- Главная
- /
- Статья
Новая и измененная информация
Дата | Внесенные изменения | ||
---|---|---|---|
20 октября 2023 г. |
| ||
07 августа 2023 г. |
| ||
23 мая 2023 г. |
| ||
06 декабря 2022 г. |
| ||
23 ноября 2022 г. |
| ||
13 октября 2021 г. | Перед установкой узлов HDS Docker Desktop необходимо запустить программу установки. См. Требования к рабочему столу Docker. | ||
24 июня 2021 г. | Отмечается, что для запроса другого сертификата можно повторно использовать файл закрытого ключа и представителя клиентской службы. Дополнительные сведения см. в разделе Использование OpenSSL для создания файла PKCS12. | ||
30 апреля 2021 г. | Изменено требование к виртуальной машине для локального места на жестком диске до 30 ГБ. Подробные сведения см. в разделе Требования к виртуальному организатору. | ||
24 февраля 2021 г. | Инструмент настройки HDS теперь может работать за прокси. Дополнительные сведения см. в разделе Создание ISO конфигурации для узлов HDS . | ||
2 февраля 2021 г. | Теперь HDS может работать без смонтированного файла ISO. Подробности см. в статье (Необязательно) Отключение ISO после конфигурации HDS. | ||
11 января 2021 г. | Добавлена информация о инструменте настройки HDS и прокси для создания конфигурации ISO для узлов HDS. | ||
13 октября 2020 г. | Обновлен раздел "Скачивание установочных файлов". | ||
8 октября 2020 г. | Обновлен параметр Создание ISO конфигурации для узлов HDS и Изменение конфигурации узла с помощью команд для сред FedRAMP. | ||
14 августа 2020 г. | Обновлен параметр Создание ISO конфигурации для узлов HDS и Изменение конфигурации узла с изменениями в процессе входа. | ||
5 августа 2020 г. | Обновлено тестирование развертывания службы безопасности данных гибридного типа на предмет изменений в сообщениях журнала. Обновлены требования к виртуальному организатору для удаления максимального количества организаторов. | ||
16 июня 2020 г. | Обновлено удаление узла для внесения изменений в пользовательский интерфейс Control Hub. | ||
4 июня 2020 г. | Обновлен параметр Создание ISO конфигурации для узлов HDS для изменений в расширенных настройках, которые можно задать. | ||
29 мая 2020 г. | Обновлено Create a Configuration ISO for the HDS Hosts , чтобы показать, что вы также можете использовать TLS с базами данных SQL Server, изменениями пользовательского интерфейса и другими разъяснениями. | ||
5 мая 2020 г. | Обновлены требования к виртуальному организатору для отображения новых требований ESXi 6.5. | ||
21 апреля 2020 г. | Обновлены требования к внешним подключениям с новыми хостами CI в Америке. | ||
1 апреля 2020 г. | Обновлены требования к внешним подключениям с информацией о региональных узлах CI. | ||
20 февраля 2020 г. | Обновлен параметр Создание конфигурации ISO для узлов HDS с информацией о новом дополнительном экране расширенных настроек в инструменте настройки HDS. | ||
4 февраля 2020 г. | Обновлены требования к прокси-серверу. | ||
16 декабря 2019 г. | Уточнено требование для режима блокировки разрешения внешнего DNS для работы в требованиях к прокси-серверу. | ||
19 ноября 2019 г. | Добавлена информация о режиме блокировки разрешения внешних DNS в следующих разделах: | ||
8 ноября 2019 г. | Теперь можно настроить параметры сети для узла во время развертывания OVA, а не после. Соответствующим образом обновлены следующие разделы:
| ||
6 сентября 2019 г. | Добавлен стандарт SQL Server в требования к серверу базы данных. | ||
29 августа 2019 г. | Добавлено приложение Настройка прокси Squid для безопасности данных гибридного типа с указаниями по настройке прокси Squid для игнорирования трафика веб-сокетов для надлежащей работы. | ||
20 августа 2019 г. | Добавлены и обновлены разделы, посвященные поддержке прокси для связи узлов безопасности данных гибридного типа с облаком Webex. Чтобы получить доступ только к контенту поддержки прокси для существующего развертывания, см. статью справки Поддержка прокси для безопасности данных гибридного типа и сетки видео Webex. | ||
13 июня 2019 г. | Обновлен процесс пробной версии до производственной задачи с напоминанием о синхронизации HdsTrialGroup группировать объект перед запуском пробной версии, если в вашей организации используется синхронизация каталога. | ||
6 марта 2019 г. |
| ||
28 февраля 2019 г. |
| ||
26 февраля 2019 г. |
| ||
24 января 2019 г. |
| ||
5 ноября 2018 г. |
| ||
19 октября 2018 г. |
| ||
31 июля 2018 г. |
| ||
21 мая 2018 г. | Изменена терминология для отражения ребрендинга Cisco Spark.
