizare ulterioară.
2	Crearea unui ISO de configurare pentru gazdele HDS Utilizați instrumentul de configurare HDS pentru a crea un fișier de configurare ISO pentru nodurile de securitate a datelor hibride.
3	Instalați gazda HDS OVA Creați o mașină virtuală din fișierul OVA și efectuați configurația inițială, cum ar fi setările de rețea. Opțiunea de a configura setările de rețea în timpul implementării OVA a fost testată cu ESXi 7.0. Este posibil ca această opțiune să nu fie disponibilă în versiunile anterioare.
4	Configurați VM de securitate a datelor hibride Conectați-vă la consola VM și setați acreditările de conectare. Configurați setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.
5	Încărcarea și montarea ISO de configurare HDS Configurați VM din fișierul de configurare ISO pe care l-ați creat cu instrumentul de configurare HDS.
6	Configurarea nodului HDS pentru integrarea proxy Dacă mediul de rețea necesită configurație proxy, specificați tipul de proxy pe care îl veți utiliza pentru nod și adăugați certificatul proxy la magazinul de încredere, dacă este necesar.
7	Înscrieți primul nod din cluster Înscrieți VM cu cloudul Cisco Webex ca nod de securitate a datelor hibride.
8	Creați și înscrieți mai multe noduri Finalizați configurarea clusterului.
9	Activați HDS cu entități găzduite multiple în Partner Hub. Activați HDS și gestionați organizațiile de entități găzduite în Partner Hub.

Efectuați configurarea inițială și descărcați fișierele de instalare

În această sarcină, descărcați un fișier OVA pe computerul dvs. (nu pe serverele pe care le configurați ca noduri de securitate a datelor hibride). Veți utiliza acest fișier mai târziu în procesul de instalare.

1	Conectați-vă la Partner Hub, apoi faceți clic pe Servicii.
2	În secțiunea Servicii cloud, găsiți cardul Securitate a datelor hibride, apoi faceți clic pe Configurare. Făcând clic pe Configurare în Partner Hub este esențial pentru procesul de implementare. Nu continuați cu instalarea fără a finaliza acest pas.
3	Faceți clic pe Adăugați o resursă și faceți clic pe Descărcați fișierul .OVA din cardul Instalare și configurare software . Versiunile mai vechi ale pachetului software (OVA) nu vor fi compatibile cu cele mai recente upgrade-uri de securitate a datelor hibride. Acest lucru poate duce la probleme în timpul upgrade-ului aplicației. Asigurați-vă că descărcați cea mai recentă versiune a fișierului OVA. De asemenea, puteți descărca OVA în orice moment din secțiunea Ajutor . Faceți clic pe Setări > Ajutor > Descărcați software-ul de securitate a datelor hibride. Fișierul OVA începe automat descărcarea. Salvați fișierul într-o locație de pe computerul dvs.
4	Opțional, faceți clic pe Consultați ghidul de implementare a securității datelor hibride pentru a verifica dacă există o versiune ulterioară a acestui ghid disponibilă.

Crearea unui ISO de configurare pentru gazdele HDS

Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi, utilizați ISO pentru a configura gazda de securitate a datelor hibride.

Înainte de a începe

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită detaliile de autentificare ale unui cont Partner Hub cu drepturi de administrator depline.

Dacă nu aveți o licență Docker Desktop, puteți utiliza Podman Desktop pentru a rula instrumentul de configurare HDS pentru pașii 1-5 din procedura de mai jos. Consultați Rulați instrumentul de configurare HDS utilizând Podman Desktop pentru detalii.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker la pasul 5 de mai jos. Acest tabel oferă câteva posibile variabile de mediu:

Descriere

Variabilă

Proxy HTTP fără autentificare

GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

Proxy HTTPS fără autentificare

GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

Proxy HTTP cu autentificare

GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

Proxy HTTPS cu autentificare

GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier ori de câte ori efectuați modificări de configurație, cum ar fi:
- Acreditări bază de date
- Actualizări certificat
- Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile bazei de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

1

La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.:

În medii obișnuite:

docker rmi ciscocitg/hds-setup:stable

În mediile FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.

2

Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele:

docker login -u hdscustomersro

3

La solicitarea parolei, introduceți acest hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Descărcați cea mai recentă imagine stabilă pentru mediul dvs.:

În medii obișnuite:

docker pull ciscocitg/hds-setup:stable

În mediile FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

5

Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.:

În medii obișnuite fără un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

În medii obișnuite cu un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

În medii obișnuite cu un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

În mediile FedRAMP fără un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

În mediile FedRAMP cu un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

În mediile FedRAMP cu un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”.

6

Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală.

Utilizați un browser web pentru a accesa gazda locală http://127.0.0.1:8080 și a introduce numele de utilizator de administrator pentru Partner Hub la solicitare.

Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul corespunzător pentru acel cont. Instrumentul afișează apoi mesajul standard de conectare.

7

Când vi se solicită, introduceți acreditările de conectare de administrator Partner Hub, apoi faceți clic pe Conectați-vă pentru a permite accesul la serviciile necesare pentru Securitatea datelor hibride.

8

Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Începeți.

9

Pe pagina Import ISO aveți aceste opțiuni:

Nu—Dacă creați primul nod HDS, nu aveți un fișier ISO de încărcat.
Da—Dacă ați creat deja noduri HDS, selectați fișierul ISO în răsfoire și încărcați-l.

10

Verificați dacă certificatul dvs. X.509 îndeplinește cerințele din Cerințele privind certificatul X.509.

Dacă nu ați încărcat niciodată un certificat înainte, încărcați certificatul X.509, introduceți parola și faceți clic pe Continuați.
Dacă certificatul este OK, faceți clic pe Continuați.
Dacă certificatul dvs. a expirat sau doriți să îl înlocuiți, selectați Nu pentru Continuați să utilizați lanțul de certificate HDS și cheia privată din ISO anterioară?. Încărcați un nou certificat X.509, introduceți parola și faceți clic pe Continuați.

11

Introduceți adresa bazei de date și contul pentru HDS pentru a accesa baza de date cheie:

Selectați Tipul bazei de date (PostgreSQL sau Microsoft SQL Server).

Dacă alegeți Microsoft SQL Server, obțineți un câmp Tip de autentificare.
(Numai Microsoft SQL Server ) Selectați tipul de autentificare:
- Autentificare de bază: Aveți nevoie de un nume de cont SQL Server local în câmpul Nume de utilizator .
- Autentificare Windows: Aveți nevoie de un cont Windows în formatul username@DOMAIN în câmpul Nume utilizator .
Introduceți adresa serverului de bază de date în formularul : sau :.

Exemplu:
dbhost.example.org:1433 sau 198.51.100.17:1433

Puteți utiliza o adresă IP pentru autentificarea de bază, dacă nodurile nu pot utiliza DNS pentru a rezolva numele gazdei.

Dacă utilizați autentificarea Windows, trebuie să introduceți un Nume de domeniu complet calificat în formatul dbhost.example.org:1433
Introduceți Numele bazei de date.
Introduceți Nume de utilizator și Parolă ale unui utilizator cu toate privilegiile în baza de date de stocare a cheilor.

12

Selectați un Mod de conectare la baza de date TLS:

Mod	Descriere
Preferați TLS (opțiune implicită)	Nodurile HDS nu necesită TLS pentru a se conecta la serverul de baze de date. Dacă activați TLS pe serverul bazei de date, nodurile încearcă o conexiune criptată.
Necesită TLS	Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS.
Solicitați TLS și verificați semnatarul certificatului	Acest mod nu se aplică pentru bazele de date SQL Server. Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS. După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de la serverul de baze de date cu autoritatea de certificare din Certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul scade conexiunea. Utilizați controlul certificat rădăcină bază de date sub lista verticală pentru a încărca certificatul rădăcină pentru această opțiune.
Solicitați TLS și verificați semnatarul certificatului și numele de gazdă	Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS. După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de la serverul de baze de date cu autoritatea de certificare din Certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul scade conexiunea. Nodurile verifică, de asemenea, dacă numele gazdei din certificatul de server se potrivește cu numele gazdei din câmpul Gazdă și port bază de date . Numele trebuie să se potrivească exact sau nodul scade conexiunea. Utilizați controlul certificat rădăcină bază de date sub lista verticală pentru a încărca certificatul rădăcină pentru această opțiune.

Când încărcați certificatul rădăcină (dacă este necesar) și faceți clic pe Continuați, instrumentul de configurare HDS testează conexiunea TLS la serverul de baze de date. Instrumentul verifică, de asemenea, semnatarul certificatului și numele de gazdă, dacă este cazul. Dacă un test nu reușește, instrumentul afișează un mesaj de eroare care descrie problema. Puteți alege dacă să ignorați eroarea și să continuați cu configurarea. (Din cauza diferențelor de conectivitate, nodurile HDS pot stabili conexiunea TLS, chiar dacă mașina instrumentului de configurare HDS nu o poate testa cu succes.)

13

Pe pagina Jurnale de sistem, configurați serverul Syslogd:

Introduceți URL-ul serverului syslog.

Dacă serverul nu este rezolvabil prin DNS de la noduri pentru clusterul dvs. HDS, utilizați o adresă IP în URL.

Exemplu:
udp://10.92.43.23:514 indică înregistrarea la gazda Syslogd 10.92.43.23 pe portul UDP 514.
Dacă configurați serverul să utilizeze criptarea TLS, bifați Serverul syslog este configurat pentru criptarea SSL?.

Dacă bifați această casetă de selectare, asigurați-vă că introduceți un URL TCP, cum ar fi tcp://10.92.43.23:514.
Din lista derulantă Choose syslog recording termination (Alegeți înregistrarea syslog), alegeți setarea corespunzătoare pentru fișierul ISO: Alegeți dacă se utilizează linia nouă pentru Graylog și Rsyslog TCP
- Biți nuli -- \x00
- Linie nouă -- \n—Selectați această opțiune pentru Graylog și Rsyslog TCP.
Faceți clic pe Continuați.

14

(Opțional) Puteți modifica valoarea implicită pentru unii parametri de conexiune la baza de date în Setări avansate. În general, acest parametru este singurul parametru pe care s-ar putea să îl modificați:

app_datasource_connection_pool_maxSize: 10

15

Faceți clic pe Continuați pe ecranul Resetați parola conturilor de serviciu .

Parolele conturilor de servicii au o durată de viață de nouă luni. Utilizați acest ecran când parolele se apropie de expirare sau doriți să le resetați pentru a anula fișierele ISO anterioare.

16

Faceți clic pe Descărcați fișierul ISO. Salvați fișierul într-o locație ușor de găsit.

17

Faceți o copie de rezervă a fișierului ISO în sistemul local.

Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la acei administratori de securitate a datelor hibride care ar trebui să efectueze modificări de configurație.

18

Pentru a închide instrumentul de configurare, tastați CTRL+C.

Ce este de făcut în continuare

Copie de rezervă a fișierului ISO de configurare. Aveți nevoie de acesta pentru a crea mai multe noduri pentru recuperare sau pentru a efectua modificări de configurație. Dacă pierdeți toate copiile fișierului ISO, ați pierdut și cheia principală. Recuperarea cheilor din baza de date PostgreSQL sau Microsoft SQL Server nu este posibilă.

Nu avem niciodată o copie a acestei chei și nu vă putem ajuta dacă o pierdeți.

Instalați gazda HDS OVA

Utilizați această procedură pentru a crea o mașină virtuală din fișierul OVA.

1	Utilizați clientul VMware vSphere de pe computerul dvs. pentru a vă conecta la gazda virtuală ESXi.
2	Selectați Fișier > Implementare șablon OVF.
3	În expert, specificați locația fișierului OVA pe care l-ați descărcat mai devreme, apoi faceți clic pe Înainte.
4	Pe pagina Selectați un nume și un folder , introduceți un Nume mașină virtuală pentru nod (de exemplu, „HDS_Node_1”), alegeți o locație în care poate fi găzduită implementarea nodului mașinii virtuale, apoi faceți clic pe Înainte.
5	Pe pagina Selectați o resursă de calcul , alegeți resursa de calcul de destinație, apoi faceți clic pe Înainte. Se execută o verificare de validare. După ce se termină, apar detaliile șablonului.
6	Verificați detaliile șablonului, apoi faceți clic pe Înainte.
7	Dacă vi se solicită să alegeți configurația resursei pe pagina Configurare , faceți clic pe 4 CPU , apoi faceți clic pe Înainte.
8	Pe pagina Selectați spațiul de stocare , faceți clic pe Înainte pentru a accepta formatul de disc și politica de stocare VM implicită.
9	Pe pagina Selectați rețele , selectați opțiunea de rețea din lista de intrări pentru a asigura conectivitatea dorită la VM.
10	Pe pagina Particularizare șablon , configurați următoarele setări de rețea: Nume gazdă—Introduceți FQDN (nume de gazdă și domeniu) sau un singur cuvânt nume de gazdă pentru nod. Nu este necesar să setați domeniul ca să corespundă domeniului pe care l-ați utilizat pentru a obține certificatul X.509. Pentru a asigura o înregistrare reușită în cloud, utilizați numai caractere mici în FQDN sau numele gazdei pe care l-ați setat pentru nod. Capitalizarea nu este acceptată în acest moment. Lungimea totală a FQDN nu trebuie să depășească 64 de caractere. Adresă IP— Introduceți adresa IP pentru interfața internă a nodului. Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat. Mască—Introduceți adresa măștii de subrețea în notație cu zecimale. De exemplu, 255.255.255.0. Gateway – Introduceți adresa IP a gateway-ului. Un gateway este un nod de rețea care servește ca punct de acces la o altă rețea. Servere DNS—Introduceți o listă de servere DNS separate prin virgulă, care se ocupă de traducerea numelor de domenii în adrese IP numerice. (Sunt permise până la 4 intrări DNS.) Servere NTP – Introduceți serverul NTP al organizației dvs. sau alt server NTP extern care poate fi utilizat în organizația dvs. Este posibil ca serverele NTP implicite să nu funcționeze pentru toate întreprinderile. De asemenea, puteți utiliza o listă separată prin virgulă pentru a introduce mai multe servere NTP. Implementați toate nodurile din aceeași subrețea sau VLAN, astfel încât toate nodurile dintr-un cluster să fie accesibile de la clienții din rețeaua dvs., în scopuri administrative. Dacă preferați, puteți sări peste configurația setărilor de rețea și să urmați pașii din Configurați VM de securitate a datelor hibride pentru a configura setările de la consola de nod. Opțiunea de a configura setările de rețea în timpul implementării OVA a fost testată cu ESXi 7.0. Este posibil ca această opțiune să nu fie disponibilă în versiunile anterioare.
11	Faceți clic dreapta pe VM nod, apoi alegeți Alimentare > Alimentare pornită. Software-ul de securitate a datelor hibride este instalat ca invitat pe gazda VM. Acum sunteți gata să vă conectați la consolă și să configurați nodul. Sfaturi de depanare Este posibil să întâmpinați o întârziere de câteva minute înainte de apariția containerelor nodului. În timpul primei boot-ări, apare un mesaj firewall de punte pe consolă, în timpul căruia nu vă puteți conecta.

Configurați VM de securitate a datelor hibride

Utilizați această procedură pentru a vă conecta pentru prima dată la consola VM a nodului de securitate a datelor hibride și a seta acreditările de conectare. De asemenea, puteți utiliza consola pentru a configura setările de rețea pentru nod dacă nu le-ați configurat la momentul implementării OVA.

1	În clientul VMware vSphere, selectați VM nodul de securitate a datelor hibride și selectați fila Consolă . VM pornește și apare o solicitare de conectare. Dacă mesajul de conectare nu se afișează, apăsați Enter.
2	Utilizați următoarele date de conectare și parolă implicite pentru a vă conecta și a modifica datele de autentificare: Conectați-vă: `admin` Parolă: `cisco` Din moment ce vă conectați pentru prima dată la VM, trebuie să schimbați parola de administrator.
3	Dacă ați configurat deja setările de rețea în Instalați OVA gazdă HDS, omiteți restul acestei proceduri. În caz contrar, selectați opțiunea Editare configurație din meniul principal.
4	Configurați o configurație statică cu informații despre adresa IP, mască, gateway și DNS. Nodul dvs. trebuie să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat.
5	(Opțional) Schimbați numele de gazdă, domeniul sau serverul(serverele) NTP, dacă este necesar pentru a corespunde politicii dvs. de rețea. Nu este necesar să setați domeniul ca să corespundă domeniului pe care l-ați utilizat pentru a obține certificatul X.509.
6	Salvați configurația de rețea și reporniți VM pentru ca modificările să aibă efect.

Încărcarea și montarea ISO de configurare HDS

Utilizați această procedură pentru a configura mașina virtuală din fișierul ISO pe care l-ați creat cu instrumentul de configurare HDS.

Înainte de a începe

Deoarece fișierul ISO deține cheia principală, acesta ar trebui să fie expus numai pe baza necesității de a cunoaște, pentru accesul VM-urilor de securitate a datelor hibride și al oricăror administratori care ar putea fi nevoiți să facă modificări. Asigurați-vă că numai acei administratori pot accesa dataStore.

1

Încărcați fișierul ISO de pe computerul dvs.:

În panoul de navigare stânga al clientului VMware vSphere, faceți clic pe serverul ESXi.
În lista Hardware a filei Configurare, faceți clic pe Stocare.
În lista Datastores, faceți clic dreapta pe datastore pentru VM-urile dvs. și faceți clic pe Răsfoiți Datastore.
Faceți clic pe pictograma Încărcare fișiere, apoi faceți clic pe Încărcare fișier.
Navigați la locația în care ați descărcat fișierul ISO pe computer și faceți clic pe Deschidere.
Faceți clic pe Da pentru a accepta avertismentul operațiunii de încărcare/descărcare și a închide caseta de dialog a datelor.

2

Montează fișierul ISO:

În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările.
Faceți clic pe OK pentru a accepta avertismentul cu opțiuni de editare restricționate.
Faceți clic pe CD/DVD Drive 1, selectați opțiunea de montare dintr-un fișier ISO de bază de date și navigați la locația în care ați încărcat fișierul ISO de configurare.
Bifați opțiunea Conectat și Conectare la pornire.
Salvați modificările și reporniți mașina virtuală.

Ce este de făcut în continuare

Dacă politica IT solicită, puteți, opțional, să demontați fișierul ISO după ce toate nodurile preiau modificările de configurație. Consultați (Opțional) Demontați ISO după configurarea HDS pentru detalii.

Configurarea nodului HDS pentru integrarea proxy

Dacă mediul de rețea necesită un proxy, utilizați această procedură pentru a specifica tipul de proxy pe care doriți să îl integrați cu Securitatea datelor hibride. Dacă alegeți un proxy de inspectare transparent sau un proxy explicit HTTPS, puteți utiliza interfața nodului pentru a încărca și instala certificatul rădăcină. De asemenea, puteți verifica conexiunea proxy din interfață și puteți depana orice probleme potențiale.

Înainte de a începe

Consultați Suport proxy pentru o prezentare generală a opțiunilor proxy acceptate.
Cerințe server proxy

1	Introduceți URL-ul de configurare a nodului HDS `https://[HDS Node IP or FQDN]/setup` într-un browser web, introduceți acreditările de administrator pe care le configurați pentru nod, apoi faceți clic pe Conectare.
2	Accesați Trust Store & Proxy, apoi alegeți o opțiune: Fără proxy—Opțiunea implicită înainte de a integra un proxy. Nu este necesară actualizarea certificatului. Proxy transparent fără inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy și nu ar trebui să necesite modificări pentru a funcționa cu un proxy fără inspectare. Nu este necesară actualizarea certificatului. Proxy de inspectare transparent—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy. Nu sunt necesare modificări de configurare HTTPS pe implementarea hibride de securitate a datelor, cu toate acestea, nodurile HDS au nevoie de un certificat rădăcină, astfel încât acestea să aibă încredere în proxy. Proxy-urile de inspectare sunt de obicei utilizate de IT pentru a aplica politici pe care site-urile web pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS). Proxy explicit—Cu proxy explicit, spuneți clientului (nodurilor HDS) ce server proxy să utilizeze, iar această opțiune acceptă mai multe tipuri de autentificare. După ce alegeți această opțiune, trebuie să introduceți următoarele informații: IP/FQDN proxy—Adresa care poate fi utilizată pentru a accesa computerul proxy. Port proxy—Un număr de port utilizat de proxy pentru a asculta traficul protejat. Protocol proxy—Alegeți http (vizualizează și controlează toate solicitările primite de la client) sau https (oferă un canal către server, iar clientul primește și validează certificatul serverului). Alegeți o opțiune în funcție de ceea ce acceptă serverul proxy. Tip autentificare—Alegeți dintre următoarele tipuri de autentificare: Fără—Nu este necesară mai multă autentificare. Disponibil pentru proxy-uri HTTP sau HTTPS. De bază—Utilizat pentru un agent de utilizator HTTP care furnizează un nume de utilizator și o parolă atunci când efectuează o solicitare. Utilizează codificarea Base64. Disponibil pentru proxy-uri HTTP sau HTTPS. Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola. Rezumat- Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite prin rețea. Disponibil numai pentru proxy-uri HTTPS. Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola. Urmați pașii următori pentru un proxy de inspectare transparent, un proxy explicit HTTP cu autentificare de bază sau un proxy explicit HTTPS.
3	Faceți clic pe Încărcare certificat rădăcină sau certificat de entitate de sfârșit , apoi navigați la o alegeți certificatul rădăcină pentruproxy. Certificatul este încărcat, dar nu este încă instalat, deoarece trebuie să reporniți nodul pentru a instala certificatul. Faceți clic pe săgeata ghilimelei unghiulare de numele emitentului certificatului pentru a obține mai multe detalii sau faceți clic pe Ștergere dacă ați făcut o greșeală și doriți să reîncărcați fișierul.
4	Faceți clic pe Verificare conexiune proxy pentru a testa conectivitatea la rețea între nod și proxy. Dacă testul de conexiune nu reușește, veți vedea un mesaj de eroare care arată motivul și modul în care puteți corecta problema. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a reușit, nodul nu a reușit să ajungă la serverul DNS. Această condiție este de așteptat în multe configurații proxy explicite. Puteți continua configurarea, iar nodul va funcționa în modul Rezoluție DNS externă blocată. Dacă considerați că aceasta este o eroare, parcurgeți acești pași și apoi consultați Dezactivare mod rezoluție DNS externă blocată.
5	După ce trece testul de conexiune, pentru proxy explicit setat la https numai, activați comutatorul pentru a ruta toate port 443/444 https solicitările de la acest nod prin proxy explicit. Această setare necesită 15 secunde pentru a intra în vigoare.
6	Faceți clic pe Instalare toate certificatele în Depozitul de încredere (apare pentru un proxy explicit HTTPS sau un proxy de inspectare transparent) sau pe Repornire (apare pentru un proxy explicit HTTP), citiți solicitarea, apoi faceți clic pe Instalare dacă sunteți gata. Nodul repornește în câteva minute.
7	După repornirea nodului, conectați-vă din nou, dacă este necesar, apoi deschideți pagina Prezentare generală pentru a verifica verificările de conectivitate pentru a vă asigura că toate sunt în stare verde. Verificarea conexiunii proxy testează numai un subdomeniu de webex.com. Dacă există probleme de conectivitate, o problemă comună este că unele dintre domeniile cloud listate în instrucțiunile de instalare sunt blocate la proxy.