| ||
11 апреля 2018 г. |
| ||
22 февраля 2018 г. |
| ||
15 февраля 2018 г. |
| ||
18 января 2018 г. |
| ||
2 ноября 2017 г. |
| ||
18 августа 2017 г. | Впервые опубликовано |
Обзор безопасности данных гибридного типа
Безопасность данных с первого дня была главной задачей при разработке приложения Webex. Краеугольным камнем этой безопасности является сквозное шифрование контента, обеспечиваемое клиентами приложения Webex , взаимодействующими со службой управления ключами (KMS). KMS отвечает за создание и управление криптографическими ключами, которые используются клиентами для динамического шифрования и расшифровки сообщений и файлов.
По умолчанию все клиенты приложения Webex получают сквозное шифрование с помощью динамических ключей, хранящихся в облачной KMS в области безопасности Cisco. Служба безопасности данных гибридного типа перемещает KMS и другие функции безопасности в корпоративный центр обработки данных, поэтому доступ к ключам для зашифрованного контента будет только у вас.
Архитектура сферы безопасности
Облачная архитектура Webex разделяет различные типы служб на отдельные сферы или доверенные домены, как показано ниже.
Чтобы лучше понять безопасность данных гибридного типа, давайте рассмотрим пример чистого облака, в котором Cisco предоставляет все функции в облачных сферах. Служба удостоверений, единственное место, где пользователи могут напрямую коррелировать с их личной информацией, такой как адрес электронной почты, логически и физически отделена от сферы безопасности в центре обработки данных B. Обе службы, в свою очередь, отделены от сферы, где в конечном итоге хранится зашифрованный контент, в центре обработки данных C.
На этой схеме клиентом является приложение Webex, запущенное на ноутбуке пользователя и прошедшее аутентификацию с помощью службы удостоверений. Когда пользователь создает сообщение для отправки в пространство, выполняются следующие действия.
Клиент устанавливает безопасное соединение со службой управления ключами (KMS), затем запрашивает ключ для шифрования сообщения. Безопасное соединение использует ECDH, а KMS шифрует ключ с помощью главного ключа AES-256.
Сообщение зашифровано перед выходом из клиента. Клиент отправляет его в службу индексирования, которая создает зашифрованные индексы поиска для облегчения будущих поисков контента.
Зашифрованное сообщение отправляется в службу соответствия для проверки соответствия.
Зашифрованное сообщение хранится в области хранилища.
При развертывании службы безопасности данных гибридного типа функции области безопасности (KMS, индексация и соответствие требованиям) перемещаются в локальный центр обработки данных. Другие облачные службы, составляющие Webex (включая хранилище удостоверений и контента), остаются в сфере Cisco.
Сотрудничество с другими организациями
Пользователи в вашей организации могут регулярно использовать приложение Webex для совместной работы с внешними участниками в других организациях. Когда один из ваших пользователей запрашивает ключ для пространства, принадлежащего вашей организации (поскольку оно было создано одним из ваших пользователей), KMS отправляет ключ клиенту через защищенный канал ECDH. Однако если ключ для пространства принадлежит другой организации, ваша KMS маршрутизирует запрос в облако Webex через отдельный канал ECDH для получения ключа из соответствующей KMS, а затем возвращает ключ пользователю в исходном канале.