Înscrieți primul nod din cluster

Această sarcină preia nodul generic pe care l-ați creat în Configurați VM de securitate a datelor hibride, înregistrează nodul în cloudul Webex și îl transformă într-un nod de securitate a datelor hibride.

Când înscrieți primul nod, creați un cluster căruia îi este atribuit nodul. Un cluster conține unul sau mai multe noduri implementate pentru a asigura redundanța.

Înainte de a începe

După ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți din nou.
Asigurați-vă că orice blocare a ferestrelor pop-up din browser este dezactivată sau că permiteți o excepție pentru admin.webex.com.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți cardul Securitate a datelor hibride și faceți clic pe Configurare.
4	În pagina care se deschide, faceți clic pe Adăugați o resursă.
5	În primul câmp al cardului Adăugați un nod , introduceți un nume pentru clusterul căruia doriți să îi atribuiți nodul de securitate a datelor hibride. Vă recomandăm să denumiți un cluster în funcție de locul geografic în care se află nodurile clusterului. Exemple: "San Francisco" sau "New York" sau "Dallas"
6	În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Adăugare în partea de jos a ecranului. Această adresă IP sau FQDN trebuie să corespundă adresei IP sau numelui gazdei și domeniului pe care le-ați utilizat în Configurați VM de securitate a datelor hibride. Apare un mesaj care indică faptul că vă puteți înscrie nodul în Webex.
7	Faceți clic pe Accesați nodul. După câteva momente, veți fi redirecționat(ă) către testele de conectivitate a nodului pentru serviciile Webex. Dacă toate testele sunt reușite, apare pagina Permiteți accesul la Nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați organizației dvs. Webex permisiuni pentru a vă accesa nodul.
8	Bifați caseta de selectare Permiteți accesul la nodul de securitate a datelor hibride , apoi faceți clic pe Continuați. Contul dvs. este validat, iar mesajul „Înscriere finalizată” indică faptul că nodul dvs. este acum înscris în cloudul Webex.
9	Faceți clic pe link sau închideți fila pentru a reveni la pagina Securitatea datelor hibride Partner Hub. Pe pagina Securitatea datelor hibride , noul cluster care conține nodul pe care l-ați înscris este afișat în fila Resurse . Nodul va descărca automat cel mai recent software din cloud.

Creați și înscrieți mai multe noduri

Pentru a adăuga noduri suplimentare la clusterul dvs., trebuie doar să creați VM suplimentare și să montați același fișier ISO de configurare, apoi să înregistrați nodul. Vă recomandăm să aveți cel puțin 3 noduri.

Înainte de a începe

După ce începeți înregistrarea unui nod, trebuie să îl finalizați în 60 de minute sau trebuie să începeți din nou.
Asigurați-vă că orice blocare a ferestrelor pop-up din browser este dezactivată sau că permiteți o excepție pentru admin.webex.com.

1	Creați o nouă mașină virtuală din OVA, repetând pașii din Instalați OVA gazdă HDS.
2	Configurați configurația inițială pe noul VM, repetând pașii din Configurați VM de securitate a datelor hibride.
3	Pe noul VM, repetați pașii din Încărcarea și montarea ISO de configurare HDS.
4	Dacă configurați un proxy pentru implementarea dvs., repetați pașii din Configurați nodul HDS pentru integrarea proxy după cum este necesar pentru nodul nou.
5	Înscrieți nodul. În https://admin.webex.com, selectați Servicii din meniul din partea stângă a ecranului. În secțiunea Servicii cloud, găsiți cardul Securitate a datelor hibride și faceți clic pe Vizualizați toate. Apare pagina Resurse de securitate a datelor hibride. Clusterul nou creat va apărea în pagina Resurse . Faceți clic pe cluster pentru a vizualiza nodurile alocate clusterului. Faceți clic pe Adăugați un nod în partea dreaptă a ecranului. Introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Adăugați. Se deschide o pagină cu un mesaj care indică faptul că vă puteți înscrie nodul în cloudul Webex. După câteva momente, veți fi redirecționat(ă) către testele de conectivitate a nodului pentru serviciile Webex. Dacă toate testele sunt reușite, apare pagina Permiteți accesul la Nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați organizației dvs. permisiuni pentru a vă accesa nodul. Bifați caseta de selectare Permiteți accesul la nodul de securitate a datelor hibride , apoi faceți clic pe Continuați. Contul dvs. este validat, iar mesajul „Înscriere finalizată” indică faptul că nodul dvs. este acum înscris în cloudul Webex. Faceți clic pe link sau închideți fila pentru a reveni la pagina Securitatea datelor hibride Partner Hub. Mesajul pop-up Adăugat la nod apare, de asemenea, în partea de jos a ecranului din Partner Hub. Nodul dvs. este înregistrat.

Gestionați organizațiile entității găzduite pe securitatea datelor hibride cu entități găzduite multiple

Activați HDS cu entități găzduite multiple în Partner Hub

Această sarcină asigură că toți utilizatorii organizațiilor client pot începe să utilizeze HDS pentru cheile de criptare locale și alte servicii de securitate.

Înainte de a începe

Asigurați-vă că ați finalizat configurarea clusterului HDS cu entități găzduite multiple cu numărul necesar de noduri.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Editare setări.
4	Faceți clic pe Activare HDS pe cardul Stare HDS .

Adăugați organizații ale entităților găzduite în Partner Hub

În această sarcină, alocați organizații client la Clusterul dvs. de securitate a datelor hibride.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Vizualizați toate.
4	Faceți clic pe clusterul căruia doriți să i se atribuie un client.
5	Accesați fila Clienți alocați .
6	Faceți clic pe Adăugați clienți.
7	Selectați clientul pe care doriți să îl adăugați din meniul derulant.
8	Faceți clic pe Adăugare, clientul va fi adăugat la cluster.
9	Repetați pașii 6-8 pentru a adăuga mai mulți clienți la clusterul dvs.
10	Faceți clic pe Gata în partea de jos a ecranului după ce ați adăugat clienții.

Ce este de făcut în continuare

Rulați instrumentul de configurare HDS conform detaliilor din Creați chei principale ale clientului (CMK) utilizând instrumentul de configurare HDS pentru a finaliza procesul de configurare.

Creați chei principale ale clientului (CMK) utilizând instrumentul de configurare HDS

Înainte de a începe

Alocați clienți la clusterul corespunzător, după cum este detaliat în Adăugați organizații găzduite în Partner Hub. Rulați instrumentul de configurare HDS pentru a finaliza procesul de configurare pentru organizațiile client nou adăugate.

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită detaliile de autentificare ale unui cont Partner Hub cu drepturi de administrator depline pentru organizația dvs.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker la pasul 5. Acest tabel oferă câteva posibile variabile de mediu:

Descriere	Variabilă
Proxy HTTP fără autentificare	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS fără autentificare	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP cu autentificare	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS cu autentificare	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier ori de câte ori efectuați modificări de configurație, cum ar fi:
- Acreditări bază de date
- Actualizări certificat
- Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile bazei de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi, utilizați ISO pentru a configura gazda de securitate a datelor hibride.

1	La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite: `docker rmi ciscocitg/hds-setup:stable` În mediile FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.
2	Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele: `docker login -u hdscustomersro`
3	La solicitarea parolei, introduceți acest hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite: `docker pull ciscocitg/hds-setup:stable` În mediile FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În mediile FedRAMP fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”.
6	Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală. Utilizați un browser web pentru a accesa gazda locală `http://127.0.0.1:8080` și a introduce numele de utilizator de administrator pentru Partner Hub la solicitare. Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul corespunzător pentru acel cont. Instrumentul afișează apoi mesajul standard de conectare.
7	Când vi se solicită, introduceți acreditările de conectare de administrator Partner Hub, apoi faceți clic pe Conectați-vă pentru a permite accesul la serviciile necesare pentru Securitatea datelor hibride.
8	Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Începeți.
9	Pe pagina Import ISO , faceți clic pe Da.
10	Selectați fișierul dvs. ISO în browser și încărcați-l. Asigurați conexiunea la baza dvs. de date pentru a efectua gestionarea CMK.
11	Accesați fila Administrare CMK entitate găzduită , unde veți găsi următoarele trei modalități de a gestiona CMK entitate găzduită. Creare CMK pentru toate ORGANIZAȚIILE sau Creare CMK - Faceți clic pe acest buton de pe bannerul din partea de sus a ecranului pentru a crea CMK pentru toate organizațiile nou adăugate. Faceți clic pe butonul Gestionare CMK din partea dreaptă a ecranului și faceți clic pe Creare CMK pentru a crea CMK-uri pentru toate organizațiile nou adăugate. Faceți clic… lângă starea în așteptare a gestionării CMK a unei anumite organizații din tabel și faceți clic pe Creați CMK pentru a crea CMK pentru organizația respectivă.
12	Odată ce crearea CMK reușește, starea din tabel se va schimba din În așteptare gestionare CMK în Gestionat CMK.
13	Dacă crearea CMK nu reușește, se va afișa o eroare.

Eliminați organizațiile entității găzduite

Înainte de a începe

După eliminare, utilizatorii organizațiilor client nu vor putea folosi HDS pentru nevoile lor de criptare și vor pierde toate spațiile existente. Înainte de a elimina organizațiile client, contactați-vă partenerul Cisco sau managerul de cont.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Vizualizați toate.
4	În fila Resurse , faceți clic pe clusterul din care doriți să eliminați organizațiile client.
5	În pagina care se deschide, faceți clic pe Clienți alocați.
6	Din lista de organizații client care se afișează, faceți clic pe ... în partea dreaptă a organizației client pe care doriți să o eliminați și faceți clic pe Eliminare din cluster.

Ce este de făcut în continuare

Finalizați procesul de eliminare prin revocarea CMK-urilor organizațiilor client, așa cum este detaliat în Revocarea CMK-urilor entităților găzduite eliminate din HDS.

Revocați CMK-urile entităților găzduite eliminate din HDS.

Înainte de a începe

Eliminați clienții din clusterul corespunzător, așa cum este detaliat în Eliminați organizațiile entității găzduite. Rulați instrumentul de configurare HDS pentru a finaliza procesul de eliminare pentru organizațiile client care au fost eliminate.

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită detaliile de autentificare ale unui cont Partner Hub cu drepturi de administrator depline pentru organizația dvs.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker la pasul 5. Acest tabel oferă câteva posibile variabile de mediu:

Descriere	Variabilă
Proxy HTTP fără autentificare	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS fără autentificare	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP cu autentificare	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS cu autentificare	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier ori de câte ori efectuați modificări de configurație, cum ar fi:
- Acreditări bază de date
- Actualizări certificat
- Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile bazei de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi, utilizați ISO pentru a configura gazda de securitate a datelor hibride.

1	La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite: `docker rmi ciscocitg/hds-setup:stable` În mediile FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.
2	Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele: `docker login -u hdscustomersro`
3	La solicitarea parolei, introduceți acest hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite: `docker pull ciscocitg/hds-setup:stable` În mediile FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În mediile FedRAMP fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”.
6	Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală. Utilizați un browser web pentru a accesa gazda locală `http://127.0.0.1:8080` și a introduce numele de utilizator de administrator pentru Partner Hub la solicitare. Instrumentul utilizează această primă intrare a numelui de utilizator pentru a seta mediul corespunzător pentru acel cont. Instrumentul afișează apoi mesajul standard de conectare.
7	Când vi se solicită, introduceți acreditările de conectare de administrator Partner Hub, apoi faceți clic pe Conectați-vă pentru a permite accesul la serviciile necesare pentru Securitatea datelor hibride.
8	Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Începeți.
9	Pe pagina Import ISO , faceți clic pe Da.
10	Selectați fișierul dvs. ISO în browser și încărcați-l.
11	Accesați fila Administrare CMK entitate găzduită , unde veți găsi următoarele trei modalități de a gestiona CMK entitate găzduită. Revocare CMK pentru toate ORGANIZAȚIILE sau Revocare CMK - Faceți clic pe acest buton de pe bannerul din partea de sus a ecranului pentru a revoca CMK-urile tuturor organizațiilor care au fost eliminate. Faceți clic pe butonul Gestionare CMK din partea dreaptă a ecranului și faceți clic pe Revocare CMK pentru a revoca CMK-urile tuturor organizațiilor care au fost eliminate. Faceți clic pe lângă starea CMK pentru a fi revocată a unei anumite organizații din tabel și faceți clic pe Revocare CMK pentru a revoca CMK pentru organizația respectivă.
12	Odată ce revocarea CMK reușește, organizația client nu va mai apărea în tabel.
13	Dacă revocarea CMK nu reușește, se va afișa o eroare.

Testați implementarea securității datelor hibride

Utilizați această procedură pentru a testa scenariile de criptare a securității datelor hibride cu entități găzduite multiple.

Înainte de a începe

Configurați implementarea securității datelor hibride cu entități găzduite multiple.
Asigurați-vă că aveți acces la syslog pentru a verifica dacă solicitările cheie sunt transmise la implementarea securității datelor hibride cu entități găzduite multiple.

1

Tastele pentru un anumit spațiu sunt setate de către creatorul spațiului. Conectați-vă la Aplicația Webex ca unul dintre utilizatorii organizației client, apoi creați un spațiu.

Dacă dezactivați implementarea securității datelor hibride, conținutul din spațiile pe care le creează utilizatorii nu mai este accesibil odată ce copiile din memoria cache a cheilor de criptare sunt înlocuite.

2

Trimiteți mesaje către noul spațiu.

3

Verificați ieșirea syslog pentru a verifica dacă solicitările cheie sunt transmise la implementarea securității datelor hibride.

Pentru a verifica dacă un utilizator stabilește mai întâi un canal securizat către KMS, filtrați kms.data.method=create și kms.data.type=EPHEMERAL_KEY_COLLECTION:

Ar trebui să găsiți o intrare precum următoarea (identificatori scurtați pentru lizibilitate):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Pentru a verifica dacă există un utilizator care solicită o cheie existentă din KMS, filtrați kms.data.method=retrieve și kms.data.type=KEY:

Ar trebui să găsiți o intrare precum:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Pentru a verifica dacă există un utilizator care solicită crearea unei noi chei KMS, filtrați kms.data.method=create și kms.data.type=KEY_COLLECTION:

Ar trebui să găsiți o intrare precum:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Pentru a verifica dacă un utilizator solicită crearea unui nou obiect de resurse KMS (KRO) atunci când este creat un spațiu sau o altă resursă protejată, filtrați kms.data.method=create și kms.data.type=RESOURCE_COLLECTION:

Ar trebui să găsiți o intrare precum:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorizați Securitatea datelor hibride

Un indicator de stare din Partner Hub vă arată dacă implementarea securității datelor hibride cu entități găzduite multiple este în regulă. Pentru o alertă mai proactivă, înscrieți-vă pentru notificări prin e-mail. Veți fi notificat atunci când există alarme sau upgrade-uri de software cu impact asupra serviciului.

1	În Partner Hub, selectați Servicii din meniul din partea stângă a ecranului.
2	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Editare setări. Apare pagina Setări de securitate a datelor hibride.
3	În secțiunea Notificări prin e-mail, introduceți una sau mai multe adrese de e-mail separate prin virgule și apăsați Enter.

Gestionați implementarea HDS

Utilizați sarcinile descrise aici pentru a gestiona implementarea securității datelor hibride.

Setați programarea upgrade-ului clusterului

Upgrade-urile software pentru Securitatea datelor hibride se efectuează automat la nivel de cluster, ceea ce garantează faptul că toate nodurile rulează întotdeauna aceeași versiune software. Upgrade-urile se efectuează în funcție de programul de upgrade pentru cluster. Atunci când un upgrade de software devine disponibil, aveți opțiunea de a efectua manual upgrade-ul clusterului înainte de ora programată pentru upgrade. Puteți seta un anumit program de upgrade sau puteți utiliza programul implicit de upgrade de la ora 3:00 a.m. Zilnic în Statele Unite: America/Los Angeles. De asemenea, puteți alege să amânați un upgrade viitor, dacă este necesar.

Pentru a seta programul de upgrade:

1	Conectați-vă la Hubul pentru parteneri.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitatea datelor hibride și faceți clic pe Configurare
4	Pe pagina Resurse de securitate a datelor hibride, selectați clusterul.
5	Faceți clic pe fila Setări cluster .
6	În pagina Setări cluster, sub Programare upgrade, selectați ora și fusul orar pentru programarea upgrade-ului. Notă: În fusul orar se afișează următoarea dată și oră de upgrade disponibile. Puteți amâna upgrade-ul până în ziua următoare, dacă este necesar, făcând clic pe Amânare cu 24 de ore.

Modificați configurația nodului

Ocazional, poate fi necesar să modificați configurația nodului hibrid de securitate a datelor dintr-un motiv ar fi:

Modificarea certificatelor x.509 din cauza expirării sau din alte motive.

Nu acceptăm schimbarea numelui de domeniu CN al unui certificat. Domeniul trebuie să se potrivească cu domeniul inițial utilizat pentru înregistrarea clusterului.
Actualizarea setărilor bazei de date pentru a trece la o replică a bazei de date PostgreSQL sau Microsoft SQL Server.

Nu acceptăm migrarea datelor de la PostgreSQL la Microsoft SQL Server sau invers. Pentru a schimba mediul bazei de date, începeți o nouă implementare a Hybrid Data Security.
Crearea unei noi configurații pentru a pregăti un nou centru de date.

De asemenea, în scopuri de securitate, Hybrid Data Security utilizează parole de cont de serviciu care au o durată de viață de nouă luni. După ce instrumentul de instalare HDS generează aceste parole, le implementați la fiecare dintre nodurile HDS în fișierul de configurare ISO. Când parolele organizației se apropie de expirare, primiți o notificare de la echipa Webex pentru a reseta parola pentru contul dvs. (E-mailul include textul „Utilizați API-ul contului de mașină pentru a actualiza parola.”) Dacă parolele nu au expirat încă, instrumentul vă oferă două opțiuni:

Resetare ușoară—Parolele vechi și cele noi funcționează timp de până la 10 zile. Folosiți această perioadă pentru a înlocui treptat fișierul ISO pe noduri.
Resetare forțată—Parolele vechi nu mai funcționează imediat.

Dacă parolele dvs. expiră fără resetare, acest lucru va afecta serviciul HDS, necesitând o resetare hardware imediată și înlocuirea fișierului ISO pe toate nodurile.

Utilizați această procedură pentru a genera un nou fișier ISO de configurare și pentru a-l aplica clusterului dvs.

Înainte de a începe

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită datele de autentificare ale unui cont Partner Hub cu drepturi depline de administrator pentru partener.

Dacă nu aveți o licență Docker Desktop, puteți utiliza Podman Desktop pentru a rula instrumentul de configurare HDS pentru pașii 1.a până la 1.e din procedura de mai jos. Consultați Rulați instrumentul de configurare HDS utilizând Podman Desktop pentru detalii.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker în 1.e. Acest tabel oferă câteva posibile variabile de mediu:

Descriere	Variabilă
Proxy HTTP fără autentificare	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS fără autentificare	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP cu autentificare	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS cu autentificare	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Aveți nevoie de o copie a fișierului ISO de configurare curent pentru a genera o nouă configurație. ISO conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de ISO când faceți modificări de configurare, inclusiv acreditările bazei de date, actualizări de certificate sau modificări ale politicii de autorizare.

1	Folosind Docker pe o mașină locală, rulați Instrumentul de configurare HDS. La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite: `docker rmi ciscocitg/hds-setup:stable` În mediile FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora. Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele: `docker login -u hdscustomersro` La solicitarea parolei, introduceți acest hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite: `docker pull ciscocitg/hds-setup:stable` În mediile FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable` Asigurați-vă că utilizați cel mai recent instrument de configurare pentru această procedură. Versiunile instrumentului create înainte de 22 februarie 2018 nu au ecrane de resetare a parolei. Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În medii obișnuite cu un HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În mediile FedRAMP fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”. Utilizați un browser pentru a vă conecta la localhost, `http://127.0.0.1:8080`. Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Utilizați http://127.0.0.1:8080 pentru a vă conecta la gazda locală. Când vi se solicită, introduceți acreditările de conectare ale clientului Partner Hub și apoi faceți clic pe Acceptați pentru a continua. Importați fișierul ISO de configurare curentă. Urmați instrucțiunile pentru a finaliza instrumentul și descărcați fișierul actualizat. Pentru a închide instrumentul de configurare, tastați `CTRL+C`. Creați o copie de rezervă a fișierului actualizat într-un alt centru de date.
2	Dacă aveți un singur nod HDS care rulează, creați un nou VM nod de securitate a datelor hibride și înregistrați-l utilizând noul fișier ISO de configurare. Pentru instrucțiuni mai detaliate, consultați Creați și înscrieți mai multe noduri. Instalați OVA gazdă HDS. Configurați VM HDS. Montați fișierul de configurare actualizat. Înscrieți noul nod în Partner Hub.
3	Pentru nodurile HDS existente care rulează fișierul de configurare mai vechi, montați fișierul ISO. Efectuați următoarea procedură pe fiecare nod pe rând, actualizând fiecare nod înainte de a opri următorul nod: Opriți mașina virtuală. În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările. Faceți clic pe `CD/DVD Drive 1`, selectați opțiunea de montare dintr-un fișier ISO și navigați la locația de unde ați descărcat noul fișier ISO de configurare. Bifaţi Conectare la pornire. Salvați modificările și porniți mașina virtuală.
4	Repetați pasul 3 pentru a înlocui configurația pe fiecare nod rămas care rulează configurația veche.

Dezactivarea modului de rezoluție DNS extern blocat

Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează căutarea DNS și conectivitatea la cloud-ul Cisco Webex. Dacă serverul DNS al nodului nu poate rezolva numele DNS publice, nodul intră automat în modul Rezoluție DNS externă blocată.

Dacă nodurile sunt capabile să rezolve numele DNS publice prin serverele DNS interne, puteți dezactiva acest mod prin reluarea testului de conexiune proxy pe fiecare nod.

Înainte de a începe

Asigurați-vă că serverele DNS interne pot rezolva numele DNS publice și că nodurile pot comunica cu acestea.

1	Într-un browser web, deschideți interfața nodului Hibrid Data Security (adresa IP/configurare, de exemplu, https://192.0.2.0/setup), introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.
2	Accesați Prezentare generală (pagina implicită). Când este activată, Rezoluția DNS externă blocată este setată la Da.
3	Accesați pagina Trust Store & Proxy.
4	Faceți clic pe Verificare conexiune proxy. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a avut succes, nodul nu a reușit să ajungă la serverul DNS și va rămâne în acest mod. În caz contrar, după ce reporniți nodul și reveniți la pagina Prezentare generală, Rezoluția DNS externă blocată ar trebui să fie setată la nu.

Ce trebuie să faceți în continuare

Repetați testul de conexiune proxy pe fiecare nod din clusterul hibrid de securitate a datelor.

Eliminați un nod

Utilizați această procedură pentru a elimina un nod de securitate a datelor hibride din cloudul Webex. După ce eliminați nodul din cluster, ștergeți mașina virtuală pentru a preveni accesul în continuare la datele dvs. de securitate.

1

Utilizați clientul VMware vSphere de pe computerul dvs. pentru a vă conecta la gazda virtuală ESXi și pentru a porni mașina virtuală.

2

Eliminați nodul:

Conectați-vă la Partner Hub, apoi selectați Servicii.
Pe cardul Securitate a datelor hibride, faceți clic pe Vizualizați toate pentru a afișa pagina Resurse de securitate a datelor hibride.
Selectați clusterul pentru a-și afișa panoul Prezentare generală.
Faceți clic pe nodul pe care doriți să îl eliminați.
Faceți clic pe Anulați înscrierea acestui nod în panoul care apare în partea dreaptă
De asemenea, puteți anula înscrierea nodului făcând clic… în partea dreaptă a nodului și selectând Eliminați acest nod.

3

În clientul vSphere, ștergeți VM. (În panoul de navigare din stânga, faceți clic dreapta pe VM și faceți clic pe Ștergere.)

Dacă nu ștergeți VM, nu uitați să demontați fișierul ISO de configurare. Fără fișierul ISO, nu puteți utiliza VM pentru a accesa datele de securitate.

Recuperarea după dezastru utilizând centrul de date în așteptare

Cel mai critic serviciu pe care clusterul dvs. de securitate a datelor hibride îl oferă este crearea și stocarea cheilor utilizate pentru a cripta mesajele și alt conținut stocat în cloudul Webex. Pentru fiecare utilizator din organizație care este atribuit Securitatea datelor hibride, noile solicitări de creare a cheii sunt direcționate către cluster. Clusterul este, de asemenea, responsabil pentru returnarea cheilor pe care le-a creat oricărui utilizator autorizat să le recupereze, de exemplu, membrilor unui spațiu de conversație.

Deoarece clusterul îndeplinește funcția critică de furnizare a acestor chei, este imperativ ca clusterul să rămână în funcțiune și să fie menținute copiile de rezervă corespunzătoare. Pierderea bazei de date hibride de securitate a datelor sau a ISO-ului de configurare utilizat pentru schemă va duce la PIERDEREA IREVERSIBILĂ a conținutului clientului. Pentru a preveni o astfel de pierdere sunt obligatorii următoarele practici:

Dacă un dezastru face ca implementarea HDS în centrul de date principal să devină indisponibilă, urmați această procedură pentru a trece manual la centrul de date în așteptare.

Înainte de a începe

Anulați înscrierea tuturor nodurilor din Partner Hub, după cum este menționat în Eliminați un nod. Utilizați cel mai recent fișier ISO care a fost configurat în raport cu nodurile clusterului care era activ anterior, pentru a efectua procedura de reluare în caz de nereușită menționată mai jos.

1	Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un ISO de configurare pentru gazdele HDS.
2	Finalizați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit.
3	Faceți o copie de rezervă a fișierului ISO în sistemul local. Păstrați copia de rezervă securizată. Acest fișier conține o cheie de criptare principală pentru conținutul bazei de date. Restricționați accesul numai la acei administratori de securitate a datelor hibride care ar trebui să efectueze modificări de configurație.
4	În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările.
5	Faceți clic pe Editare setări >CD/DVD Drive 1 și selectați Datastore ISO File. Asigurați-vă că sunt bifate opțiunile Conectat și Conectare la pornire , astfel încât modificările actualizate ale configurației să poată intra în vigoare după pornirea nodurilor.
6	Porniți nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute.
7	Înscrieți nodul în Partner Hub. Consultați Înscrieți primul nod din cluster.
8	Repetați procesul pentru fiecare nod din centrul de date în așteptare.

Ce este de făcut în continuare

După reluarea în caz de nereușită, în cazul în care centrul de date principal redevine activ, anulați înregistrarea nodurilor centrului de date în așteptare și repetați procesul de configurare ISO și de înregistrare a nodurilor centrului de date principal, după cum s-a menționat mai sus.

(Opțional) Demontați ISO după configurarea HDS

Configurația standard HDS rulează cu ISO montat. Dar, unii clienți preferă să nu lase fișierele ISO montate continuu. Puteți demonta fișierul ISO după ce toate nodurile HDS preiau noua configurație.

Încă utilizați fișierele ISO pentru a efectua modificări de configurație. Când creați un nou ISO sau actualizați un ISO prin intermediul instrumentului de configurare, trebuie să montați ISO actualizat pe toate nodurile HDS. După ce toate nodurile au preluat modificările de configurație, puteți demonta din nou ISO cu această procedură.

Înainte de a începe

Efectuați upgrade pentru toate nodurile HDS la versiunea 2021.01.22.4720 sau la o versiune ulterioară.

1	Închideți unul dintre nodurile HDS.
2	În dispozitivul vCenter Server, selectați nodul HDS.
3	Alegeți Editare setări > Unitate CD/DVD și debifați Datastore ISO File.
4	Porniți nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 20 de minute.
5	Repetați la rând pentru fiecare nod HDS.

Soluționați problemele privind securitatea datelor hibride

Vizualizați alertele și soluționarea problemelor

O implementare de securitate a datelor hibride este considerată indisponibilă dacă toate nodurile din cluster sunt inaccesibile sau clusterul funcționează atât de lent încât necesită timp liber. Dacă utilizatorii nu pot contacta Clusterul dvs. de securitate a datelor hibride, vor prezenta următoarele simptome:

Nu se pot crea spații noi (nu se pot crea chei noi)
Mesajele și titlurile spațiului nu au putut fi decriptate pentru:
- Utilizatori noi adăugați într-un spațiu (nu se pot prelua cheile)
- Utilizatori existenți într-un spațiu utilizând un client nou (nu se pot prelua cheile)
Utilizatorii existenți dintr-un spațiu vor continua să ruleze cu succes atât timp cât clienții lor au o memorie cache a cheilor de criptare

Este important să monitorizați în mod corespunzător clusterul de securitate a datelor hibride și să abordați prompt orice alerte pentru a evita întreruperea serviciului.

Alerte

Dacă există o problemă cu configurarea securității datelor hibride, Partner Hub afișează alerte administratorului organizației și trimite e-mailuri la adresa de e-mail configurată. Alertele acoperă multe scenarii comune.

Tabelul 1. Probleme comune și pașii pentru a le rezolva
Alertă	Acțiune
Eroare de acces la baza de date locală.	Verificați dacă există erori la baza de date sau probleme de rețea locală.
Eroare de conexiune la baza de date locală.	Verificați dacă serverul bazei de date este disponibil și dacă s-au utilizat datele de autentificare corecte la contul de serviciu în configurarea nodului.
Acces nereușit la serviciul cloud.	Verificați dacă nodurile pot accesa serverele Webex, conform specificațiilor din Cerințe de conectivitate externă.
Se reînnoiește înscrierea la serviciul cloud.	Înscrierea la serviciile cloud a fost abandonată. Înregistrarea este în curs de reînnoire.
Înscrierea la serviciul cloud a scăzut.	Înscrierea la serviciile cloud a fost încheiată. Serviciul se oprește.
Serviciul nu a fost încă activat.	Activați HDS în Partner Hub.
Domeniul configurat nu corespunde certificatului serverului.	Asigurați-vă că certificatul dvs. de server corespunde domeniului de activare a serviciului configurat. Cauza cea mai probabilă este că certificatul NC a fost modificat recent și este acum diferit de cel utilizat în timpul configurării inițiale.
Nu s-a reușit autentificarea la serviciile cloud.	Verificați acuratețea și posibila expirare a acreditărilor contului de serviciu.
Nu s-a reușit deschiderea fișierului de keystore local.	Verificați integritatea și acuratețea parolei în fișierul de keystore local.
Certificatul serverului local nu este valid.	Verificați data de expirare a certificatului serverului și confirmați că acesta a fost emis de o autoritate de certificare de încredere.
Nu se pot publica măsurătorile.	Verificați accesul rețelei locale la serviciile externe din cloud.
Directorul /media/configdrive/hds nu există.	Verificați configurația de montare ISO pe gazda virtuală. Verificați dacă fișierul ISO există, dacă este configurat pentru montare la repornire și dacă se montează cu succes.
Configurarea organizației entității găzduite nu este finalizată pentru organizațiile adăugate	Finalizați configurarea prin crearea de CMK-uri pentru organizațiile de entități găzduite nou adăugate utilizând Instrumentul de configurare HDS.
Configurarea organizației entității găzduite nu este finalizată pentru organizațiile eliminate	Finalizați configurarea prin revocarea CMK-urilor organizațiilor găzduite care au fost eliminate cu ajutorul Instrumentului de configurare HDS.

Soluționați problemele privind securitatea datelor hibride

Utilizați următoarele indicații generale atunci când depanați problemele cu Securitatea datelor hibride.

1	Consultați Partner Hub pentru orice alerte și remediați orice elemente pe care le găsiți acolo. Consultați imaginea de mai jos pentru referință.
2	Revizuiți ieșirea serverului syslog pentru activitatea din implementarea securității datelor hibride. Filtru pentru cuvinte precum „Avertisment” și „Eroare” pentru a ajuta la depanare.
3	Contactați asistența Cisco.

Alte note

Probleme cunoscute privind securitatea datelor hibride

Dacă închideți clusterul de securitate a datelor hibride (prin ștergerea acestuia din Partner Hub sau prin închiderea tuturor nodurilor), pierdeți fișierul ISO de configurare sau pierdeți accesul la baza de date din keystore, utilizatorii Aplicației Webex din organizațiile client nu mai pot utiliza spațiile din lista lor de persoane care au fost create cu chei din KMS. Nu avem în prezent o soluție sau o soluție pentru această problemă și vă încurajăm să nu închideți serviciile dvs. HDS odată ce acestea gestionează conturile de utilizator active.
Un client care are o conexiune ECDH existentă la un KMS menține această conexiune pentru o perioadă de timp (probabil o oră).

Executați instrumentul de configurare HDS utilizând Podman Desktop

Podman este un instrument gratuit și open source de gestionare a containerelor, care oferă o modalitate de a rula, gestiona și crea containere. Desktopul Podman poate fi descărcat de pe https://podman-desktop.io/downloads.

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, descărcați și rulați Podman pe acea mașină. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi complete de administrator pentru organizația dvs.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy din mediul dvs., furnizați setările proxy (server, port, date de autentificare) prin variabilele de mediu Docker atunci când aduceți containerul Docker la pasul 5. Acest tabel oferă câteva posibile variabile de mediu:

Descriere	Variabilă
Proxy HTTP fără autentificare	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS fără autentificare	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP cu autentificare	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS cu autentificare	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier ori de câte ori efectuați modificări de configurație, cum ar fi:
- Acreditări bază de date
- Actualizări certificat
- Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile bazei de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

Procesul de configurare a securității datelor hibride creează un fișier ISO. Apoi, utilizați ISO pentru a configura gazda de securitate a datelor hibride.

podman rmi ciscocitg/hds-setup:stable  
podman login docker.io -u hdscustomersro
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
podman pull ciscocitg/hds-setup:stable
podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Ce este de făcut în continuare

Urmați pașii rămași în Creați o configurație ISO pentru gazdele HDS sau Modificați configurația nodului pentru a crea sau modifica configurația ISO.

Utilizați OpenSSL pentru a genera un fișier PKCS12

Înainte de a începe

OpenSSL este un instrument care poate fi utilizat pentru a face fișierul PKCS12 în formatul corect pentru încărcarea în instrumentul de configurare HDS. Există și alte modalități de a face acest lucru, iar noi nu sprijinim sau promovăm într-un mod mai presus de altul.
Dacă alegeți să utilizați OpenSSL, vă oferim această procedură ca ghid pentru a vă ajuta să creați un fișier care îndeplinește cerințele de certificat X.509 din Cerințele de certificat X.509. Înțelegeți aceste cerințe înainte de a continua.
Instalați OpenSSL într-un mediu acceptat. Consultați https://www.openssl.org pentru software și documentație.
Creați o cheie privată.
Inițiați această procedură atunci când primiți certificatul de server de la Certificate Authority (CA).

1	Când primiți certificatul de server de la CA, salvați-l ca `hdsnode.pem`.
2	Afișați certificatul ca text și verificați detaliile. `openssl x509 -text -noout -in hdsnode.pem`
3	Utilizați un editor de text pentru a crea un fișier pachet de certificate numit `hdsnode-bundle.pem`. Fișierul pachet trebuie să includă certificatul de server, orice certificate CA intermediare și certificatele CA rădăcină, în formatul de mai jos: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Creați fișierul .p12 cu numele prietenos `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Verificați detaliile certificatului serverului. `openssl pkcs12 -in hdsnode.p12` Introduceți o parolă la solicitarea de a cripta cheia privată astfel încât să fie afișată în ieșire. Apoi, verificați dacă cheia privată și primul certificat includ liniile `friendlyName: kms-private-key`. Exemplu: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

Ce este de făcut în continuare

Reveniți la Finalizați cerințele preliminare pentru securitatea datelor hibride. Veți utiliza hdsnode.p12 fișierul și parola pe care ați setat-o pentru acesta în Creați o configurație ISO pentru gazdele HDS.

Puteți reutiliza aceste fișiere pentru a solicita un nou certificat atunci când certificatul original expiră.

Trafic între nodurile HDS și cloud

Trafic de colectare a măsurătorilor de ieșire

Nodurile de securitate a datelor hibride trimit anumite măsurători în cloudul Webex. Printre acestea se numără măsurătorile de sistem privind numărul maxim de cadre, efectivul de cadre utilizate, sarcina procesorului și numărul de fire de execuție; măsurătorile privind șirurile sincronizate și asincrone; măsurătorile privind alertele care implică un prag de conexiuni de criptare, o latență sau o lungime a cozii de apeluri; măsurătorile privind astrele de date și măsurătorile privind conexiunile de criptare. Nodurile trimit material cheie criptat printr-un canal în afara benzii (separat de solicitare).

Trafic de intrare

Nodurile de securitate a datelor hibride primesc următoarele tipuri de trafic de intrare din cloudul Webex:

Solicitări de criptare de la clienți, care sunt rutate de serviciul de criptare
Upgrade-uri la software-ul nodului

Configurarea proxy-urilor Squid pentru securitatea datelor hibride

Websocket nu se poate conecta prin Squid Proxy

Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea conexiunilor websocket (wss:) pe care le necesită Securitatea datelor hibride. Aceste secțiuni oferă îndrumări cu privire la modul de configurare a diferitelor versiuni de Squid pentru a ignora wss: traficul pentru funcționarea corectă a serviciilor.

Calmar 4 și 5

Adăugați on_unsupported_protocol directiva la squid.conf:

on_unsupported_protocol tunnel all

Calmar 3.5.27

Am testat cu succes Securitatea datelor hibride cu următoarele reguli adăugate la squid.conf. Aceste reguli pot fi modificate pe măsură ce dezvoltăm caracteristici și actualizăm cloud-ul Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Informații noi și modificate

Acest tabel prezintă noile caracteristici sau funcționalități, modificările aduse conținutului existent și orice erori majore care au fost remediate în Ghidul de implementare pentru securitatea datelor hibride cu mai mulți chiriași.

Dată	Modificări efectuate
8 mai 2025	Adăugat Mută implementarea HDS cu un singur utilizator existentă a unei organizații partenere din Control Hub într-o configurație HDS cu mai mulți utilizatori în secțiunea Partner Hub. Ieșirea syslog a fost actualizată pentru a îmbunătăți lizibilitatea în secțiunea Testați implementarea securității datelor hibride. Au fost actualizate Cerințe pentru gazda virtuală, Flux de activități pentru implementarea securității datelor hibrideși Instalarea OVA-ului gazdă HDS pentru a adăuga suport pentru ESXi 8.0.
4 martie 2025	Adăugată secțiunea Rulați instrumentul HDS Setup folosind Podman Desktop. Am adăugat o notă în Cerințe Docker Desktop care oferă clienților o opțiune open-source alternativă. Actualizat Crearea unui fișier ISO de configurare pentru gazdele HDS și Modificarea configurației nodului cu instrucțiuni de utilizare a Podman Desktop pentru clienții fără licență Docker Desktop.
30 ianuarie 2025	Versiunea 2022 a serverului SQL a fost adăugată la lista de servere SQL acceptate în Cerințe server baze de date.
15 ianuarie 2025	Adăugate Limitările securității datelor hibride cu mai mulți chiriași.
8 ianuarie 2025	Am adăugat o notă în Efectuați configurarea inițială și descărcați fișierele de instalare care precizează că un pas important al procesului de instalare este să faceți clic pe Configurare pe cardul HDS din Partner Hub.
7 ianuarie 2025	Cerințe gazdă virtuală, Flux de activități pentru implementarea securității datelor hibrideși Instalarea OVA gazdă HDS au fost actualizate pentru a afișa noile cerințe ale ESXi 7.0.
13 decembrie 2024	Publicat pentru prima dată.

Dezactivarea securității datelor hibride cu mai mulți chiriași

Flux de activități pentru dezactivarea HDS pentru mai mulți chiriași

Urmați acești pași pentru a dezactiva complet Multi-Tenant HDS.

Înainte de a începe

Această sarcină ar trebui îndeplinită doar de un administrator complet al Partenerului.

1	Eliminați toți clienții din toate clusterele, așa cum se menționează în Eliminați organizațiile chiriașilor.
2	Revocați CMK-urile tuturor clienților, așa cum se menționează în Revocați CMK-urile chiriașilor eliminați din HDS..
3	Eliminați toate nodurile din toate clusterele, așa cum se menționează în Eliminați un nod.
4	Ștergeți toate clusterele din Partner Hub folosind una dintre următoarele două metode. Faceți clic pe clusterul pe care doriți să îl ștergeți și selectați Ștergeți acest cluster în colțul din dreapta sus al paginii de prezentare generală. În pagina Resurse, faceți clic pe … în partea dreaptă a unui cluster și selectați Eliminare cluster.
5	Faceți clic pe fila Setări din pagina de prezentare generală a Securității datelor hibride și faceți clic pe Dezactivare HDS pe cardul de stare HDS.