Служба KMS, запущенная в организации A, проверяет соединения с KMS в других организациях с помощью сертификатов PKI x.509. Подробные сведения о создании сертификата x.509 для использования с развертыванием службы безопасности данных гибридного типа см. в разделе Подготовка среды .
Ожидания развертывания системы безопасности данных гибридного типа
Развертывание службы безопасности данных гибридного типа требует значительных обязательств клиентов и осознания рисков, связанных с владением ключами шифрования.
Для развертывания службы безопасности данных гибридного типа необходимо предоставить:
Безопасный центр обработки данных в стране, являющейся поддерживаемым местоположением для планов Cisco Webex Teams.
Оборудование, программное обеспечение и доступ к сети описаны в разделе Подготовка среды.
Полная потеря ISO конфигурации, созданной для службы безопасности данных гибридного типа, или базы данных, которую вы предоставляете, приведет к потере ключей. Потеря ключа не позволяет пользователям расшифровать контент пространства и другие зашифрованные данные в приложении Webex. В этом случае можно создать новое развертывание, но будет отображаться только новый контент. Во избежание потери доступа к данным необходимо:
Управление резервным копированием и восстановлением базы данных и конфигурации ISO.
Будьте готовы выполнить быстрое аварийное восстановление при возникновении катастрофы, например сбой диска базы данных или аварийное завершение работы центра обработки данных.
Механизм возврата ключей в облако после развертывания HDS отсутствует. |
Процесс настройки высокого уровня
В этом документе описывается настройка и управление развертыванием службы безопасности данных гибридного типа.
Настройка безопасности данных гибридного типа. Это включает подготовку необходимой инфраструктуры и установку программного обеспечения безопасности данных гибридного типа, тестирование развертывания с помощью подмножества пользователей в пробном режиме и, по завершении тестирования, переход к производству. Это преобразует всю организацию для использования кластера безопасности данных гибридного типа для функций безопасности.
Этапы установки, тестирования и производства подробно описаны в следующих трех главах.
Поддерживайте развертывание службы безопасности данных гибридного типа: облако Webex автоматически обеспечивает текущую модернизацию. Ваш ИТ-отдел может предоставить поддержку первого уровня для этого развертывания и при необходимости задействовать службу поддержки Cisco. В Control Hub можно использовать экранные уведомления и настроить предупреждения на основе электронной почты.
Понимание общих предупреждений, шагов по устранению неполадок и известных проблем. При возникновении проблем при развертывании или использовании службы безопасности данных гибридного типа последняя глава этого руководства и приложение «Известные проблемы» могут помочь вам определить и устранить проблему.
Модель развертывания системы безопасности данных гибридного типа
В корпоративном центре обработки данных развертывается служба безопасности данных гибридного типа как единый кластер узлов на отдельных виртуальных узлах. Узлы взаимодействуют с облаком Webex через защищенные веб-сокеты и безопасный HTTP.
В процессе установки мы предоставляем вам файл OVA для настройки виртуального устройства на предоставленных вами виртуальных машинах. Инструмент настройки HDS используется для создания пользовательского файла конфигурации кластера ISO, который монтируется на каждом узле. Кластер безопасности данных гибридного типа использует предоставленный вами сервер Syslogd и базу данных PostgreSQL или Microsoft SQL Server. (Сведения о подключении к системному журналу и базе данных можно настроить в инструменте настройки HDS.)
Минимальное количество узлов, которые можно иметь в кластере, составляет два. Мы рекомендуем не менее трех, а вы можете иметь до пяти. Наличие нескольких узлов гарантирует, что служба не прерывается во время обновления программного обеспечения или других действий по техническому обслуживанию на узле. (Облако Webex одновременно обновляет только один узел.)
Все узлы в кластере получают доступ к одному хранилищу данных ключа и активность журнала на одном сервере системного журнала. Сами узлы являются апатридами и обрабатывают ключевые запросы круглыми путями в соответствии с указаниями облака.