Începeți cu securitatea datelor hibridă multi-tenant

Prezentare generală a securității datelor hibride pentru mai mulți chiriași

Încă din prima zi, securitatea datelor a fost principalul obiectiv în proiectarea aplicației Webex. Piatra de temelie a acestei securități este criptarea conținutului end-to-end, activată de clienții Webex App care interacționează cu Key Management Service (KMS). KMS este responsabil pentru crearea și gestionarea cheilor criptografice pe care clienții le utilizează pentru a cripta și decripta dinamic mesajele și fișierele.

În mod implicit, toți clienții Webex App beneficiază de criptare end-to-end cu chei dinamice stocate în cloud KMS, în domeniul de securitate Cisco. Hybrid Data Security mută KMS și alte funcții legate de securitate în centrul de date al întreprinderii dvs., deci nimeni în afară de dvs. nu deține cheile conținutului dvs. criptat.

Securitatea datelor hibridă cu mai mulți chiriași permite organizațiilor să utilizeze HDS prin intermediul unui partener local de încredere, care poate acționa ca furnizor de servicii și poate gestiona criptarea locală și alte servicii de securitate. Această configurație permite organizației partenere să aibă control complet asupra implementării și gestionării cheilor de criptare și asigură că datele utilizatorilor organizațiilor cliente sunt protejate împotriva accesului extern. Organizațiile partenere configurează instanțe HDS și creează clustere HDS după cum este necesar. Fiecare instanță poate suporta mai multe organizații de clienți, spre deosebire de o implementare HDS obișnuită, care este limitată la o singură organizație.

Deși organizațiile partenere au control asupra implementării și administrării, acestea nu au acces la datele și conținutul generate de clienți. Acest acces este limitat la organizațiile clienți și utilizatorii acestora.

Acest lucru permite, de asemenea, organizațiilor mai mici să utilizeze HDS, deoarece serviciile de gestionare a cheilor și infrastructura de securitate, cum ar fi centrele de date, sunt deținute de partenerul local de încredere.

Cum oferă securitatea datelor hibridă multi-tenant suveranitatea datelor și controlul asupra acestora

Conținutul generat de utilizatori este protejat de accesul extern, cum ar fi cel al furnizorilor de servicii cloud.
Partenerii locali de încredere gestionează cheile de criptare ale clienților cu care au deja o relație stabilită.
Opțiune pentru asistență tehnică locală, dacă este oferită de partener.
Acceptă conținut pentru întâlniri, mesagerie și apeluri.

Acest document are scopul de a ajuta organizațiile partenere să configureze și să gestioneze clienții în cadrul unui sistem hibrid de securitate a datelor cu mai mulți chiriași.

Limitările securității datelor hibride cu mai mulți chiriași

Organizațiile partenere nu trebuie să aibă nicio implementare HDS activă în Control Hub.
Organizațiile chiriașe sau clienți care doresc să fie gestionate de un partener nu trebuie să aibă nicio implementare HDS existentă în Control Hub.
Odată ce Multi-Tenant HDS este implementat de către partener, toți utilizatorii organizațiilor cliente, precum și utilizatorii organizației partenere, încep să utilizeze Multi-Tenant HDS pentru serviciile lor de criptare.

Organizația parteneră și organizațiile clienți pe care le gestionează vor utiliza aceeași implementare HDS Multi-Tenant.

Organizația parteneră nu va mai utiliza KMS în cloud după implementarea Multi-Tenant HDS.
Nu există niciun mecanism pentru a muta cheile înapoi în Cloud KMS după o implementare HDS.
În prezent, fiecare implementare HDS cu mai multe chiriași poate avea un singur cluster, cu mai multe noduri sub acesta.
Rolurile de administrator au anumite limitări; consultați secțiunea de mai jos pentru detalii.

Roluri în securitatea datelor hibride cu mai mulți chiriași

Administrator complet partener - Poate gestiona setările pentru toți clienții gestionați de partener. De asemenea, poate aloca roluri de administrator utilizatorilor existenți în organizație și poate aloca anumiți clienți care urmează să fie gestionați de administratorii partenerilor.
Administrator partener - Poate gestiona setările pentru clienții pe care administratorul i-a furnizat sau care au fost atribuiți utilizatorului.
Administrator complet - Administratorul organizației partenere care este autorizat să efectueze sarcini precum modificarea setărilor organizației, gestionarea licențelor și atribuirea de roluri.

Configurare și gestionare HDS multi-tenant end-to-end pentru toate organizațiile clienților - Sunt necesare drepturi complete de administrator pentru parteneri și drepturi complete de administrator.
Gestionarea organizațiilor de chiriași atribuite - Sunt necesare administrator partener și drepturi complete de administrator.

Arhitectura domeniului de securitate

Arhitectura cloud Webex separă diferitele tipuri de servicii în domenii separate, sau domenii de încredere, așa cum este ilustrat mai jos.

***Tărâmuri de separare (fără securitate hibridă a datelor)***

Pentru a înțelege mai bine securitatea datelor hibride, să analizăm mai întâi acest caz pur de cloud, în care Cisco oferă toate funcțiile în domeniile sale cloud. Serviciul de identitate, singurul loc unde utilizatorii pot fi corelați direct cu informațiile lor personale, cum ar fi adresa de e-mail, este separat logic și fizic de domeniul securității din centrul de date B. Ambele sunt, la rândul lor, separate de domeniul unde este stocat în cele din urmă conținutul criptat, în centrul de date C.

În această diagramă, clientul este aplicația Webex care rulează pe laptopul unui utilizator și care s-a autentificat cu serviciul de identitate. Când utilizatorul compune un mesaj pentru a-l trimite către un spațiu, au loc următorii pași:

Clientul stabilește o conexiune securizată cu serviciul de gestionare a cheilor (KMS), apoi solicită o cheie pentru criptarea mesajului. Conexiunea securizată folosește ECDH, iar KMS criptează cheia folosind o cheie principală AES-256.
Mesajul este criptat înainte de a părăsi clientul. Clientul îl trimite serviciului de indexare, care creează indexuri de căutare criptate pentru a ajuta la căutările viitoare ale conținutului.
Mesajul criptat este trimis serviciului de conformitate pentru verificări de conformitate.
Mesajul criptat este stocat în zona de stocare.

Când implementați Hybrid Data Security, mutați funcțiile domeniului de securitate (KMS, indexare și conformitate) în centrul de date local. Celelalte servicii cloud care alcătuiesc Webex (inclusiv stocarea identității și a conținutului) rămân în domeniul Cisco.

Colaborarea cu alte organizații

Utilizatorii din organizația dvs. pot folosi în mod regulat aplicația Webex pentru a colabora cu participanți externi din alte organizații. Când unul dintre utilizatorii dvs. solicită o cheie pentru un spațiu deținut de organizația dvs. (deoarece a fost creat de unul dintre utilizatorii dvs.), KMS-ul dvs. trimite cheia clientului printr-un canal securizat ECDH. Totuși, atunci când o altă organizație deține cheia pentru spațiu, KMS-ul dvs. direcționează solicitarea către cloud-ul Webex printr-un canal ECDH separat pentru a obține cheia de la KMS-ul corespunzător, apoi returnează cheia utilizatorului dvs. pe canalul original.

Serviciul KMS care rulează pe organizația A validează conexiunile la KMS-urile din alte organizații folosind certificate PKI x.509. Consultați Pregătirea mediului pentru detalii despre generarea unui certificat x.509 de utilizat cu implementarea de securitate a datelor hibride cu mai mulți chiriași.

Așteptări pentru implementarea securității datelor hibride

O implementare hibridă de securitate a datelor necesită un angajament semnificativ și o conștientizare a riscurilor care vin odată cu deținerea de chei de criptare.

Pentru a implementa Securitatea Datelor Hibride, trebuie să furnizați:

Un centru de date securizat într-o țară care este o locație acceptată pentru planurile Cisco Webex Teams.
Echipamentul, software-ul și accesul la rețea descrise în Pregătirea mediului.

Pierderea completă fie a fișierului ISO de configurație pe care îl construiți pentru Hybrid Data Security, fie a bazei de date pe care o furnizați va duce la pierderea cheilor. Pierderea cheii împiedică utilizatorii să decripteze conținutul spațiului și alte date criptate în aplicația Webex. Dacă se întâmplă acest lucru, puteți construi o nouă implementare, dar numai conținutul nou va fi vizibil. Pentru a evita pierderea accesului la date, trebuie:

Gestionează backup-ul și recuperarea bazei de date și a fișierului ISO de configurare.
Fiți pregătiți să efectuați o recuperare rapidă în caz de dezastru în cazul unei catastrofe, cum ar fi o eroare a discului bazei de date sau un dezastru al centrului de date.

Nu există niciun mecanism pentru a muta cheile înapoi în Cloud după o implementare HDS.

Procesul de configurare la nivel înalt

Acest document acoperă configurarea și gestionarea unei implementări de securitate a datelor hibride cu mai mulți chiriași:

Configurarea securității datelor hibride— Aceasta include pregătirea infrastructurii necesare și instalarea software-ului de securitate a datelor hibride, construirea unui cluster HDS, adăugarea organizațiilor chiriașe la cluster și gestionarea cheilor principale ale clientului (CMK-uri). Acest lucru va permite tuturor utilizatorilor organizațiilor dvs. cliente să utilizeze clusterul dvs. Hybrid Data Security pentru funcții de securitate.

Fazele de configurare, activare și gestionare sunt detaliate în următoarele trei capitole.
Mențineți implementarea securității datelor hibride—Cloud-ul Webex oferă automat actualizări continue. Departamentul dumneavoastră IT poate oferi asistență de nivel 1 pentru această implementare și poate angaja asistența Cisco, după cum este necesar. Puteți utiliza notificări pe ecran și configura alerte bazate pe e-mail în Partner Hub.
Înțelegerea alertelor comune, a pașilor de depanare și a problemelor cunoscute—Dacă întâmpinați probleme la implementarea sau utilizarea Securității datelor hibride, ultimul capitol al acestui ghid și anexa Probleme cunoscute vă pot ajuta să identificați și să remediați problema.

Model de implementare hibridă a securității datelor

În cadrul centrului de date al companiei, implementați Hybrid Data Security ca un singur cluster de noduri pe gazde virtuale separate. Nodurile comunică cu cloud-ul Webex prin websocket-uri securizate și HTTP securizat.

În timpul procesului de instalare, vă vom furniza fișierul OVA pentru a configura dispozitivul virtual pe mașinile virtuale pe care le furnizați. Folosești HDS Setup Tool pentru a crea un fișier ISO de configurare personalizată a clusterului pe care îl montezi pe fiecare nod. Clusterul Hybrid Data Security utilizează serverul Syslogd furnizat și baza de date PostgreSQL sau Microsoft SQL Server. (Configurați detaliile conexiunii Syslogd și a bazei de date în instrumentul de configurare HDS.)

Model de implementare hibridă a securității datelor

Numărul minim de noduri pe care le puteți avea într-un cluster este două. Recomandăm cel puțin trei per grup. Prezența mai multor noduri asigură că serviciul nu este întrerupt în timpul unei actualizări de software sau al altor activități de întreținere pe un nod. (Cloud-ul Webex actualizează doar un nod odată.)

Toate nodurile dintr-un cluster accesează același datastore de chei și înregistrează activitatea pe același server syslog. Nodurile în sine sunt fără stare și gestionează cererile cheie în mod round-robin, conform indicațiilor cloud.

Nodurile devin active atunci când le înregistrați în Partner Hub. Pentru a scoate un nod individual din serviciu, îl puteți dezînregistra și, ulterior, îl puteți reînregistra, dacă este necesar.

Centru de date în așteptare pentru recuperarea în caz de dezastru

În timpul implementării, configurați un centru de date de rezervă securizat. În cazul unui dezastru în centrul de date, puteți remedia manual implementarea în centrul de date standby.

Înainte de failover, Centrul de date A are noduri HDS active și baza de date PostgreSQL sau Microsoft SQL Server principală, în timp ce B are o copie a fișierului ISO cu configurații suplimentare, mașini virtuale înregistrate la organizație și o bază de date standby. După failover, Centrul de date B are noduri HDS active și baza de date principală, în timp ce A are mașini virtuale neînregistrate și o copie a fișierului ISO, iar baza de date este în modul standby. — ***Failover manual la Centrul de date în standby***

Bazele de date ale centrelor de date active și în standby sunt sincronizate între ele, ceea ce va reduce la minimum timpul necesar pentru efectuarea failover-ului.

Nodurile active Hybrid Data Security trebuie să se afle întotdeauna în același centru de date ca și serverul de baze de date activ.

Suport proxy

Hybrid Data Security acceptă inspectarea explicită, transparentă și proxy-uri care nu inspectează. Puteți lega aceste proxy-uri de implementare, astfel încât să puteți securiza și monitoriza traficul de la întreprindere în cloud. Puteți utiliza o interfață de administrator de platformă pe nodurile pentru gestionarea certificatelor și pentru a verifica starea generală a conectivității după ce ați configurat proxy-ul pe noduri.

Nodurile hibride de securitate a datelor acceptă următoarele opțiuni proxy:

Fără proxy—Valoarea implicită dacă nu utilizați configurarea nodului HDS Trust Store & Configurarea proxy-ului pentru integrarea unui proxy. Nu este necesară actualizarea certificatului.
Proxy transparent fără inspecție—Nodurile nu sunt configurate să utilizeze o adresă specifică de server proxy și nu ar trebui să necesite modificări pentru a funcționa cu un proxy fără inspecție. Nu este necesară actualizarea certificatului.
Tunelare transparentă sau inspectare proxy—Nodurile nu sunt configurate să utilizeze o adresă specifică de server proxy. Nu sunt necesare modificări de configurare HTTP sau HTTPS pe noduri. Cu toate acestea, nodurile au nevoie de un certificat rădăcină, astfel încât să aibă încredere în proxy. Proxy-urile de inspectare sunt de obicei utilizate de IT pentru a aplica politici pe care site-urile web pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).
Proxy explicit—Cu proxy-ul explicit, le spuneți nodurilor HDS ce server proxy și schemă de autentificare să utilizeze. Pentru a configura un proxy explicit, trebuie să introduceți următoarele informații pe fiecare nod:
1. Proxy IP/FQDN—Adresă care poate fi utilizată pentru a contacta mașina proxy.
2. Port proxy—Un număr de port pe care proxy-ul îl utilizează pentru a asculta traficul proxy.
3. Protocol proxy—În funcție de ceea ce acceptă serverul proxy, alegeți dintre următoarele protocoale:
  - HTTP - Vizualizează și controlează toate solicitările pe care le trimite clientul.
  - HTTPS - Oferă un canal serverului. Clientul primește și validează certificatul serverului.
4. Tip de autentificare—Alegeți dintre următoarele tipuri de autentificare:
  - Niciuna—Nu este necesară nicio autentificare suplimentară.
    
    Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
  - De bază—Utilizat pentru ca un agent utilizator HTTP să furnizeze un nume de utilizator și o parolă atunci când se face o solicitare. Utilizează codificarea Base64.
    
    Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
    
    Vă solicită să introduceți numele de utilizator și parola pe fiecare nod.
  - Digest—Se folosește pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite prin rețea.
    
    Disponibil numai dacă selectați HTTPS ca protocol proxy.
    
    Vă solicită să introduceți numele de utilizator și parola pe fiecare nod.

Exemplu de noduri hibride de securitate a datelor și proxy

Această diagramă afișează un exemplu de conexiune între securitatea datelor hibride, rețea și un proxy. Pentru opțiunile proxy de inspectare transparente și https explicit inspectare, același certificat rădăcină trebuie să fie instalat pe proxy și pe nodurile hibride de securitate a datelor.

Modul de rezolvare DNS extern blocat (configurații proxy explicite)

Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează căutarea DNS și conectivitatea la cloud-ul Cisco Webex. În implementările cu configurații proxy explicite care nu permit rezoluția DNS externă pentru clienții interni, dacă nodul nu poate interoga serverele DNS, acesta intră automat în modul Rezoluție DNS externă blocată. În acest mod, înregistrarea nodului și alte teste de conectivitate proxy pot continua.

Pregătiți mediul dvs.

Cerințe pentru securitatea datelor hibride cu mai mulți chiriași

Cerințe de licență Cisco Webex

Pentru a implementa securitatea datelor hibridă cu mai mulți chiriași:

Organizații partenere: Contactați partenerul sau managerul de cont Cisco și asigurați-vă că este activată funcția Multi-Tenant.
Organizații ale chiriașilor: Trebuie să aveți Pro Pack pentru Cisco Webex Control Hub. (Vezi https://www.cisco.com/go/pro-pack.)

Cerințe Docker Desktop

Înainte de a instala nodurile HDS, aveți nevoie de Docker Desktop pentru a rula un program de configurare. Docker și-a actualizat recent modelul de licențiere. Este posibil ca organizația să necesite un abonament plătit pentru Docker Desktop. Pentru detalii, consultați postarea de pe blogul Docker, " Docker actualizează și extinde abonamentele noastre de produse".

Clienții fără licență Docker Desktop pot utiliza un instrument open source de gestionare a containerelor, cum ar fi Podman Desktop, pentru a rula, gestiona și crea containere. Consultați Rulați instrumentul HDS Setup folosind Podman Desktop pentru detalii.

Cerințe pentru certificatul X.509

Lanțul de certificate trebuie să îndeplinească următoarele cerințe:

Tabelul 1. Cerințe de certificat X.509 pentru implementarea securității datelor hibride
Obligatoriu	Detalii
Semnat de o autoritate de certificare (CA) de încredere	În mod implicit, avem încredere în autoritățile de certificare din lista Mozilla (cu excepția WoSign și StartCom) la https://wiki.mozilla.org/CA:IncludedCAs.
Poartă un nume de domeniu Common Name (CN) care identifică implementarea dvs. de securitate a datelor hibride Nu este un certificat wildcard	Nu este necesar ca CN să fie accesibil sau să fie o gazdă live. Vă recomandăm să utilizați un nume care să reflecte organizația dumneavoastră, de exemplu, `hds.company.com`. CN nu trebuie să conțină o * (wildcard). CN-ul este utilizat pentru a verifica nodurile de securitate a datelor hibride pentru clienții aplicației Webex. Toate nodurile Hybrid Data Security din clusterul dvs. utilizează același certificat. KMS-ul se identifică folosind domeniul CN, nu orice domeniu definit în câmpurile SAN x.509v3. După ce ați înregistrat un nod cu acest certificat, nu mai acceptăm modificarea numelui de domeniu CN.
Semnătură non-SHA1	Software-ul KMS nu acceptă semnături SHA1 pentru validarea conexiunilor la KMS-urile altor organizații.
Formatat ca PKCS protejat prin parolă #12 fişier Folosește numele prietenos `kms-private-key` pentru a eticheta certificatul, cheia privată și orice certificate intermediare de încărcat.	Puteți utiliza un convertor precum OpenSSL pentru a schimba formatul certificatului. Va trebui să introduceți parola atunci când rulați instrumentul de configurare HDS.

Software-ul KMS nu impune restricții privind utilizarea cheilor sau utilizarea extinsă a cheilor. Unele autorități de certificare solicită aplicarea unor restricții extinse de utilizare a cheilor pentru fiecare certificat, cum ar fi autentificarea serverului. Este în regulă să utilizați autentificarea serverului sau alte setări.

Cerințe pentru gazda virtuală

Gazdele virtuale pe care le veți configura ca noduri de securitate hibridă a datelor în clusterul dvs. au următoarele cerințe:

Cel puțin două gazde separate (se recomandă 3) colocate în același centru de date securizat
VMware ESXi 7.0 sau 8.0 instalat și rulant.

Trebuie să faceți upgrade dacă aveți o versiune anterioară de ESXi.
Minim 4 vCPU-uri, 8 GB memorie principală, 30 GB spațiu pe hard disk local per server

Cerințe server baze de date

Creați o nouă bază de date pentru stocarea cheilor. Nu utilizați baza de date implicită. Aplicațiile HDS, odată instalate, creează schema bazei de date.

Există două opțiuni pentru serverul de baze de date. Cerințele pentru fiecare sunt următoarele:

Tabelul 2. Cerințe pentru serverul de baze de date în funcție de tipul bazei de date
PostgreSQL	Microsoft SQL Server
PostgreSQL 14, 15 sau 16, instalat și rulând.	SQL Server 2016, 2017, 2019 sau 2022 (Enterprise sau Standard) instalat. SQL Server 2016 necesită Service Pack 2 și Cumulative Update 2 sau o versiune ulterioară.
Minim 8 vCPU-uri, memorie principală de 16 GB, spațiu suficient pe hard disk și monitorizare pentru a se asigura că acesta nu este depășit (se recomandă 2 TB dacă doriți să rulați baza de date pentru o perioadă lungă de timp fără a fi nevoie să măriți spațiul de stocare)	Minim 8 vCPU-uri, memorie principală de 16 GB, spațiu suficient pe hard disk și monitorizare pentru a se asigura că acesta nu este depășit (se recomandă 2 TB dacă doriți să rulați baza de date pentru o perioadă lungă de timp fără a fi nevoie să măriți spațiul de stocare)

Software-ul HDS instalează în prezent următoarele versiuni de drivere pentru comunicarea cu serverul bazei de date:

PostgreSQL

Microsoft SQL Server

Driver Postgres JDBC 42.2.5

Driverul JDBC pentru SQL Server 4.6

Această versiune de driver acceptă SQL Server Always On ( Instanțele clusterului Always On Failover și Grupurile de disponibilitate Always On).

Cerințe suplimentare pentru autentificarea Windows împotriva Microsoft SQL Server

Dacă doriți ca nodurile HDS să utilizeze autentificarea Windows pentru a obține acces la baza de date keystore pe Microsoft SQL Server, atunci aveți nevoie de următoarea configurație în mediul dvs.:

Nodurile HDS, infrastructura Active Directory și MS SQL Server trebuie să fie sincronizate cu NTP.
Contul Windows pe care îl furnizați nodurilor HDS trebuie să aibă read/write acces la baza de date.
Serverele DNS pe care le furnizați nodurilor HDS trebuie să poată rezolva Centrul de distribuție a cheilor (KDC).
Puteți înregistra instanța bazei de date HDS pe serverul Microsoft SQL ca nume principal de serviciu (SPN) în Active Directory. Consultați Înregistrarea unui nume principal de serviciu pentru conexiunile Kerberos.

Instrumentul de configurare HDS, lansatorul HDS și KMS-ul local trebuie să utilizeze autentificarea Windows pentru a accesa baza de date keystore. Aceștia folosesc detaliile din configurația ISO pentru a construi SPN-ul atunci când solicită acces cu autentificare Kerberos.

Cerințe de conectivitate externă

Configurați firewall-ul pentru a permite următoarea conectivitate pentru aplicațiile HDS:

Aplicație	Protocol	Port	Indicații din aplicație	Destinație
Noduri de securitate a datelor hibride	TCP	443	HTTPS și WSS de ieșire	Servere Webex: .wbx2.com .ciscospark.com Toate gazdele Common Identity Alte adrese URL listate pentru Securitatea datelor hibride în tabelul Adrese URL suplimentare pentru serviciile hibride Webex din Cerințe de rețea pentru serviciile Webex
Instrument de configurare HDS	TCP	443	HTTPS de ieșire	*.wbx2.com Toate gazdele Common Identity hub.docker.com

Nodurile Hybrid Data Security funcționează cu traducerea accesului la rețea (NAT) sau în spatele unui firewall, atâta timp cât NAT-ul sau firewall-ul permite conexiunile de ieșire necesare către destinațiile de domeniu din tabelul precedent. Pentru conexiunile care intră în nodurile Hybrid Data Security, niciun port nu ar trebui să fie vizibil de pe internet. În cadrul centrului dumneavoastră de date, clienții au nevoie de acces la nodurile Hybrid Data Security pe porturile TCP 443 și 22, în scopuri administrative.

Adresele URL pentru gazdele Common Identity (CI) sunt specifice regiunii. Acestea sunt gazdele CI actuale:

Regiune	Adresele URL ale gazdelor de identitate comune
Țările din America	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Uniunea Europeană	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapore	https://idbroker-sg.webex.com https://identity-sg.webex.com
Emiratele Arabe Unite	https://idbroker-ae.webex.com https://identity-ae.webex.com

Cerințe server proxy

Acceptăm oficial următoarele soluții proxy care se pot integra cu nodurile hibride de securitate a datelor.
- Proxy transparent - Cisco Web Security Appliance (WSA).
- Proxy explicit - Calmar.
  
  Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea websocket-ului (wss:) conexiuni. Pentru a rezolva această problemă, consultați Configurarea proxy-urilor Squid pentru securitatea datelor hibride.
Acceptăm următoarele combinații de tip de autentificare pentru proxy-uri explicite:
- Fără autentificare cu HTTP sau HTTPS
- Autentificare de bază cu HTTP sau HTTPS
- Autentificare digest numai cu HTTPS
Pentru un proxy de inspectare transparent sau un proxy explicit HTTPS, trebuie să aveți o copie a certificatului rădăcină al proxy-ului. Instrucțiunile de implementare din acest ghid vă spun cum să încărcați copia în depozitele de încredere ale nodurilor hibride de securitate a datelor.
Rețeaua care găzduiește nodurile HDS trebuie să fie configurată pentru a forța traficul TCP de ieșire pe portul 443 pentru a ruta prin proxy.
Proxy-urile care inspectează traficul web pot interfera cu conexiunile de soclu web. Dacă apare această problemă, ocolirea (nu inspectarea) traficului către wbx2.com și ciscospark.com va rezolva problema.

Finalizați cerințele preliminare pentru securitatea datelor hibride

Folosește această listă de verificare pentru a te asigura că ești gata să instalezi și să configurezi clusterul tău Hybrid Data Security.

1	Asigurați-vă că organizația parteneră are activată funcția HDS pentru mai mulți chiriași și obțineți acreditările unui cont cu drepturi complete de administrator partener și drepturi complete de administrator. Asigurați-vă că organizația dvs. client Webex este activată pentru Pro Pack pentru Cisco Webex Control Hub. Contactați partenerul sau managerul de cont Cisco pentru ajutor în acest proces. Organizațiile clienți nu ar trebui să aibă nicio implementare HDS existentă.
2	Alegeți un nume de domeniu pentru implementarea HDS (de exemplu, `hds.company.com`) și obțineți un lanț de certificate care conține un certificat X.509, o cheie privată și orice certificate intermediare. Lanțul de certificate trebuie să îndeplinească cerințele din Cerințe pentru certificate X.509.
3	Pregătiți gazde virtuale identice pe care le veți configura ca noduri de securitate hibridă a datelor în clusterul dumneavoastră. Aveți nevoie de cel puțin două gazde separate (se recomandă 3) colocate în același centru de date securizat, care îndeplinesc cerințele din Cerințe pentru gazde virtuale.
4	Pregătiți serverul de baze de date care va acționa ca depozit de date cheie pentru cluster, conform Cerințelor serverului de baze de date. Serverul bazei de date trebuie să fie colocat în centrul de date securizat cu gazdele virtuale. Creați o bază de date pentru stocarea cheilor. (Trebuie să creați această bază de date — nu utilizați baza de date implicită.) Aplicațiile HDS, odată instalate, creează schema bazei de date.) Adunați detaliile pe care nodurile le vor folosi pentru a comunica cu serverul bazei de date: numele gazdei sau adresa IP (gazdă) și portul numele bazei de date (dbname) pentru stocarea cheilor numele de utilizator și parola unui utilizator cu toate privilegiile asupra bazei de date de stocare a cheilor
5	Pentru o recuperare rapidă în caz de dezastru, configurați un mediu de backup într-un alt centru de date. Mediul de rezervă oglindește mediul de producție al mașinilor virtuale și al unui server de baze de date de rezervă. De exemplu, dacă producția are 3 mașini virtuale care rulează noduri HDS, mediul de rezervă ar trebui să aibă 3 mașini virtuale.
6	Configurați o gazdă syslog pentru a colecta jurnale de la nodurile din cluster. Colectați adresa sa de rețea și portul syslog (implicit este UDP 514).
7	Creați o politică de backup securizată pentru nodurile Hybrid Data Security, serverul bazei de date și gazda syslog. Cel puțin, pentru a preveni pierderea irecuperabilă a datelor, trebuie să creați o copie de rezervă a bazei de date și a fișierului ISO de configurare generat pentru nodurile Hybrid Data Security. Deoarece nodurile de securitate a datelor hibride stochează cheile utilizate în criptarea și decriptarea conținutului, eșecul menținerii unei implementări operaționale va duce la PIERDEREA IRECUPERABILĂ a conținutului respectiv. Clienții aplicației Webex își memorează cheile în cache, așadar o întrerupere a serviciului poate să nu fie imediat observabilă, dar va deveni evidentă în timp. Deși întreruperile temporare sunt imposibil de prevenit, ele sunt recuperabile. Totuși, pierderea completă (fără copii de rezervă disponibile) fie a bazei de date, fie a fișierului ISO de configurare va duce la date despre clienți care nu pot fi recuperate. Operatorii nodurilor Hybrid Data Security trebuie să mențină copii de rezervă frecvente ale bazei de date și ale fișierului ISO de configurare și să fie pregătiți să reconstruiască centrul de date Hybrid Data Security în cazul unei defecțiuni catastrofale.
8	Asigurați-vă că configurația firewall-ului permite conectivitatea pentru nodurile de securitate a datelor hibride, așa cum este descris în Cerințe de conectivitate externă.
9	Instalați Docker ( https://www.docker.com) pe orice mașină locală care rulează un sistem de operare compatibil (Microsoft Windows 10 Professional sau Enterprise pe 64 de biți sau Mac OSX Yosemite 10.10.3 sau o versiune ulterioară) cu un browser web care îl poate accesa la http://127.0.0.1:8080. Folosești instanța Docker pentru a descărca și rula instrumentul de configurare HDS, care generează informațiile de configurare locală pentru toate nodurile Hybrid Data Security. Este posibil să aveți nevoie de o licență Docker Desktop. Consultați Cerințe Docker Desktop pentru mai multe informații. Pentru a instala și rula instrumentul de configurare HDS, mașina locală trebuie să aibă conectivitatea descrisă în Cerințe de conectivitate externă.
10	Dacă integrați un proxy cu Hybrid Data Security, asigurați-vă că acesta îndeplinește Cerințe pentru serverul proxy.

Configurați un cluster de securitate a datelor hibride

Flux de activități pentru implementarea securității datelor hibride

Înainte de a începe

1	Efectuați configurarea inițială și descărcați fișierele de instalare Descărcați fișierul OVA pe computerul local pentru utilizare ulterioară.
2	Creați un fișier ISO de configurare pentru gazdele HDS Folosește instrumentul de configurare HDS pentru a crea un fișier de configurare ISO pentru nodurile Hybrid Data Security.
3	Instalați OVA-ul gazdei HDS Creați o mașină virtuală din fișierul OVA și efectuați configurarea inițială, cum ar fi setările de rețea. Opțiunea de configurare a setărilor de rețea în timpul implementării OVA a fost testată cu ESXi 7.0 și 8.0. Este posibil ca opțiunea să nu fie disponibilă în versiunile anterioare.
4	Configurați mașina virtuală hibridă de securitate a datelor Conectați-vă la consola mașinii virtuale și setați credențialele de conectare. Configurați setările de rețea pentru nod dacă nu le-ați configurat în momentul implementării OVA.
5	Încărcarea și montarea fișierului ISO de configurare HDS Configurați mașina virtuală din fișierul de configurare ISO pe care l-ați creat cu instrumentul de configurare HDS.
6	Configurarea nodului HDS pentru integrarea proxy Dacă mediul de rețea necesită configurarea proxy-ului, specificați tipul de proxy pe care îl veți utiliza pentru nod și adăugați certificatul proxy în depozitul de încredere, dacă este necesar.
7	Înregistrați primul nod din cluster Înregistrați mașina virtuală în cloud-ul Cisco Webex ca nod de securitate a datelor hibride.
8	Creați și înregistrați mai multe noduri Finalizați configurarea clusterului.
9	Activați Multi-Tenant HDS pe Partner Hub. Activați HDS și gestionați organizațiile de chiriași în Partner Hub.

Efectuați configurarea inițială și descărcați fișierele de instalare

În această sarcină, descărcați un fișier OVA pe mașina dvs. (nu pe serverele pe care le-ați configurat ca noduri Hybrid Data Security). Veți folosi acest fișier mai târziu în procesul de instalare.

1	Conectați-vă la Partner Hub, apoi faceți clic pe Servicii.
2	În secțiunea Servicii cloud, găsiți cardul Securitate hibridă a datelor, apoi faceți clic pe Configurare. Facerea clicului pe Configurare în Partner Hub este esențială pentru procesul de implementare. Nu continuați cu instalarea fără a finaliza acest pas.
3	Faceți clic pe Adăugați o resursă și faceți clic pe Descărcați fișierul .OVA pe cardul Instalați și configurați software-ul. Versiunile mai vechi ale pachetului software (OVA) nu vor fi compatibile cu cele mai recente actualizări ale sistemului Hybrid Data Security. Acest lucru poate duce la probleme la actualizarea aplicației. Asigurați-vă că descărcați cea mai recentă versiune a fișierului OVA. De asemenea, puteți descărca OVA-ul oricând din secțiunea Ajutor. Faceți clic pe Setări > Ajutor > Descărcați software-ul de securitate hibridă a datelor. Fișierul OVA începe automat să se descarce. Salvați fișierul într-o locație de pe computer.
4	Opțional, faceți clic pe Consultați ghidul de implementare a securității datelor hibride pentru a verifica dacă există o versiune ulterioară a acestui ghid.

Creați un fișier ISO de configurare pentru gazdele HDS

Procesul de configurare a Securității Datelor Hybrid creează un fișier ISO. Apoi utilizați fișierul ISO pentru a configura gazda Hybrid Data Security.

Înainte de a începe

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită acreditările unui cont Partner Hub cu drepturi complete de administrator.

Dacă nu aveți o licență Docker Desktop, puteți utiliza Podman Desktop pentru a rula instrumentul HDS Setup pentru pașii 1-5 din procedura de mai jos. Consultați Rulați instrumentul HDS Setup folosind Podman Desktop pentru detalii.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin intermediul variabilelor de mediu Docker atunci când deschideți containerul Docker în pasul 5 de mai jos. Acest tabel oferă câteva posibile variabile de mediu:

Descriere

Variabilă

Proxy HTTP fără autentificare

GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

Proxy HTTPS fără autentificare

GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

Proxy HTTP cu autentificare

GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

Proxy HTTPS cu autentificare

GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier de fiecare dată când faceți modificări de configurație, cum ar fi acestea:
- Acreditări ale bazei de date
- Actualizări de certificate
- Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile la baza de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

1

La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.:

În medii obișnuite:

docker rmi ciscocitg/hds-setup:stable

În mediile FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.

2

Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele:

docker login -u hdscustomersro

3

La solicitarea parolei, introduceți acest hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Descărcați cea mai recentă imagine stabilă pentru mediul dvs.:

În medii obișnuite:

docker pull ciscocitg/hds-setup:stable

În mediile FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

5

Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.:

În medii obișnuite fără un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

În medii obișnuite cu un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

În medii obișnuite cu un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

În mediile FedRAMP fără un proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

În mediile FedRAMP cu un proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

În mediile FedRAMP cu un proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”.

6

Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Folosește http://127.0.0.1:8080 pentru a te conecta la localhost.

Folosește un browser web pentru a accesa localhost, http://127.0.0.1:8080și introdu numele de utilizator admin pentru Partner Hub la prompt.

Instrumentul folosește această primă intrare a numelui de utilizator pentru a seta mediul adecvat pentru contul respectiv. Instrumentul afișează apoi solicitarea standard de conectare.

7

Când vi se solicită, introduceți acreditările de conectare de administrator în Partner Hub, apoi faceți clic pe Conectare pentru a permite accesul la serviciile necesare pentru Hybrid Data Security.

8

Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Începeți.

9

Pe pagina Import ISO, aveți următoarele opțiuni:

Nu—Dacă creați primul nod HDS, nu aveți un fișier ISO de încărcat.
Da—Dacă ați creat deja noduri HDS, selectați fișierul ISO în fereastra de căutare și îl încărcați.

10

Verificați dacă certificatul X.509 îndeplinește cerințele din Cerințe pentru certificatul X.509.

Dacă nu ați încărcat niciodată un certificat, încărcați certificatul X.509, introduceți parola și faceți clic pe Continuare.
Dacă certificatul este în regulă, faceți clic pe Continuare.
Dacă certificatul dumneavoastră a expirat sau doriți să îl înlocuiți, selectați Nu pentru Continuați să utilizați lanțul de certificate HDS și cheia privată din ISO-ul anterior?. Încărcați un nou certificat X.509, introduceți parola și faceți clic pe Continuare.

11

Introduceți adresa bazei de date și contul pentru ca HDS să acceseze datastore-ul cheie:

Selectați tipul bazei de date (PostgreSQL sau Microsoft SQL Server).

Dacă alegeți Microsoft SQL Server, veți primi un câmp Tip de autentificare.
(Doar Microsoft SQL Server ) Selectați tipul de autentificare:
- Autentificare de bază: Aveți nevoie de un nume de cont SQL Server local în câmpul Nume utilizator.
- Autentificare Windows: Aveți nevoie de un cont Windows în formatul username@DOMAIN în câmpul Nume utilizator.
Introduceți adresa serverului bazei de date sub forma : sau :.

Exemplu:
dbhost.example.org:1433 sau 198.51.100.17:1433

Puteți utiliza o adresă IP pentru autentificarea de bază, dacă nodurile nu pot utiliza DNS pentru a rezolva numele de gazdă.

Dacă utilizați autentificarea Windows, trebuie să introduceți un nume de domeniu complet calificat în formatul dbhost.example.org:1433
Introduceți Numele bazei de date.
Introduceți Numele de utilizator și Parola unui utilizator cu toate privilegiile asupra bazei de date de stocare a cheilor.

12

Selectați un mod de conectare la baza de date TLS:

Mod	Descriere
Prefer TLS (opțiune implicită)	Nodurile HDS nu necesită TLS pentru a se conecta la serverul de baze de date. Dacă activați TLS pe serverul bazei de date, nodurile încearcă o conexiune criptată.
Necesită TLS	Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS.
Solicitați TLS și verificați semnatarul certificatului	Acest mod nu este aplicabil pentru bazele de date SQL Server. Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS. După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de pe serverul bazei de date cu autoritatea de certificare din Certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul scade conexiunea. Utilizați controlul certificat rădăcină bază de date sub lista verticală pentru a încărca certificatul rădăcină pentru această opțiune.
Solicitați TLS și verificați semnatarul certificatului și numele de gazdă	Nodurile HDS se conectează numai dacă serverul de baze de date poate negocia TLS. După stabilirea unei conexiuni TLS, nodul compară semnatarul certificatului de pe serverul bazei de date cu autoritatea de certificare din Certificatul rădăcină al bazei de date. Dacă nu se potrivesc, nodul scade conexiunea. Nodurile verifică, de asemenea, dacă numele de gazdă din certificatul serverului corespunde cu numele de gazdă din câmpul Gazdă și port bază de date. Numele trebuie să se potrivească exact sau nodul scade conexiunea. Utilizați controlul certificat rădăcină bază de date sub lista verticală pentru a încărca certificatul rădăcină pentru această opțiune.

Când încărcați certificatul rădăcină (dacă este necesar) și faceți clic pe Continuare, instrumentul de configurare HDS testează conexiunea TLS la serverul bazei de date. Instrumentul verifică, de asemenea, semnatarul certificatului și numele de gazdă, dacă este cazul. Dacă un test nu reușește, instrumentul afișează un mesaj de eroare care descrie problema. Puteți alege dacă să ignorați eroarea și să continuați cu configurarea. (Din cauza diferențelor de conectivitate, nodurile HDS ar putea stabili conexiunea TLS chiar dacă mașina HDS Setup Tool nu o poate testa cu succes.)

13

Pe pagina Jurnale de sistem, configurați serverul Syslogd:

Introduceți adresa URL a serverului syslog.

Dacă serverul nu poate fi rezolvat prin DNS din nodurile clusterului HDS, utilizați o adresă IP în URL.

Exemplu:
udp://10.92.43.23:514 indică înregistrarea în jurnal pe gazda Syslogd 10.92.43.23 pe portul UDP 514.
Dacă ați configurat serverul să utilizeze criptarea TLS, verificați Este serverul syslog configurat pentru criptarea SSL?.

Dacă bifați această casetă de selectare, asigurați-vă că introduceți o adresă URL TCP, cum ar fi tcp://10.92.43.23:514.
Din meniul derulant Alegeți terminarea înregistrării syslog, alegeți setarea corespunzătoare pentru fișierul ISO: Alegeți sau Newline este utilizat pentru Graylog și Rsyslog TCP
- Octet nul -- \x00
- Linie nouă -- \n—Selectați această opțiune pentru Graylog și Rsyslog TCP.
Faceți clic pe Continuați.

14

(Opțional) Puteți modifica valoarea implicită pentru anumiți parametri de conectare la baza de date în Setări avansate. În general, acest parametru este singurul pe care ați putea dori să îl modificați:

app_datasource_connection_pool_maxSize: 10

15

Faceți clic pe Continuare pe ecranul Resetare parolă conturi servicii.

Parolele conturilor de serviciu au o durată de viață de nouă luni. Folosește acest ecran atunci când parolele tale se apropie de expirare sau dorești să le resetezi pentru a invalida fișierele ISO anterioare.

16

Faceți clic pe Descărcați fișierul ISO. Salvați fișierul într-o locație ușor de găsit.

17

Faceți o copie de rezervă a fișierului ISO pe sistemul local.

Păstrați copia de rezervă în siguranță. Acest fișier conține o cheie principală de criptare pentru conținutul bazei de date. Restricționați accesul doar la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurație.

18

Pentru a închide instrumentul de configurare, tastați CTRL+C.

Ce este de făcut în continuare

Faceți o copie de rezervă a fișierului ISO de configurare. Aveți nevoie de el pentru a crea mai multe noduri pentru recuperare sau pentru a face modificări de configurație. Dacă pierzi toate copiile fișierului ISO, ai pierdut și cheia principală. Recuperarea cheilor din baza de date PostgreSQL sau Microsoft SQL Server nu este posibilă.

Nu avem niciodată o copie a acestei chei și nu te putem ajuta dacă o pierzi.

Instalați OVA-ul gazdei HDS

Folosiți această procedură pentru a crea o mașină virtuală din fișierul OVA.