Узлы становятся активными при их регистрации в Control Hub. Чтобы вывести отдельный узел из эксплуатации, его можно отменить регистрацию, а затем при необходимости повторно зарегистрировать.
Для каждой организации поддерживается только один кластер.
Пробный режим безопасности данных гибридного типа
После настройки развертывания службы безопасности данных гибридного типа попробуйте сначала с помощью набора пилотных пользователей. В течение пробного периода эти пользователи используют локальный домен безопасности данных гибридного типа для ключей шифрования и других служб безопасности. Другие пользователи продолжают использовать область облачной безопасности.
Если вы решите не продолжать развертывание во время пробной версии и деактивировать службу, пилотные пользователи и все пользователи, с которыми они взаимодействовали путем создания новых пространств в течение пробного периода, потеряют доступ к сообщениям и контенту. В приложении Webex будет отображено сообщение "Это сообщение невозможно расшифровать".
Если вы удовлетворены тем, что развертывание работает хорошо для пользователей пробной версии и готовы распространить службу безопасности данных гибридного типа на всех пользователей, развертывание будет перенесено в производство. Пилотные пользователи по-прежнему имеют доступ к ключам, которые использовались во время пробной версии. Однако вы не можете перемещаться между режимом производства и исходным пробным запуском. Если необходимо деактивировать службу, например для выполнения аварийного восстановления, при повторной активации необходимо запустить новую пробную версию и настроить набор пилотных пользователей для новой пробной версии, прежде чем вернуться в рабочий режим. Сохранение пользователями доступа к данным на данном этапе зависит от того, успешно ли выполнено резервное копирование хранилища ключевых данных и файла конфигурации ISO для узлов безопасности данных гибридного типа в кластере.
Резервный центр обработки данных для аварийного восстановления
Во время развертывания можно настроить безопасный резервный центр обработки данных. В случае аварийного состояния центра обработки данных можно вручную свернуть развертывание в резервный центр обработки данных.
Базы данных активных и резервных центров обработки данных синхронизированы друг с другом, что позволяет минимизировать время, затрачиваемое на отработку отказа. Файл ISO резервного центра обработки данных обновлен дополнительными конфигурациями, которые обеспечивают регистрацию узлов в организации, но не будут обрабатывать трафик. Таким образом, узлы резервного центра обработки данных всегда обновляются с новейшей версией программного обеспечения HDS.
Активные узлы безопасности данных гибридного типа должны всегда находиться в том же центре обработки данных, что и активный сервер базы данных. |
Настройка резервного центра обработки данных для аварийного восстановления
Чтобы настроить файл ISO резервного центра обработки данных, выполните приведенные ниже действия.
Перед началом работы
Резервный центр обработки данных должен отражать рабочую среду виртуальных машин и резервную базу данных PostgreSQL или Microsoft SQL Server. Например, если в производстве имеется 3 ВМ с узлами HDS, резервная среда должна иметь 3 ВМ. (Обзор этой модели отработки отказа см. в разделе Standby Data Center for Disaster Recovery .)
Убедитесь, что синхронизация базы данных включена между базой данных активных и пассивных узлов кластера.
1. | Запустите инструмент настройки HDS и выполните действия, указанные в разделе Создание конфигурации ISO для узлов HDS.
| ||
2. | После настройки сервера Syslogd щелкните Расширенные настройки | ||
3. | На странице Расширенные настройки добавьте конфигурацию ниже, чтобы перевести узел в пассивный режим. В этом режиме узел будет зарегистрирован в организации и подключен к облаку, но не будет обрабатывать трафик.
| ||
4. | Завершите процесс настройки и сохраните файл ISO в удобном для поиска местоположении. | ||
5 | Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервной копии. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничить доступ только тем администраторам безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию. | ||
6 | В левой панели навигации клиента VMware vSphere щелкните правой кнопкой мыши виртуальную машину и выберите Редактировать настройки.. | ||
7. | Щелкните Edit Settings >CD/DVD Drive 1 и выберите Datastore ISO File.