1	Utilizați clientul VMware vSphere de pe computer pentru a vă conecta la gazda virtuală ESXi.
2	Selectați Fișier > Implementează șablonul OVF.
3	În expert, specificați locația fișierului OVA pe care l-ați descărcat anterior, apoi faceți clic pe Următorul.
4	Pe pagina Selectați un nume și un folder, introduceți un Nume de mașină virtuală pentru nod (de exemplu, „HDS_Node_1”), alegeți o locație unde poate fi amplasată implementarea nodului mașinii virtuale, apoi faceți clic pe Următorul.
5	Pe pagina Selectați o resursă de calcul, alegeți resursa de calcul de destinație, apoi faceți clic pe Următorul. Se execută o verificare de validare. După ce se termină, apar detaliile șablonului.
6	Verificați detaliile șablonului și apoi faceți clic pe Următorul.
7	Dacă vi se solicită să alegeți configurația resurselor pe pagina Configurare, faceți clic pe 4 CPU și apoi pe Următorul.
8	Pe pagina Selectați spațiul de stocare, faceți clic pe Următorul pentru a accepta formatul implicit al discului și politica de stocare a mașinii virtuale.
9	Pe pagina Selectați rețele, alegeți opțiunea de rețea din lista de intrări pentru a oferi conectivitatea dorită către mașina virtuală.
10	Pe pagina Personalizare șablon, configurați următoarele setări de rețea: Nume gazdă—Introduceți FQDN-ul (numele gazdei și domeniului) sau un nume de gazdă dintr-un singur cuvânt pentru nod. Nu este nevoie să setați domeniul pentru a corespunde cu domeniul pe care l-ați utilizat pentru a obține certificatul X.509. Pentru a asigura o înregistrare reușită în cloud, utilizați doar caractere minuscule în FQDN-ul sau numele de gazdă pe care le setați pentru nod. Capitalizarea nu este acceptată în acest moment. Lungimea totală a FQDN-ului nu trebuie să depășească 64 de caractere. Adresă IP— Introduceți adresa IP pentru interfața internă a nodului. Nodul tău ar trebui să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat. Mască—Introduceți adresa măștii de subrețea în notație punct-zecimală. De exemplu, 255.255.255.0. Gateway—Introduceți adresa IP a gateway-ului. Un gateway este un nod de rețea care servește ca punct de acces către o altă rețea. Servere DNS—Introduceți o listă de servere DNS separate prin virgulă, care se ocupă de traducerea numelor de domeniu în adrese IP numerice. (Sunt permise maximum 4 intrări DNS.) Servere NTP—Introduceți serverul NTP al organizației dvs. sau un alt server NTP extern care poate fi utilizat în organizația dvs. Serverele NTP implicite pot să nu funcționeze pentru toate întreprinderile. De asemenea, puteți utiliza o listă separată prin virgulă pentru a introduce mai multe servere NTP. Implementați toate nodurile pe aceeași subrețea sau VLAN, astfel încât toate nodurile dintr-un cluster să fie accesibile de la clienții din rețeaua dvs. în scopuri administrative. Dacă preferați, puteți sări peste configurarea setărilor de rețea și puteți urma pașii din Configurați mașina virtuală Hybrid Data Security pentru a configura setările din consola nodului. Opțiunea de configurare a setărilor de rețea în timpul implementării OVA a fost testată cu ESXi 7.0 și 8.0. Este posibil ca opțiunea să nu fie disponibilă în versiunile anterioare.
11	Faceți clic dreapta pe mașina virtuală a nodului, apoi alegeți Alimentare > Pornire. Software-ul Hybrid Data Security este instalat ca guest pe VM Host. Acum sunteți gata să vă conectați la consolă și să configurați nodul. Sfaturi de depanare Este posibil să întâmpinați o întârziere de câteva minute înainte ca containerele de noduri să fie activate. Un mesaj de firewall al bridge-ului apare pe consolă la prima pornire, timp în care nu vă puteți conecta.

Configurați mașina virtuală hibridă de securitate a datelor

Utilizați această procedură pentru a vă conecta la consola VM a nodului Hybrid Data Security pentru prima dată și pentru a seta acreditările de conectare. De asemenea, puteți utiliza consola pentru a configura setările de rețea pentru nod, dacă nu le-ați configurat în momentul implementării OVA.

1	În clientul VMware vSphere, selectați mașina virtuală a nodului Hybrid Data Security și selectați fila Console. Mașina virtuală pornește și apare o solicitare de conectare. Dacă nu se afișează fereastra de conectare, apăsați Enter.
2	Folosiți următoarele nume de utilizator și parolă implicite pentru a vă conecta și a modifica datele de autentificare: Log in: `admin` Parolă: `cisco` Deoarece vă conectați la mașina virtuală pentru prima dată, trebuie să schimbați parola de administrator.
3	Dacă ați configurat deja setările de rețea în Instalați HDS Host OVA, săriți peste restul acestei proceduri. Altfel, în meniul principal, selectați opțiunea Editare configurare.
4	Configurați o configurație statică cu adresa IP, masca, gateway-ul și informațiile DNS. Nodul tău ar trebui să aibă o adresă IP internă și un nume DNS. DHCP nu este acceptat.
5	(Opțional) Schimbați numele de gazdă, domeniul sau serverul(ele) NTP, dacă este necesar, pentru a se potrivi cu politica de rețea. Nu este nevoie să setați domeniul pentru a corespunde cu domeniul pe care l-ați utilizat pentru a obține certificatul X.509.
6	Salvați configurația rețelei și reporniți mașina virtuală pentru ca modificările să aibă efect.

Încărcarea și montarea fișierului ISO de configurare HDS

Utilizați această procedură pentru a configura mașina virtuală din fișierul ISO pe care l-ați creat cu HDS Setup Tool.

Înainte de a începe

Deoarece fișierul ISO conține cheia principală, acesta ar trebui expus doar pe baza principiului „necesar să știți”, pentru accesul mașinilor virtuale Hybrid Data Security și al oricăror administratori care ar putea avea nevoie să facă modificări. Asigurați-vă că numai acei administratori pot accesa depozitul de date.

1

Încărcați fișierul ISO de pe computer:

În panoul de navigare din stânga al clientului VMware vSphere, faceți clic pe serverul ESXi.
În lista Hardware din fila Configurare, faceți clic pe Stocare.
În lista Datastore-uri, faceți clic dreapta pe datastore-ul pentru mașinile virtuale și faceți clic pe Browse Datastore.
Faceți clic pe pictograma Încărcare fișiere, apoi faceți clic pe Încărcare fișier.
Navigați la locația de unde ați descărcat fișierul ISO pe computer și faceți clic pe Deschidere.
Faceți clic pe Da pentru a accepta upload/download avertisment de operare și închideți caseta de dialog a depozitului de date.

2

Montați fișierul ISO:

În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările.
Faceți clic pe OK pentru a accepta avertismentul privind opțiunile de editare restricționate.
Faceți clic pe CD/DVD Drive 1, selectați opțiunea de montare dintr-un fișier ISO din depozitul de date și navigați la locația unde ați încărcat fișierul ISO de configurare.
Bifați Conectat și Conectare la pornire.
Salvați modificările și reporniți mașina virtuală.

Ce este de făcut în continuare

Dacă politica IT o impune, puteți demonta opțional fișierul ISO după ce toate nodurile preiau modificările de configurație. Consultați (Opțional) Demontați fișierul ISO după configurarea HDS pentru detalii.

Configurarea nodului HDS pentru integrarea proxy

Dacă mediul de rețea necesită un proxy, utilizați această procedură pentru a specifica tipul de proxy pe care doriți să îl integrați cu Securitatea datelor hibride. Dacă alegeți un proxy de inspectare transparent sau un proxy explicit HTTPS, puteți utiliza interfața nodului pentru a încărca și instala certificatul rădăcină. De asemenea, puteți verifica conexiunea proxy din interfață și puteți depana orice probleme potențiale.

Înainte de a începe

Consultați Suport proxy pentru o prezentare generală a opțiunilor proxy acceptate.
Cerințe server proxy

1	Introduceți adresa URL de configurare a nodului HDS `https://[HDS Node IP or FQDN]/setup` într-un browser web, introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.
2	Accesați Trust Store & Proxy, apoi alegeți o opțiune: Fără proxy—Opțiunea implicită înainte de a integra un proxy. Nu este necesară actualizarea certificatului. Proxy transparent fără inspecție—Nodurile nu sunt configurate să utilizeze o adresă specifică de server proxy și nu ar trebui să necesite modificări pentru a funcționa cu un proxy fără inspecție. Nu este necesară actualizarea certificatului. Inspecție transparentă a proxy-ului—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy. Nu sunt necesare modificări de configurare HTTPS pe implementarea hibride de securitate a datelor, cu toate acestea, nodurile HDS au nevoie de un certificat rădăcină, astfel încât acestea să aibă încredere în proxy. Proxy-urile de inspectare sunt de obicei utilizate de IT pentru a aplica politici pe care site-urile web pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS). Proxy explicit—Cu proxy-ul explicit, îi spuneți clientului (nodurilor HDS) ce server proxy să utilizeze, iar această opțiune acceptă mai multe tipuri de autentificare. După ce alegeți această opțiune, trebuie să introduceți următoarele informații: Proxy IP/FQDN—Adresă care poate fi utilizată pentru a contacta mașina proxy. Port proxy—Un număr de port pe care proxy-ul îl utilizează pentru a asculta traficul proxy. Protocol proxy—Alegeți http (vizualizează și controlează toate cererile primite de la client) sau https (oferă un canal către server, iar clientul primește și validează certificatul serverului). Alegeți o opțiune în funcție de ceea ce acceptă serverul proxy. Tip de autentificare—Alegeți dintre următoarele tipuri de autentificare: Niciuna—Nu este necesară nicio autentificare suplimentară. Disponibil pentru proxy-uri HTTP sau HTTPS. De bază—Utilizat pentru ca un agent utilizator HTTP să furnizeze un nume de utilizator și o parolă atunci când se face o solicitare. Utilizează codificarea Base64. Disponibil pentru proxy-uri HTTP sau HTTPS. Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola. Digest—Se folosește pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite prin rețea. Disponibil numai pentru proxy-uri HTTPS. Dacă alegeți această opțiune, trebuie să introduceți și numele de utilizator și parola. Urmați pașii următori pentru un proxy de inspectare transparent, un proxy explicit HTTP cu autentificare de bază sau un proxy explicit HTTPS.
3	Faceți clic pe Încărcare certificat rădăcină sau certificat de entitate de sfârșit , apoi navigați la o alegeți certificatul rădăcină pentruproxy. Certificatul este încărcat, dar nu este încă instalat, deoarece trebuie să reporniți nodul pentru a instala certificatul. Faceți clic pe săgeata ghilimelei unghiulare de numele emitentului certificatului pentru a obține mai multe detalii sau faceți clic pe Ștergere dacă ați făcut o greșeală și doriți să reîncărcați fișierul.
4	Faceți clic pe Verificare conexiune proxy pentru a testa conectivitatea la rețea între nod și proxy. Dacă testul de conexiune nu reușește, veți vedea un mesaj de eroare care arată motivul și modul în care puteți corecta problema. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a reușit, nodul nu a reușit să ajungă la serverul DNS. Această condiție este de așteptat în multe configurații proxy explicite. Puteți continua configurarea, iar nodul va funcționa în modul Rezoluție DNS externă blocată. Dacă credeți că aceasta este o eroare, urmați acești pași, apoi consultați Dezactivați modul de rezoluție DNS extern blocat.
5	După ce trece testul de conexiune, pentru proxy explicit setat la https numai, activați comutatorul pentru a ruta toate port 443/444 https solicitările de la acest nod prin proxy explicit. Această setare necesită 15 secunde pentru a intra în vigoare.
6	Faceți clic pe Instalare toate certificatele în Depozitul de încredere (apare pentru un proxy explicit HTTPS sau un proxy de inspectare transparent) sau pe Repornire (apare pentru un proxy explicit HTTP), citiți solicitarea, apoi faceți clic pe Instalare dacă sunteți gata. Nodul repornește în câteva minute.
7	După repornirea nodului, conectați-vă din nou, dacă este necesar, apoi deschideți pagina Prezentare generală pentru a verifica verificările de conectivitate pentru a vă asigura că toate sunt în stare verde. Verificarea conexiunii proxy testează numai un subdomeniu de webex.com. Dacă există probleme de conectivitate, o problemă comună este că unele dintre domeniile cloud listate în instrucțiunile de instalare sunt blocate la proxy.

Înregistrați primul nod din cluster

Această sarcină preia nodul generic pe care l-ați creat în Configurarea mașinii virtuale de securitate a datelor hibride, înregistrează nodul în cloud-ul Webex și îl transformă într-un nod de securitate a datelor hibride.

Când înregistrați primul nod, creați un cluster căruia îi este atribuit nodul. Un cluster conține unul sau mai multe noduri implementate pentru a oferi redundanță.

Înainte de a începe

Odată ce începeți înregistrarea unui nod, trebuie să o finalizați în termen de 60 de minute, altfel va trebui să o luați de la capăt.
Asigurați-vă că toate blocatoarele de ferestre pop-up din browser sunt dezactivate sau că permiteți o excepție pentru admin.webex.com.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți cardul Securitate hibridă a datelor și faceți clic pe Configurare.
4	În pagina care se deschide, faceți clic pe Adăugați o resursă.
5	În primul câmp al cardului Adăugați un nod, introduceți un nume pentru clusterul căruia doriți să îi atribuiți nodul Hybrid Data Security. Vă recomandăm să denumiți un cluster în funcție de locația geografică a nodurilor clusterului. Exemple: „San Francisco” sau „New York” sau „Dallas”
6	În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Adăugare în partea de jos a ecranului. Această adresă IP sau FQDN ar trebui să corespundă cu adresa IP sau numele de gazdă și domeniul pe care le-ați utilizat în Configurarea mașinii virtuale Hybrid Data Security. Apare un mesaj care indică faptul că vă puteți înregistra nodul pe Webex.
7	Faceți clic pe Mergeți la nod. După câteva momente, veți fi redirecționat către testele de conectivitate a nodurilor pentru serviciile Webex. Dacă toate testele au succes, apare pagina Permiteți accesul la nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați permisiuni organizației dvs. Webex pentru a accesa nodul dvs.
8	Bifați caseta de selectare Permiteți accesul la nodul dvs. de securitate a datelor hibride, apoi faceți clic pe Continuați. Contul dvs. este validat, iar mesajul „Înregistrare finalizată” indică faptul că nodul dvs. este acum înregistrat în cloud-ul Webex.
9	Faceți clic pe link sau închideți fila pentru a reveni la pagina Securitatea datelor hibride din Partner Hub. Pe pagina Securitate hibridă a datelor, noul cluster care conține nodul pe care l-ați înregistrat este afișat în fila Resurse. Nodul va descărca automat cea mai recentă versiune de software din cloud.

Creați și înregistrați mai multe noduri

Pentru a adăuga noduri suplimentare la cluster, pur și simplu creați mașini virtuale suplimentare și montați același fișier ISO de configurare, apoi înregistrați nodul. Vă recomandăm să aveți cel puțin 3 noduri.

Înainte de a începe

Odată ce începeți înregistrarea unui nod, trebuie să o finalizați în termen de 60 de minute, altfel va trebui să o luați de la capăt.
Asigurați-vă că toate blocatoarele de ferestre pop-up din browser sunt dezactivate sau că permiteți o excepție pentru admin.webex.com.

1	Creați o nouă mașină virtuală din OVA, repetând pașii din Instalați HDS Host OVA.
2	Configurați configurația inițială pe noua mașină virtuală, repetând pașii din Configurați mașina virtuală hibridă de securitate a datelor.
3	Pe noua mașină virtuală, repetați pașii din Încărcați și montați fișierul ISO de configurare HDS.
4	Dacă configurați un proxy pentru implementare, repetați pașii din Configurați nodul HDS pentru integrarea proxy-ului, după cum este necesar pentru noul nod.
5	Înregistrați nodul. În https://admin.webex.com, selectați Servicii din meniul din partea stângă a ecranului. În secțiunea Servicii cloud, găsiți cardul Securitate hibridă a datelor și faceți clic pe Vizualizați tot. Apare pagina Resurse pentru securitatea datelor hibride. Clusterul nou creat va apărea în pagina Resurse. Faceți clic pe cluster pentru a vizualiza nodurile atribuite clusterului. Faceți clic pe Adăugați un nod în partea dreaptă a ecranului. Introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului și faceți clic pe Adăugare. Se deschide o pagină cu un mesaj care indică faptul că vă puteți înregistra nodul în cloud-ul Webex. După câteva momente, veți fi redirecționat către testele de conectivitate a nodurilor pentru serviciile Webex. Dacă toate testele au succes, apare pagina Permiteți accesul la nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați permisiuni organizației dvs. pentru a accesa nodul. Bifați caseta de selectare Permiteți accesul la nodul dvs. de securitate a datelor hibride, apoi faceți clic pe Continuați. Contul dvs. este validat, iar mesajul „Înregistrare finalizată” indică faptul că nodul dvs. este acum înregistrat în cloud-ul Webex. Faceți clic pe link sau închideți fila pentru a reveni la pagina Securitatea datelor hibride din Partner Hub. Mesajul pop-upNod adăugat apare și în partea de jos a ecranului în Partner Hub. Nodul dumneavoastră este înregistrat.

Gestionați organizațiile chiriașe în cadrul securității datelor hibride cu mai mulți chiriași

Activați HDS pentru mai mulți chiriași în Partner Hub

Această sarcină asigură că toți utilizatorii organizațiilor client pot începe să utilizeze HDS pentru chei de criptare locale și alte servicii de securitate.

Înainte de a începe

Asigurați-vă că ați finalizat configurarea clusterului HDS Multi-Tenant cu numărul necesar de noduri.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitate hibridă a datelor și faceți clic pe Editare setări.
4	Faceți clic pe Activați HDS pe cardul Stare HDS.

Adăugați organizații de chiriași în Partner Hub

În această sarcină, atribuiți organizații clienți clusterului dvs. hibrid de securitate a datelor.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitate hibridă a datelor și faceți clic pe Vizualizați tot.
4	Faceți clic pe clusterul căruia doriți să i se atribuie un client.
5	Accesați fila Clienți alocați.
6	Faceți clic pe Adăugați clienți.
7	Selectați clientul pe care doriți să îl adăugați din meniul derulant.
8	Faceți clic pe Adăugare, clientul va fi adăugat în cluster.
9	Repetați pașii 6-8 pentru a adăuga mai mulți clienți în cluster.
10	Faceți clic pe Gata în partea de jos a ecranului după ce ați adăugat clienții.

Ce este de făcut în continuare

Rulați instrumentul de configurare HDS așa cum este detaliat în Creați chei principale ale clientului (CMK-uri) folosind instrumentul de configurare HDS pentru a finaliza procesul de configurare.

Creați chei principale ale clienților (CMK) folosind instrumentul de configurare HDS

Înainte de a începe

Atribuiți clienți clusterului corespunzător, așa cum este detaliat în Adăugați organizații chiriașe în Partner Hub. Rulați instrumentul de configurare HDS pentru a finaliza procesul de configurare pentru organizațiile clienți nou adăugate.

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită acreditările unui cont Partner Hub cu drepturi complete de administrator pentru organizația dvs.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin intermediul variabilelor de mediu Docker atunci când deschideți containerul Docker în pasul 5. Acest tabel oferă câteva posibile variabile de mediu:

Descriere	Variabilă
Proxy HTTP fără autentificare	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS fără autentificare	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP cu autentificare	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS cu autentificare	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier de fiecare dată când faceți modificări de configurație, cum ar fi acestea:
- Acreditări bază de date
- Actualizări de certificate
- Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile la baza de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

Procesul de configurare a Securității Datelor Hybrid creează un fișier ISO. Apoi utilizați fișierul ISO pentru a configura gazda Hybrid Data Security.

1	La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite: `docker rmi ciscocitg/hds-setup:stable` În mediile FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.
2	Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele: `docker login -u hdscustomersro`
3	La solicitarea parolei, introduceți acest hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite: `docker pull ciscocitg/hds-setup:stable` În mediile FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În mediile FedRAMP fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”.
6	Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Folosește http://127.0.0.1:8080 pentru a te conecta la localhost. Folosește un browser web pentru a accesa localhost, `http://127.0.0.1:8080`și introdu numele de utilizator admin pentru Partner Hub la prompt. Instrumentul folosește această primă intrare a numelui de utilizator pentru a seta mediul adecvat pentru contul respectiv. Instrumentul afișează apoi solicitarea standard de conectare.
7	Când vi se solicită, introduceți acreditările de conectare de administrator în Partner Hub, apoi faceți clic pe Conectare pentru a permite accesul la serviciile necesare pentru Hybrid Data Security.
8	Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Începeți.
9	Pe pagina Import ISO, faceți clic pe Da.
10	Selectați fișierul ISO în browser și încărcați-l. Asigurați conectivitatea la baza de date pentru a efectua gestionarea CMK.
11	Accesați fila Gestionare CMK chiriași, unde veți găsi următoarele trei modalități de a gestiona CMK-urile chiriașilor. Creați CMK pentru toate ORG-urile sau Creați CMK - Faceți clic pe acest buton din bannerul din partea de sus a ecranului pentru a crea CMK-uri pentru toate organizațiile nou adăugate. Faceți clic pe butonul Gestionați CMK-uri din partea dreaptă a ecranului și faceți clic pe Creați CMK-uri pentru a crea CMK-uri pentru toate organizațiile nou adăugate. Faceți clic pe … lângă starea de gestionare CMK în așteptare a unei anumite organizații din tabel și faceți clic pe Creare CMK pentru a crea CMK pentru organizația respectivă.
12	După ce crearea CMK-ului este reușită, starea din tabel se va schimba de la Gestionare CMK în așteptare la CMK gestionat.
13	Dacă crearea CMK-ului nu reușește, va fi afișată o eroare.

Eliminați organizațiile chiriașilor

Înainte de a începe

Odată eliminați, utilizatorii organizațiilor clienților nu vor putea utiliza HDS pentru nevoile lor de criptare și vor pierde toate spațiile existente. Înainte de a elimina organizațiile clienților, vă rugăm să contactați partenerul sau managerul de cont Cisco.

1	Conectați-vă la https://admin.webex.com.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitate hibridă a datelor și faceți clic pe Vizualizați tot.
4	În fila Resurse, faceți clic pe clusterul din care doriți să eliminați organizațiile clienților.
5	În pagina care se deschide, faceți clic pe Clienți atribuiți.
6	Din lista de organizații client afișată, faceți clic pe ... în partea dreaptă a organizației client pe care doriți să o eliminați și faceți clic pe Eliminare din cluster.

Ce este de făcut în continuare

Finalizați procesul de eliminare prin revocarea CMK-urilor organizațiilor client, așa cum este detaliat în Revocarea CMK-urilor entităților găzduite eliminate din HDS.

Revocați CMK-urile chiriașilor eliminați din HDS.

Înainte de a începe

Eliminați clienții din clusterul corespunzător, așa cum este detaliat în Eliminați organizațiile chiriașe. Rulați instrumentul de configurare HDS pentru a finaliza procesul de eliminare pentru organizațiile clienților care au fost eliminate.

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită acreditările unui cont Partner Hub cu drepturi complete de administrator pentru organizația dvs.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin intermediul variabilelor de mediu Docker atunci când deschideți containerul Docker în pasul 5. Acest tabel oferă câteva posibile variabile de mediu:

Descriere	Variabilă
Proxy HTTP fără autentificare	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS fără autentificare	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP cu autentificare	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS cu autentificare	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier de fiecare dată când faceți modificări de configurație, cum ar fi acestea:
- Acreditări bază de date
- Actualizări de certificate
- Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile la baza de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

Procesul de configurare a Securității Datelor Hybrid creează un fișier ISO. Apoi utilizați fișierul ISO pentru a configura gazda Hybrid Data Security.

1	La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite: `docker rmi ciscocitg/hds-setup:stable` În mediile FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora.
2	Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele: `docker login -u hdscustomersro`
3	La solicitarea parolei, introduceți acest hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite: `docker pull ciscocitg/hds-setup:stable` În mediile FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În mediile FedRAMP fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”.
6	Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Folosește http://127.0.0.1:8080 pentru a te conecta la localhost. Folosește un browser web pentru a accesa localhost, `http://127.0.0.1:8080`și introdu numele de utilizator admin pentru Partner Hub la prompt. Instrumentul folosește această primă intrare a numelui de utilizator pentru a seta mediul adecvat pentru contul respectiv. Instrumentul afișează apoi solicitarea standard de conectare.
7	Când vi se solicită, introduceți acreditările de conectare de administrator în Partner Hub, apoi faceți clic pe Conectare pentru a permite accesul la serviciile necesare pentru Hybrid Data Security.
8	Pe pagina de prezentare generală a instrumentului de configurare, faceți clic pe Începeți.
9	Pe pagina Import ISO, faceți clic pe Da.
10	Selectați fișierul ISO în browser și încărcați-l.
11	Accesați fila Gestionare CMK chiriași, unde veți găsi următoarele trei modalități de a gestiona CMK-urile chiriașilor. Revocare CMK pentru toate ORG-urile sau Revocare CMK - Faceți clic pe acest buton din bannerul din partea de sus a ecranului pentru a revoca CMK-urile tuturor organizațiilor care au fost eliminate. Faceți clic pe butonul Gestionați CMK-urile din partea dreaptă a ecranului și faceți clic pe Revocați CMK-urile pentru a revoca CMK-urile tuturor organizațiilor care au fost eliminate. Faceți clic pe … lângă CMK pentru a revoca starea unei anumite organizații din tabel și faceți clic pe Revocare CMK pentru a revoca CMK-ul pentru organizația respectivă.
12	Odată ce revocarea CMK este reușită, organizația client nu va mai apărea în tabel.
13	Dacă revocarea CMK nu reușește, va fi afișată o eroare.

Testați implementarea securității datelor hibride

Utilizați această procedură pentru a testa scenarii de criptare a securității datelor hibride cu mai mulți chiriași.

Înainte de a începe

Configurați implementarea securității datelor hibride cu mai mulți chiriași.
Asigurați-vă că aveți acces la syslog pentru a verifica dacă solicitările de cheie sunt transmise către implementarea dvs. Multi-Tenant Hybrid Data Security.

1

Cheile pentru un anumit spațiu sunt setate de creatorul spațiului. Conectați-vă la aplicația Webex ca unul dintre utilizatorii organizației clientului, apoi creați un spațiu.

Dacă dezactivați implementarea Securității hibride a datelor, conținutul din spațiile create de utilizatori nu mai este accesibil odată ce copiile cheilor de criptare memorate în cache-ul clientului sunt înlocuite.

2

Trimite mesaje către noul spațiu.

3

Verificați ieșirea syslog pentru a verifica dacă solicitările cheie sunt transmise către implementarea dvs. Hybrid Data Security.

Dacă un utilizator al unei organizații client nou adăugate efectuează orice acțiune, ID-ul organizației respective va apărea în jurnale, iar acesta poate fi utilizat pentru a verifica dacă organizația utilizează Multi-Tenant HDS. Verificați valoarea lui kms.data.orgId în syslog-uri.

Pentru a verifica dacă un utilizator stabilește mai întâi un canal securizat către KMS, filtrați după kms.data.method=create și kms.data.type=EPHEMERAL_KEY_COLLECTION:

Ar trebui să găsiți o intrare precum următoarea (identificatorii sunt prescurtați pentru lizibilitate):

2025-04-10 04:38:20.208 (+0000) INFO  KMS [pool-19-thread-13] - [KMS:REQUEST] received, deviceId: 
https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5 ecdheKid: kms://collabdemoorg.cisco.com/statickeys/8[~]3 
clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]6,
 kms.data.method=create, kms.merc.id=d[~]7, kms.merc.sync=false, kms.data.uriHost=collabdemoorg.cisco.com, 
kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=1[~]f, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/ecdhe, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

Pentru a verifica dacă un utilizator solicită o cheie existentă de la KMS, filtrați după kms.data.method=retrieve și kms.data.type=KEY:

Ar trebui să găsiți o intrare de genul:

2025-04-10 04:38:24.144 (+0000) INFO  KMS [pool-19-thread-26] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558)
 WEBEX_TRACKINGID=webex-web-client_0[~]0, kms.data.method=retrieve, kms.merc.id=5[~]3, kms.merc.sync=false,
 kms.data.uriHost=collabdemoorg.cisco.com, kms.data.type=KEY, kms.data.requestId=4[~]7, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/keys/2[~]e, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

Pentru a verifica dacă un utilizator solicită crearea unei noi chei KMS, filtrați după kms.data.method=create și kms.data.type=KEY_COLLECTION:

Ar trebui să găsiți o intrare de genul:

2025-04-10 04:42:22.739 (+0000) INFO  KMS [pool-19-thread-29] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::7 orgId: 2[~]b
 (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]3, kms.data.method=create, 
kms.merc.id=6[~]4, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, 
kms.data.orgId=2[~]b, kms.data.uri=/keys, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

Pentru a verifica dacă un utilizator solicită crearea unui nou obiect de resursă KMS (KRO) atunci când este creat un spațiu sau o altă resursă protejată, filtrați după kms.data.method=create și kms.data.type=RESOURCE_COLLECTION:

Ar trebui să găsiți o intrare de genul:

2025-04-10 04:42:23.690 (+0000) INFO  KMS [pool-19-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/3[~]6 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 
clusterConnection: prodachm::1 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]2,
 kms.data.method=create, kms.merc.id=3[~]0, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=5[~]8, kms.data.orgId=2[~]b, kms.data.uri=/resources, kms.data.userId=1[~]f, kms.data.httpUserAgent=conversation

Monitorizarea stării securității datelor hibride

Un indicator de stare din cadrul Partner Hub vă arată dacă totul funcționează în regulă cu implementarea Multi-Tenant Hybrid Data Security. Pentru alerte mai proactive, înscrie-te pentru notificări prin e-mail. Vei fi notificat când există alarme care afectează serviciile sau actualizări de software.

1	În Partner Hub, selectați Services din meniul din partea stângă a ecranului.
2	În secțiunea Servicii cloud, găsiți Securitate hibridă a datelor și faceți clic pe Editare setări. Apare pagina Setări de securitate a datelor hibride.
3	În secțiunea Notificări prin e-mail, introduceți una sau mai multe adrese de e-mail separate prin virgule și apăsați Enter.

Gestionați implementarea HDS

Utilizați sarcinile descrise aici pentru a gestiona implementarea securității datelor hibride.

Setați programul de actualizare a clusterului

Actualizările software pentru Securitatea Datelor Hybrid se fac automat la nivel de cluster, ceea ce asigură că toate nodurile rulează întotdeauna aceeași versiune de software. Actualizările se fac conform programului de actualizare pentru cluster. Când devine disponibilă o actualizare de software, aveți opțiunea de a actualiza manual clusterul înainte de ora programată pentru actualizare. Puteți seta un program specific de actualizare sau puteți utiliza programul implicit de 3:00 AM Daily Statele Unite: America/Los Angeles. De asemenea, puteți alege să amânați o actualizare viitoare, dacă este necesar.

Pentru a seta programul de actualizare:

1	Conectați-vă la Hubul pentru parteneri.
2	Din meniul din partea stângă a ecranului, selectați Servicii.
3	În secțiunea Servicii cloud, găsiți Securitate hibridă a datelor și faceți clic pe Configurare
4	Pe pagina Resurse de securitate a datelor hibride, selectați clusterul.
5	Faceți clic pe fila Setări cluster.
6	Pe pagina Setări cluster, sub Program de actualizare, selectați ora și fusul orar pentru programul de actualizare. Notă: Sub fusul orar, se afișează data și ora următoarei actualizări disponibile. Puteți amâna actualizarea pentru ziua următoare, dacă este necesar, făcând clic pe Amână cu 24 de ore.

Modificarea configurației nodului

Ocazional, poate fi necesar să modificați configurația nodului hibrid de securitate a datelor dintr-un motiv ar fi:

Modificarea certificatelor x.509 din cauza expirării sau din alte motive.

Nu acceptăm schimbarea numelui de domeniu CN al unui certificat. Domeniul trebuie să se potrivească cu domeniul inițial utilizat pentru înregistrarea clusterului.
Actualizarea setărilor bazei de date pentru a trece la o replică a bazei de date PostgreSQL sau Microsoft SQL Server.

Nu acceptăm migrarea datelor de la PostgreSQL la Microsoft SQL Server sau invers. Pentru a schimba mediul bazei de date, începeți o nouă implementare a Hybrid Data Security.
Crearea unei noi configurații pentru a pregăti un nou centru de date.

De asemenea, în scopuri de securitate, Hybrid Data Security utilizează parole de cont de serviciu care au o durată de viață de nouă luni. După ce instrumentul de instalare HDS generează aceste parole, le implementați la fiecare dintre nodurile HDS în fișierul de configurare ISO. Când parolele organizației se apropie de expirare, primiți o notificare de la echipa Webex pentru a reseta parola pentru contul dvs. (E-mailul include textul „Utilizați API-ul contului de mașină pentru a actualiza parola.”) Dacă parolele nu au expirat încă, instrumentul vă oferă două opțiuni:

Resetare soft— Atât parola veche, cât și cea nouă sunt valabile până la 10 zile. Folosiți această perioadă pentru a înlocui treptat fișierul ISO pe noduri.
Resetare completă—Parolele vechi nu mai funcționează imediat.

Dacă parolele dvs. expiră fără resetare, acest lucru va afecta serviciul HDS, necesitând o resetare hardware imediată și înlocuirea fișierului ISO pe toate nodurile.

Utilizați această procedură pentru a genera un nou fișier ISO de configurare și pentru a-l aplica clusterului dvs.

Înainte de a începe

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, rulați Docker pe acea mașină. Procesul de configurare necesită acreditările unui cont Partner Hub cu drepturi complete de administrator de partener.

Dacă nu aveți o licență Docker Desktop, puteți utiliza Podman Desktop pentru a rula instrumentul HDS Setup pentru pașii 1.a până la 1.e din procedura de mai jos. Consultați Rulați instrumentul HDS Setup folosind Podman Desktop pentru detalii.

Dacă instrumentul HDS Setup rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin intermediul variabilelor de mediu Docker atunci când deschideți containerul Docker în 1.e. Acest tabel oferă câteva posibile variabile de mediu:

Descriere	Variabilă
Proxy HTTP fără autentificare	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS fără autentificare	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP cu autentificare	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS cu autentificare	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Aveți nevoie de o copie a fișierului ISO de configurare curent pentru a genera o nouă configurație. ISO conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de ISO când faceți modificări de configurare, inclusiv acreditările bazei de date, actualizări de certificate sau modificări ale politicii de autorizare.

1	Folosind Docker pe o mașină locală, rulați Instrumentul de configurare HDS. La linia de comandă a mașinii, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite: `docker rmi ciscocitg/hds-setup:stable` În mediile FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Acest pas curăță imaginile anterioare ale instrumentului de configurare HDS. Dacă nu există imagini anterioare, returnează o eroare pe care o puteți ignora. Pentru a vă conecta la registrul de imagini Docker, introduceți următoarele: `docker login -u hdscustomersro` La solicitarea parolei, introduceți acest hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Descărcați cea mai recentă imagine stabilă pentru mediul dvs.: În medii obișnuite: `docker pull ciscocitg/hds-setup:stable` În mediile FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable` Asigurați-vă că utilizați cel mai recent instrument de configurare pentru această procedură. Versiunile instrumentului create înainte de 22 februarie 2018 nu au ecrane de resetare a parolei. Când extragerea se încheie, introduceți comanda corespunzătoare pentru mediul dvs.: În medii obișnuite fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` În medii obișnuite cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În medii obișnuite cu un HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` În mediile FedRAMP fără un proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` În mediile FedRAMP cu un proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Când containerul rulează, vedeți „Serverul expres care ascultă pe portul 8080”. Utilizați un browser pentru a vă conecta la localhost, `http://127.0.0.1:8080`. Instrumentul de configurare nu acceptă conectarea la localhost prin http://localhost:8080. Folosește http://127.0.0.1:8080 pentru a te conecta la localhost. Când vi se solicită, introduceți datele de autentificare ale clientului Partner Hub, apoi faceți clic pe Accept pentru a continua. Importați fișierul ISO de configurare curentă. Urmați instrucțiunile pentru a finaliza instrumentul și descărcați fișierul actualizat. Pentru a închide instrumentul de configurare, tastați `CTRL+C`. Creați o copie de rezervă a fișierului actualizat într-un alt centru de date.
2	Dacă aveți un singur nod HDS care rulează, creați o nouă mașină virtuală pentru nodul Hybrid Data Security și înregistrați-o folosind noul fișier ISO de configurare. Pentru instrucțiuni mai detaliate, consultați Crearea și înregistrarea mai multor noduri. Instalați OVA gazdă HDS. Configurați VM HDS. Montați fișierul de configurare actualizat. Înregistrați noul nod în Partner Hub.
3	Pentru nodurile HDS existente care rulează fișierul de configurare mai vechi, montați fișierul ISO. Efectuați următoarea procedură pe fiecare nod pe rând, actualizând fiecare nod înainte de a opri următorul nod: Opriți mașina virtuală. În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările. Faceți clic pe `CD/DVD Drive 1`, selectați opțiunea de montare dintr-un fișier ISO și navigați la locația unde ați descărcat noul fișier ISO de configurare. Bifaţi Conectare la pornire. Salvați modificările și porniți mașina virtuală.
4	Repetați pasul 3 pentru a înlocui configurația pe fiecare nod rămas care rulează configurația veche.

Dezactivarea modului de rezoluție DNS extern blocat

Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează căutarea DNS și conectivitatea la cloud-ul Cisco Webex. Dacă serverul DNS al nodului nu poate rezolva numele DNS publice, nodul intră automat în modul Rezoluție DNS externă blocată.

Dacă nodurile sunt capabile să rezolve numele DNS publice prin serverele DNS interne, puteți dezactiva acest mod prin reluarea testului de conexiune proxy pe fiecare nod.

Înainte de a începe

Asigurați-vă că serverele DNS interne pot rezolva numele DNS publice și că nodurile pot comunica cu acestea.

1	Într-un browser web, deschideți interfața nodului Hibrid Data Security (adresa IP/configurare, de exemplu, https://192.0.2.0/setup), introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare.
2	Accesați Prezentare generală (pagina implicită). Când este activată, Rezoluția DNS externă blocată este setată la Da.
3	Accesați pagina Trust Store & Proxy.
4	Faceți clic pe Verificare conexiune proxy. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a avut succes, nodul nu a reușit să ajungă la serverul DNS și va rămâne în acest mod. În caz contrar, după ce reporniți nodul și reveniți la pagina Prezentare generală, Rezoluția DNS externă blocată ar trebui să fie setată la nu.

Ce trebuie să faceți în continuare

Repetați testul de conexiune proxy pe fiecare nod din clusterul hibrid de securitate a datelor.

Eliminați un nod

Utilizați această procedură pentru a elimina un nod Hybrid Data Security din cloud-ul Webex. După ce eliminați nodul din cluster, ștergeți mașina virtuală pentru a împiedica accesul ulterior la datele de securitate.

1

Utilizați clientul VMware vSphere de pe computer pentru a vă conecta la gazda virtuală ESXi și a opri mașina virtuală.

2

Eliminați nodul:

Conectați-vă la Partner Hub, apoi selectați Servicii.
Pe cardul Securitate date hibride, faceți clic pe Vizualizare totală pentru a afișa pagina Resurse securitate date hibride.
Selectați clusterul pentru a afișa panoul Prezentare generală.
Faceți clic pe nodul pe care doriți să îl eliminați.
Faceți clic pe Anulați înregistrarea acestui nod în panoul care apare în dreapta
De asemenea, puteți anula înregistrarea nodului făcând clic pe … în partea dreaptă a nodului și selectând Eliminați acest nod.

3

În clientul vSphere, ștergeți mașina virtuală. (În panoul de navigare din stânga, faceți clic dreapta pe mașina virtuală și apoi pe Ștergere.)

Dacă nu ștergeți mașina virtuală, nu uitați să demontați fișierul ISO de configurare. Fără fișierul ISO, nu puteți utiliza mașina virtuală pentru a accesa datele de securitate.

Recuperare în caz de dezastru folosind Centrul de date în așteptare

Cel mai important serviciu oferit de clusterul dvs. Hybrid Data Security este crearea și stocarea cheilor utilizate pentru criptarea mesajelor și a altor conținuturi stocate în cloud-ul Webex. Pentru fiecare utilizator din cadrul organizației care este atribuit Securității Datelor Hibride, cererile de creare a unor chei noi sunt direcționate către cluster. Clusterul este, de asemenea, responsabil pentru returnarea cheilor create către orice utilizatori autorizați să le recupereze, de exemplu, membrii unui spațiu de conversație.

Deoarece clusterul îndeplinește funcția critică de a furniza aceste chei, este imperativ ca acesta să rămână în funcțiune și să se mențină copii de rezervă adecvate. Pierderea bazei de date Hybrid Data Security sau a fișierului ISO de configurație utilizat pentru schemă va duce la PIERDEREA NERECUPERABILĂ a conținutului clientului. Următoarele practici sunt obligatorii pentru a preveni o astfel de pierdere:

Dacă un dezastru face ca implementarea HDS din centrul de date principal să devină indisponibilă, urmați această procedură pentru a relua manual procesul la centrul de date standby.

Înainte de a începe

Anulați înregistrarea tuturor nodurilor din Partner Hub, așa cum se menționează în Eliminarea unui nod. Folosește cel mai recent fișier ISO care a fost configurat pentru nodurile clusterului activ anterior pentru a efectua procedura de failover menționată mai jos.

1	Porniți instrumentul de configurare HDS și urmați pașii menționați în Creați un fișier ISO de configurare pentru gazdele HDS.
2	Finalizați procesul de configurare și salvați fișierul ISO într-o locație ușor de găsit.
3	Faceți o copie de rezervă a fișierului ISO pe sistemul local. Păstrați copia de rezervă în siguranță. Acest fișier conține o cheie principală de criptare pentru conținutul bazei de date. Restricționați accesul doar la administratorii de securitate a datelor hibride care ar trebui să facă modificări de configurație.
4	În panoul de navigare din stânga al clientului VMware vSphere, faceți clic dreapta pe VM și faceți clic pe Editați setările.
5	Faceți clic pe Editați setările >CD/DVD Unitatea 1 și selectați Fișier ISO Datastore. Asigurați-vă că opțiunile Conectat și Conectare la pornire sunt bifate, astfel încât modificările de configurație actualizate să poată avea efect după pornirea nodurilor.
6	Porniți nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 15 minute.
7	Înregistrați nodul în Hubul pentru parteneri. Referiți-vă la Înregistrați primul nod din cluster.
8	Repetați procesul pentru fiecare nod din centrul de date standby.