| ||
8 | Включите узел HDS и убедитесь в отсутствии аварийных сигналов в течение не менее 15 минут. | ||
9 | Повторите процесс для каждого узла в резервном центре обработки данных.
|
Дальнейшие действия
После настройки passiveMode
в файле ISO и сохраняя его, вы можете создать другую копию файла ISO без passiveMode
и сохраните его в безопасном местоположении. Эта копия файла ISO без passiveMode
настроенная система может помочь в быстром процессе отработки отказа во время аварийного восстановления. Подробную процедуру отработки отказа см. в разделе Аварийное восстановление с использованием резервного центра обработки данных .
Поддержка прокси
Служба безопасности данных гибридного типа поддерживает явные прокси, прозрачные прокси с проверкой и прокси без проверки. Чтобы обеспечить защиту и мониторинг трафика из сети предприятия в облако, можно связать эти прокси с развертыванием. После настройки прокси на узлах административный интерфейс платформы на узлах можно использовать для управления сертификатами и просмотра общего состояния соединений.
Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.
No proxy (Без прокси). Этот параметр применяется по умолчанию, если для интеграции прокси не используется конфигурация прокси и зоны доверия настройки узла HDS. Обновление сертификата не требуется.
Transparent non-inspecting proxy (Прозрачный прокси без проверки). Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.
Transparent tunneling or inspecting proxy (Прозрачный туннельный прокси или прокси с проверкой). Узлы не настроены для использования адреса определенного прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
Explicit proxy (Явный прокси). При использовании явного прокси необходимо указать прокси-сервер и схему аутентификации, которые должны использовать узлы HDS. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.
Proxy IP/FQDN (IP-адрес или FQDN прокси). Адрес, который можно использовать для доступа к прокси-машине.
Proxy Port (Порт прокси). Номер порта, который используется прокси для прослушивания трафика, передаваемого через прокси.
Proxy Protocol (Протокол прокси). Выберите протокол, поддерживаемый прокси-сервером. Доступные протоколы указаны ниже.
HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.
HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.
Authentication Type (Тип аутентификации). Выберите один из перечисленных ниже типов аутентификации.
None (Нет). Дальнейшая аутентификация не требуется.
Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
Basic (Базовая). Используется для оператора пользователя HTTP в целях предоставления имени пользователя и пароля при совершении запроса. Использует кодировку Base64.
Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
Требует ввода имени пользователя и пароля на каждом узле.
Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.
Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.
Требует ввода имени пользователя и пароля на каждом узле.
Пример узлов безопасности данных гибридного типа и прокси
На этой схеме представлен пример соединения между системой безопасности данных гибридного типа, сетью и прокси. При использовании прозрачного прокси с проверкой или явного прокси с проверкой HTTPS на прокси и узлы безопасности данных гибридного типа необходимо установить один и тот же корневой сертификат.
Режим блокировки разрешения внешних DNS (конфигурации явного прокси)
При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. В развертываниях с конфигурациями явного прокси, которые не допускают разрешения внешних DNS для внутренних клиентов, если узел не может посылать запросы на DNS-серверы, он автоматически переходит в режим блокировки разрешения внешних DNS. В этом режиме можно продолжить регистрацию узла и другие тестирования подключения к прокси.
Требования к безопасности данных гибридного типа
Требования к лицензии Cisco Webex
Развертывание службы безопасности данных гибридного типа.
У вас должен быть профессиональный пакет Cisco Webex Control Hub. (См. https://www.cisco.com/go/pro-pack.)
Требования к рабочему столу Docker
Перед установкой узлов HDS необходимо запустить программу установки Docker Desktop. Docker недавно обновил свою модель лицензирования. Вашей организации может потребоваться платная подписка на Docker Desktop. Подробности см. В сообщении блога Docker " Docker обновляет и расширяет подписки на наши продукты ".
Требования к сертификату X.509
Цепочка сертификатов должна отвечать следующим требованиям:
Требование | Сведения |
---|---|
| По умолчанию мы доверяем ЦС в списке Mozilla (за исключением WoSign и StartCom) по адресу https://wiki.mozilla.org/CA:IncludedCAs. |
| CN не должен быть доступным или быть в режиме реального времени организатором. Рекомендуется использовать название, которое отражает вашу организацию, например CN не должен содержать * (подстановочный знак). CN используется для проверки узлов безопасности данных гибридного типа для клиентов приложения Webex. Все узлы безопасности данных гибридного типа в кластере используют один и тот же сертификат. Ваш KMS идентифицирует себя с помощью домена CN, а не какого-либо домена, определенного в полях SAN x.509v3. После регистрации узла с этим сертификатом изменение имени домена CN не поддерживается. Выберите домен, который может применяться как к пробному, так и к производственному развертыванию. |
| Программное обеспечение KMS не поддерживает подписи SHA1 для проверки подключений к KMS других организаций. |
| Для изменения формата сертификата можно использовать конвертер, например OpenSSL. При запуске инструмента настройки HDS необходимо будет ввести пароль. |
Программное обеспечение KMS не обеспечивает принудительное использование ключей или расширенные ограничения использования ключей. Некоторые центры сертификации требуют, чтобы к каждому сертификату применялись расширенные ограничения использования ключей, такие как аутентификация сервера. Можно использовать аутентификацию сервера или другие настройки.
Требования к виртуальному организатору
К виртуальным узлам, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере, предъявляются следующие требования.
Не менее двух отдельных узлов (рекомендуется 3), расположенных в одном защищенном центре обработки данных
Установлен и запущен VMware ESXi 6.5 (или более поздняя версия).
Если у вас есть более ранняя версия ESXi, необходимо выполнить модернизацию.
Минимум 4 vCPU, 8 ГБ основной памяти, 30 ГБ локального дискового пространства на сервере
Требования к серверу базы данных
Создайте новую базу данных для хранения ключей. Не используйте базу данных по умолчанию. При установке приложения HDS создайте схему базы данных. |
Существует два варианта для сервера базы данных. Требования к каждому из них следующие:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Минимум 8 vCPU, 16 ГБ основной памяти, достаточное место на жестком диске и мониторинг, чтобы убедиться, что он не превышен (рекомендуется 2 ТБ, если вы хотите запустить базу данных в течение длительного времени без необходимости увеличения объема хранилища) | Минимум 8 vCPU, 16 ГБ основной памяти, достаточное место на жестком диске и мониторинг, чтобы убедиться, что он не превышен (рекомендуется 2 ТБ, если вы хотите запустить базу данных в течение длительного времени без необходимости увеличения объема хранилища) |
Программное обеспечение HDS в настоящее время устанавливает следующие версии драйверов для связи с сервером базы данных:
PostgreSQL | Microsoft SQL Server |
---|---|
Драйвер JDBC Postgres 42.2.5 | Драйвер JDBC SQL Server 4.6 Эта версия драйвера поддерживает SQL Server Always On ( Always On Failover Cluster Instances и Always On Availability groups). |
Дополнительные требования к аутентификации Windows в Microsoft SQL Server
Если вы хотите, чтобы узлы HDS использовали аутентификацию Windows для получения доступа к базе данных хранилища ключей на Microsoft SQL Server, в вашей среде необходима следующая конфигурация:
Узлы HDS, инфраструктура Active Directory и MS SQL Server должны синхронизироваться с NTP.
Учетная запись Windows, предоставленная узлам HDS, должна иметь доступ на чтение/запись к базе данных.
Серверы DNS, которые вы предоставляете узлам HDS, должны иметь возможность разрешить работу центра распределения ключей (KDC).
Экземпляр базы данных HDS можно зарегистрировать на сервере Microsoft SQL в качестве главного имени службы (SPN) в Active Directory. См. раздел Регистрация имени главного поставщика услуг для соединений Kerberos.
Инструмент настройки HDS, средство запуска HDS и локальный KMS должны использовать аутентификацию Windows для доступа к базе данных хранилища ключей. Они используют сведения из конфигурации ISO для создания SPN при запросе доступа с аутентификацией Kerberos.