Ce este de făcut în continuare

După reluare, dacă centrul de date principal devine din nou activ, anulați înregistrarea nodurilor centrului de date standby și repetați procesul de configurare ISO și înregistrare a nodurilor centrului de date principal, așa cum s-a menționat mai sus.

(Opțional) Demontați fișierul ISO după configurarea HDS

Configurația HDS standard rulează cu ISO-ul montat. Însă, unii clienți preferă să nu lase fișierele ISO montate continuu. Puteți demonta fișierul ISO după ce toate nodurile HDS preiau noua configurație.

Încă folosești fișierele ISO pentru a face modificări de configurație. Când creați un fișier ISO nou sau actualizați un fișier ISO prin intermediul instrumentului de configurare, trebuie să montați fișierul ISO actualizat pe toate nodurile HDS. După ce toate nodurile au preluat modificările de configurație, puteți demonta din nou fișierul ISO cu această procedură.

Înainte de a începe

Actualizați toate nodurile HDS la versiunea 2021.01.22.4720 sau o versiune ulterioară.

1	Închideți unul dintre nodurile HDS.
2	În vCenter Server Appliance, selectați nodul HDS.
3	Alegeți Editați setările > CD/DVD unitatea și debifați Fișier ISO Datastore.
4	Porniți nodul HDS și asigurați-vă că nu există alarme timp de cel puțin 20 de minute.
5	Repetați pentru fiecare nod HDS pe rând.

Depanarea securității datelor hibride

Vizualizați alertele și depanați

O implementare hibridă de securitate a datelor este considerată indisponibilă dacă toate nodurile din cluster sunt inaccesibile sau dacă clusterul funcționează atât de lent încât solicitările expiră. Dacă utilizatorii nu pot accesa clusterul dvs. Hybrid Data Security, aceștia întâmpină următoarele simptome:

Nu se pot crea spații noi (nu se pot crea chei noi)
Mesajele și titlurile spațiilor nu au putut fi decriptate pentru:
- Utilizatori noi adăugați la un spațiu (imposibil de preluat cheile)
- Utilizatori existenți într-un spațiu care utilizează un client nou (imposibil de preluat cheile)
Utilizatorii existenți dintr-un spațiu vor continua să ruleze cu succes atâta timp cât clienții lor au o memorie cache cu cheile de criptare.

Este important să monitorizați corespunzător clusterul Hybrid Data Security și să răspundeți prompt oricăror alerte pentru a evita întreruperea serviciului.

Alerte

Dacă există o problemă cu configurarea Securității datelor hibride, Partner Hub afișează alerte pentru administratorul organizației și trimite e-mailuri la adresa de e-mail configurată. Alertele acoperă multe scenarii comune.

Tabelul 1. Probleme comune și pașii pentru rezolvarea lor
Alertă	Acțiune
Eroare de acces la baza de date locală.	Verificați dacă există erori în baza de date sau probleme de rețea locală.
Eroare de conexiune la baza de date locală.	Verificați dacă serverul bazei de date este disponibil și dacă au fost utilizate acreditările corecte ale contului de serviciu în configurarea nodului.
Eroare de acces la serviciul cloud.	Verificați dacă nodurile pot accesa serverele Webex așa cum este specificat în Cerințe de conectivitate externă.
Reînnoirea înregistrării serviciului cloud.	Înregistrarea la serviciile cloud a fost anulată. Reînnoirea înregistrării este în curs de desfășurare.
Înregistrarea serviciului cloud a fost întreruptă.	Înregistrarea la serviciile cloud a fost încheiată. Serviciul se închide.
Serviciul nu a fost încă activat.	Activați HDS în Partner Hub.
Domeniul configurat nu corespunde cu certificatul serverului.	Asigurați-vă că certificatul serverului corespunde domeniului de activare a serviciului configurat. Cea mai probabilă cauză este că CN-ul certificatului a fost recent modificat și acum este diferit de CN-ul utilizat în timpul configurării inițiale.
Autentificarea la serviciile cloud nu a reușit.	Verificați exactitatea și posibila expirare a acreditărilor contului de serviciu.
Nu s-a putut deschide fișierul keystore local.	Verificați integritatea și corectitudinea parolei în fișierul keystore local.
Certificatul serverului local este invalid.	Verificați data de expirare a certificatului serverului și confirmați că acesta a fost emis de o autoritate de certificare de încredere.
Nu se pot posta valorile.	Verificați accesul rețelei locale la serviciile cloud externe.
/media/configdrive/hds directorul nu există.	Verificați configurația de montare ISO pe gazda virtuală. Verificați dacă fișierul ISO există, dacă este configurat să se monteze la repornire și dacă montarea a fost reușită.
Configurarea organizației chiriașe nu este finalizată pentru organizațiile adăugate	Finalizați configurarea creând CMK-uri pentru organizațiile de chiriași nou adăugate folosind instrumentul de configurare HDS.
Configurarea organizației chiriașe nu este finalizată pentru organizațiile eliminate	Finalizați configurarea prin revocarea CMK-urilor organizațiilor chiriașe care au fost eliminate folosind HDS Setup Tool.

Depanarea securității datelor hibride

Utilizați următoarele instrucțiuni generale atunci când depanați problemele legate de securitatea datelor hibride.

1	Consultați Centrul pentru parteneri pentru orice alerte și remediați orice probleme pe care le găsiți acolo. Vedeți imaginea de mai jos pentru referință.
2	Verificați ieșirea serverului syslog pentru activitate din implementarea Hybrid Data Security. Filtrați după cuvinte precum „Avertisment” și „Eroare” pentru a ajuta la depanare.
3	Contactați serviciul de asistență Cisco.

Alte note

Probleme cunoscute pentru securitatea datelor hibride

Dacă închideți clusterul Hybrid Data Security (ștergându-l în Partner Hub sau închizând toate nodurile), pierdeți fișierul ISO de configurare sau pierdeți accesul la baza de date keystore, utilizatorii aplicației Webex ai organizațiilor clienților nu mai pot utiliza spațiile din lista lor de persoane care au fost create cu chei din KMS-ul dvs. În prezent, nu avem o soluție sau un remediu pentru această problemă și vă rugăm să nu închideți serviciile HDS odată ce acestea gestionează conturi de utilizatori active.
Un client care are o conexiune ECDH existentă la un KMS menține acea conexiune pentru o perioadă de timp (probabil o oră).

Rulați instrumentul HDS Setup folosind Podman Desktop

Podman este un instrument gratuit și open-source de gestionare a containerelor care oferă o modalitate de a rula, gestiona și crea containere. Podman Desktop poate fi descărcat de la https://podman-desktop.io/downloads.

Instrumentul de configurare HDS rulează ca un container Docker pe o mașină locală. Pentru a-l accesa, descărcați și rulați Podman pe acel computer. Procesul de configurare necesită acreditările unui cont Control Hub cu drepturi complete de administrator pentru organizația dvs.

Dacă instrumentul de configurare HDS rulează în spatele unui proxy în mediul dvs., furnizați setările proxy (server, port, acreditări) prin intermediul variabilelor de mediu Docker atunci când deschideți containerul Docker în pasul 5. Acest tabel oferă câteva posibile variabile de mediu:

Descriere	Variabilă
Proxy HTTP fără autentificare	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS fără autentificare	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP cu autentificare	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS cu autentificare	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Fișierul ISO de configurare pe care îl generați conține cheia principală care criptează baza de date PostgreSQL sau Microsoft SQL Server. Aveți nevoie de cea mai recentă copie a acestui fișier de fiecare dată când faceți modificări de configurație, cum ar fi acestea:
- Acreditări bază de date
- Actualizări de certificate
- Modificări ale politicii de autorizare
Dacă intenționați să criptați conexiunile la baza de date, configurați implementarea PostgreSQL sau SQL Server pentru TLS.

Procesul de configurare a Securității Datelor Hybrid creează un fișier ISO. Apoi utilizați fișierul ISO pentru a configura gazda Hybrid Data Security.

podman rmi ciscocitg/hds-setup:stable  
podman login docker.io -u hdscustomersro
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
podman pull ciscocitg/hds-setup:stable
podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Ce este de făcut în continuare

Urmați pașii rămași din Creați un fișier ISO de configurare pentru gazdele HDS sau Modificați configurația nodului pentru a crea sau modifica configurația ISO.

Mutați implementarea HDS cu un singur entitate existentă a unei organizații partenere din Control Hub într-o configurație HDS cu mai multe entități în Partner Hub

Conversia de la o implementare HDS existentă cu un singur entitate (single-tenant) a unei organizații partenere gestionate în Control Hub la o implementare HDS cu mai mulți entități gestionată în Partner Hub implică în principal dezactivarea serviciului HDS în Control Hub, anularea înregistrării nodurilor și ștergerea clusterului. Apoi, vă puteți conecta la Partner Hub, puteți înregistra nodurile, puteți activa Multi-Tenant HDS și puteți adăuga clienți în clusterul dvs.

Termenul „single-tenant” se referă pur și simplu la o implementare HDS existentă în Control Hub.

Dezactivați HDS, dezregistrați nodurile și ștergeți clusterul în Control Hub

1	Conectați-vă la Control Hub. În panoul din stânga, faceți clic pe Hibrid. Pe cardul Securitate hibridă a datelor, faceți clic pe Editați setările.
2	Pe pagina de setări, derulați în jos până la secțiunea Dezactivare și faceți clic pe Dezactivare.
3	După dezactivare, faceți clic pe fila Resurse.
4	Pagina Resurse listează clusterele din implementarea HDS. Dacă faceți clic pe un cluster, se va deschide o pagină cu toate nodurile din acel cluster.
5	Faceți clic pe ... în dreapta și apoi pe Deregstr. nod. Repetați procesul pentru toate nodurile din cluster.
6	Dacă implementarea are mai multe clustere, repetați pașii 4 și 5 până când toate nodurile sunt dezînregistrate.
7	Faceți clic pe Setări cluster > Eliminați.
8	Faceți clic pe Confirmare eliminare pentru a anula înregistrarea clusterului.
9	Repetați procesul pentru toate clusterele din implementarea HDS. După dezactivarea HDS, anularea înregistrării nodurilor și eliminarea clusterelor, cardul Hybrid Data Service de pe Control Hub va afișa în partea de jos mesajul Configurarea nu a fost finalizată.

Activați Multi-Tenant HDS pentru organizația parteneră în Partner Hub și adăugați clienți

Înainte de a începe

Toate cerințele preliminare menționate în Cerințe pentru securitatea datelor hibride cu mai mulți chiriași sunt aplicabile aici. În plus, asigurați-vă că aceeași bază de date și aceleași certificate sunt utilizate în timpul mișcării către Multi-Tenant HDS.

1	Conectați-vă la Centrul pentru parteneri. Faceți clic pe Servicii în panoul din stânga. Folosește același fișier ISO din implementarea HDS anterioară pentru a configura nodurile. Acest lucru va asigura că mesajele și conținutul generate de utilizatori în implementarea HDS existentă anterior sunt în continuare accesibile în noua configurație Multi-Tenant.
2	În secțiunea Servicii cloud, găsiți cardul Securitate hibridă a datelor și faceți clic pe Configurare.
3	În pagina care se deschide, faceți clic pe Adăugați o resursă.
4	În primul câmp al cardului Adăugați un nod, introduceți un nume pentru clusterul căruia doriți să îi atribuiți nodul Hybrid Data Security. Vă recomandăm să denumiți un cluster în funcție de locația geografică a nodurilor clusterului. Exemple: „San Francisco” sau „New York” sau „Dallas”
5	În al doilea câmp, introduceți adresa IP internă sau numele de domeniu complet calificat (FQDN) al nodului dvs. și faceți clic pe Adăugare în partea de jos a ecranului. Această adresă IP sau FQDN ar trebui să corespundă cu adresa IP sau numele de gazdă și domeniul pe care le-ați utilizat în Configurarea mașinii virtuale Hybrid Data Security. Apare un mesaj care indică faptul că vă puteți înregistra nodul pe Webex.
6	Faceți clic pe Mergeți la nod. După câteva momente, veți fi redirecționat către testele de conectivitate a nodurilor pentru serviciile Webex. Dacă toate testele au succes, apare pagina Permiteți accesul la nodul de securitate a datelor hibride. Acolo, confirmați că doriți să acordați permisiuni organizației dvs. Webex pentru a accesa nodul dvs.
7	Bifați caseta de selectare Permiteți accesul la nodul dvs. de securitate a datelor hibride, apoi faceți clic pe Continuați. Contul dumneavoastră este validat, iar mesajul „Înregistrare finalizată” indică faptul că nodul dumneavoastră este acum înregistrat în cloud-ul Webex. Pe pagina Securitate hibridă a datelor, noul cluster care conține nodul pe care l-ați înregistrat este afișat în fila Resurse. Nodul va descărca automat cea mai recentă versiune de software din cloud.
8	Accesați fila Setări și faceți clic pe Activare pe cardul de stare HDS. MesajulHDS activat va apărea în partea de jos a ecranului.
9	În Resurse, faceți clic pe clusterul nou creat.
10	Pe pagina care se deschide, faceți clic pe fila Clienți alocați.
11	Faceți clic pe Adăugați clienți.
12	Selectați clientul pe care doriți să îl adăugați din meniul derulant.
13	Faceți clic pe Adăugare, clientul va fi adăugat în cluster.
14	Repetați pașii 11-13 pentru a adăuga mai mulți clienți în cluster.
15	Faceți clic pe Gata în partea de jos a ecranului după ce ați adăugat clienții.

Ce este de făcut în continuare

Rulați instrumentul de configurare HDS așa cum este detaliat în Creați chei principale ale clientului (CMK-uri) folosind instrumentul de configurare HDS pentru a finaliza procesul de configurare.

Utilizați OpenSSL pentru a genera un fișier PKCS12

Înainte de a începe

OpenSSL este un instrument care poate fi utilizat pentru a crea fișierul PKCS12 în formatul corect pentru încărcare în HDS Setup Tool. Există și alte modalități de a face acest lucru, iar noi nu susținem sau promovăm o modalitate în detrimentul alteia.
Dacă alegeți să utilizați OpenSSL, vă oferim această procedură ca ghid pentru a vă ajuta să creați un fișier care să îndeplinească cerințele certificatului X.509 din Cerințe certificat X.509. Înțelegeți aceste cerințe înainte de a continua.
Instalați OpenSSL într-un mediu compatibil. Consultați https://www.openssl.org pentru software și documentație.
Creați o cheie privată.
Începeți această procedură când primiți certificatul serverului de la autoritatea de certificare (CA).

1	Când primiți certificatul serverului de la CA, salvați-l ca `hdsnode.pem`.
2	Afișați certificatul ca text și verificați detaliile. `openssl x509 -text -noout -in hdsnode.pem`
3	Folosește un editor de text pentru a crea un fișier cu pachet de certificate numit `hdsnode-bundle.pem`. Fișierul pachet trebuie să includă certificatul serverului, orice certificate CA intermediare și certificatele CA rădăcină, în formatul de mai jos: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Creați fișierul .p12 cu numele prietenos `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Verificați detaliile certificatului serverului. `openssl pkcs12 -in hdsnode.p12` Introduceți o parolă la prompt pentru a cripta cheia privată, astfel încât aceasta să fie listată în rezultat. Apoi, verificați dacă cheia privată și primul certificat includ liniile `friendlyName: kms-private-key`. Exemplu: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

Ce este de făcut în continuare

Reveniți la Finalizați cerințele preliminare pentru securitatea datelor hibride. Vei folosi fișierul hdsnode.p12 și parola pe care ai setat-o pentru acesta în Creați un fișier ISO de configurare pentru gazdele HDS.

Puteți reutiliza aceste fișiere pentru a solicita un certificat nou atunci când certificatul original expiră.

Trafic între nodurile HDS și cloud

Trafic de colectare a metricilor de ieșire

Nodurile de securitate a datelor hibride trimit anumite valori către cloud-ul Webex. Acestea includ metrici de sistem pentru heap max, heap utilizat, încărcarea CPU și numărul de fire de execuție; metrici privind fire de execuție sincrone și asincrone; metrici privind alertele care implică un prag de conexiuni de criptare, latență sau lungimea cozii de solicitări; metrici privind depozitul de date; și metrici privind conexiunile de criptare. Nodurile trimit material cheie criptat printr-un canal în afara benzii (separat de cerere).

Trafic de intrare

Nodurile de securitate a datelor hibride primesc următoarele tipuri de trafic de intrare din cloud-ul Webex:

Cereri de criptare de la clienți, care sunt direcționate de serviciul de criptare
Actualizări ale software-ului nodului

Configurați proxy-urile Squid pentru securitatea datelor hibride

Websocket nu se poate conecta prin Squid Proxy

Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea conexiunilor websocket (wss:) necesare pentru securitatea hibridă a datelor. Aceste secțiuni oferă îndrumări despre cum să configurați diferite versiuni de Squid pentru a ignora traficul wss: pentru funcționarea corectă a serviciilor.

Calmar 4 și 5

Adăugați directiva on_unsupported_protocol la squid.conf:

on_unsupported_protocol tunnel all

Calmar 3.5.27

Am testat cu succes Securitatea hibridă a datelor cu următoarele reguli adăugate la squid.conf. Aceste reguli pot fi modificate pe măsură ce dezvoltăm caracteristici și actualizăm cloud-ul Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Mulțumim pentru feedback.

Ghid de implementare pentru securitatea datelor hibridă cu mai mulți chiriași (HDS) (Beta)

Informații noi și modificate

Informații noi și modificate

Dezactivați securitatea datelor hibride cu entități găzduite multiple

Fluxul de activități pentru dezactivarea HDS cu entități găzduite multiple

Începeți cu Securitatea datelor hibride cu entități găzduite multiple

Prezentare generală a securității datelor hibride cu entități găzduite multiple

Modul în care securitatea datelor hibride cu entități găzduite multiple oferă suveranitatea și controlul datelor

Roluri în securitatea datelor hibride cu entități găzduite multiple

Arhitectura domeniului securitate

Colaborarea cu alte organizații

Așteptări privind implementarea securității datelor hibride

Proces de configurare la nivel înalt

Model de implementare a securității datelor hibride

Centrul de date în așteptare pentru recuperarea după dezastre

Suport proxy

Exemplu de noduri hibride de securitate a datelor și proxy

Modul de rezolvare DNS extern blocat (configurații proxy explicite)

Pregătiți mediul dvs.

Cerințe pentru securitatea datelor hibride cu entități găzduite multiple

Cerințe de licență Cisco Webex

Cerințe desktop docker

Cerințe certificat X.509

Cerințe pentru gazda virtuală

Cerințe server de bază de date

Cerințe suplimentare pentru autentificarea Windows împotriva Microsoft SQL Server

Cerințe de conectivitate externă

Cerințe server proxy

Completați cerințele preliminare pentru securitatea datelor hibride

Configurați un cluster de securitate a datelor hibride

Fluxul de activități de implementare a securității datelor hibride

Efectuați configurarea inițială și descărcați fișierele de instalare

Crearea unui ISO de configurare pentru gazdele HDS

Instalați gazda HDS OVA

Configurați VM de securitate a datelor hibride

Încărcarea și montarea ISO de configurare HDS

Configurarea nodului HDS pentru integrarea proxy

Înscrieți primul nod din cluster

Creați și înscrieți mai multe noduri

Gestionați organizațiile entității găzduite pe securitatea datelor hibride cu entități găzduite multiple

Activați HDS cu entități găzduite multiple în Partner Hub

Adăugați organizații ale entităților găzduite în Partner Hub

Creați chei principale ale clientului (CMK) utilizând instrumentul de configurare HDS

Eliminați organizațiile entității găzduite

Revocați CMK-urile entităților găzduite eliminate din HDS.

Testați implementarea securității datelor hibride

Testați implementarea securității datelor hibride

Monitorizați Securitatea datelor hibride

Gestionați implementarea HDS

Gestionați implementarea HDS

Setați programarea upgrade-ului clusterului

Modificați configurația nodului

Dezactivarea modului de rezoluție DNS extern blocat

Eliminați un nod

Recuperarea după dezastru utilizând centrul de date în așteptare

(Opțional) Demontați ISO după configurarea HDS

Soluționați problemele privind securitatea datelor hibride

Vizualizați alertele și soluționarea problemelor

Alerte

Soluționați problemele privind securitatea datelor hibride

Alte note

Probleme cunoscute privind securitatea datelor hibride

Utilizați OpenSSL pentru a genera un fișier PKCS12

Trafic între nodurile HDS și cloud

Trafic de colectare a măsurătorilor de ieșire

Trafic de intrare

Configurarea proxy-urilor Squid pentru securitatea datelor hibride

Websocket nu se poate conecta prin Squid Proxy

Informații noi și modificate

Informații noi și modificate

Dezactivați securitatea datelor hibride cu entități găzduite multiple

Fluxul de activități pentru dezactivarea HDS cu entități găzduite multiple

Începeți cu Securitatea datelor hibride cu entități găzduite multiple

Prezentare generală a securității datelor hibride cu entități găzduite multiple

Modul în care securitatea datelor hibride cu entități găzduite multiple oferă suveranitatea și controlul datelor

Roluri în securitatea datelor hibride cu entități găzduite multiple

Arhitectura domeniului securitate

Colaborarea cu alte organizații

Așteptări privind implementarea securității datelor hibride