Требования к внешним подключениям
Настройте брандмауэр таким образом, чтобы разрешить следующее подключение для приложений HDS.
Приложение | Protocol | Port (Порт) | Направление из приложения | Адресат |
---|---|---|---|---|
Узлы безопасности данных гибридного типа | TCP | 443 | Исходящие HTTPS и WSS |
|
инструмент настройки HDS | TCP | 443 | Исходящий HTTPS |
|
Узлы безопасности данных гибридного типа работают с преобразованием сетевого доступа (NAT) или за брандмауэром, если NAT или брандмауэр разрешает требуемые исходящие соединения с адресатами домена в предыдущей таблице. Для соединений, входящих в узлы безопасности данных гибридного типа, порты не должны быть видны из Интернета. В центре обработки данных клиентам необходим доступ к узлам безопасности данных гибридного типа на портах TCP 443 и 22 для административных целей. |
URL-адреса узлов общих параметров идентификации (CI) зависят от региона. Это текущие хосты CI:
Регион | URL-адреса общих узлов удостоверений |
---|---|
Северная и Южная Америка |
|
Европейский союз |
|
Канада |
|
Требования к прокси-серверу
Мы официально поддерживаем следующие решения для прокси, которые можно интегрировать с узлами безопасности данных гибридного типа:
для прозрачных прокси – Cisco Web Security Appliance (WSA);
для явных прокси – Squid.
Прокси Squid, выполняющие проверку HTTPS-трафика, могут влиять на установление соединений веб-сокетов (wss:) . Для решения этой проблемы см. раздел Настройка прокси-серверов Squid для безопасности данных гибридного типа.
Поддерживаются следующие комбинации типов аутентификации для явных прокси:
без аутентификации при использовании HTTP или HTTPS;
базовая аутентификация при использовании HTTP или HTTPS;
дайджест-аутентификация только при использовании HTTPS;
При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.
Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.
Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. При возникновении этой проблемы обход (без проверки) трафика на
wbx2.com
иciscospark.com
решит проблему.
Выполнение предварительных требований для безопасности данных гибридного типа
1. | Убедитесь, что для вашей организации Webex включена профессиональная версия Cisco Webex Control Hub, и получите учетные данные учетной записи с полными правами администратора организации. За помощью в этом процессе обратитесь к партнеру Cisco или менеджеру по работе с клиентами. | ||
2. | Выберите имя домена для развертывания HDS (например, | ||
3. | Подготовьте идентичные виртуальные хосты, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере. Необходимо, чтобы в одном защищенном центре обработки данных находились не менее двух отдельных узлов (рекомендуется 3), которые соответствуют требованиям, изложенным в требованиях к виртуальному узлу. | ||
4. | Подготовьте сервер базы данных, который будет выступать в качестве хранилища данных ключей для кластера в соответствии с требованиями к серверу базы данных. Сервер базы данных должен быть размещен в защищенном центре обработки данных с виртуальными хостами. | ||
5 | Для быстрого аварийного восстановления настройте резервную среду в другом центре обработки данных. Среда резервного копирования отражает рабочую среду виртуальных машин и сервера резервной базы данных. Например, если в производстве имеется 3 ВМ с узлами HDS, резервная среда должна иметь 3 ВМ. | ||
6 | Настройте хост системного журнала для сбора журналов с узлов в кластере. Соберите его сетевой адрес и порт системного журнала (по умолчанию UDP 514). | ||
7. | Создайте политику безопасного резервного копирования для узлов безопасности данных гибридного типа, сервера базы данных и узла системного журнала. Как минимум, чтобы предотвратить неизлечимую потерю данных, необходимо создать резервную копию базы данных и файла конфигурации ISO, созданного для узлов безопасности данных гибридного типа.
Клиенты приложения Webex кэшируют свои ключи, поэтому отключение может быть заметным не сразу, но со временем оно станет очевидным. Хотя временные отключения невозможно предотвратить, они могут быть восстановлены. Однако полная потеря (без резервных копий) базы данных или файла конфигурации ISO приведет к невосстановимым данным о клиенте. Ожидается, что операторы узлов безопасности данных гибридного типа будут вести частые резервные копии базы данных и файла конфигурации ISO, а также будут готовы восстановить центр обработки данных службы безопасности данных гибридного типа в случае катастрофического сбоя. | ||
8 | Убедитесь, что конфигурация брандмауэра обеспечивает подключение к узлам безопасности данных гибридного типа, как описано в требованиях к внешним подключениям. | ||
9 | Установите Docker ( https://www.docker.com) на любой локальной машине с поддерживаемой ОС (64-разрядная версия Microsoft Windows 10 Professional или Enterprise или Mac OSX Yosemite 10.10.3 или более поздняя версия) с веб-браузером, который может получить к нему доступ по ссылке http://127.0.0.1:8080. Экземпляр Docker используется для загрузки и запуска инструмента настройки HDS, который создает информацию о локальной конфигурации для всех узлов безопасности данных гибридного типа. Вашей организации может потребоваться лицензия Docker Desktop. Дополнительные сведения см. в разделе Требования к рабочему столу Docker. Чтобы установить и запустить инструмент настройки HDS, локальная машина должна иметь подключение, описанное в требованиях к внешним подключениям. | ||
10 | При интеграции прокси с безопасностью данных гибридного типа убедитесь, что он соответствует требованиям прокси-сервера. | ||
11 | Если в вашей организации используется синхронизация каталогов, создайте группу в Active Directory под названием
|
Процесс выполнения задач по развертыванию системы безопасности данных гибридного типа
Перед началом работы
1. |
Скачайте файл OVA на локальный компьютер для последующего использования. | ||
2. | Создание ISO конфигурации для узлов HDS Используйте инструмент настройки HDS для создания файла конфигурации ISO для узлов безопасности данных гибридного типа. | ||
3. |
Создайте виртуальную машину из файла OVA и выполните начальную конфигурацию, например сетевые настройки.
| ||
4. | Настройка виртуальной машины безопасности данных гибридного типа Войдите в консоль виртуальной машины и задайте учетные данные для входа. Настройте сетевые параметры узла, если они не были настроены во время развертывания OVA. | ||
5 | Загрузка и монтаж конфигурации HDS ISO Настройте виртуальную машину из файла конфигурации ISO, созданного с помощью инструмента настройки HDS. | ||
6 | Настройка узла HDS для интеграции прокси Если для сетевой среды требуется конфигурация прокси, укажите тип прокси, который будет использоваться для узла, и при необходимости добавьте сертификат прокси в доверенное хранилище. | ||
7. | Регистрация первого узла в кластере Зарегистрируйте виртуальную машину в облаке Cisco Webex в качестве узла безопасности данных гибридного типа. | ||
8 | Создание и регистрация дополнительных узлов Завершите настройку кластера. | ||
9 | Запустить пробную версию и перейти к производству (следующая глава) Пока вы не начнете пробную версию, ваши узлы будут генерировать сигнал о том, что ваша служба еще не активирована. |
Скачивание файлов установки
1. | Войдите в https://admin.webex.com и щелкните Службы. | ||||
2. | В разделе служб гибридного типа найдите карточку безопасности данных гибридного типа и щелкните Настройка. Если карточка отключена или вы ее не видите, обратитесь в команду по работе с клиентами или партнерскую организацию. Укажите номер своей учетной записи и попросите включить для вашей организации функцию безопасности данных гибридного типа. Чтобы найти номер учетной записи, щелкните шестеренку в правом верхнем углу рядом с названием организации.
| ||||
3. | Выберите Нет , чтобы указать, что узел еще не настроен, и нажмите Далее. Файл OVA автоматически начинает скачиваться. Сохраните файл в местоположении на компьютере.
| ||||
4. | При необходимости щелкните Открыть руководство по развертыванию , чтобы проверить, доступна ли более поздняя версия этого руководства. |
Создание ISO конфигурации для узлов HDS
Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем вы используете ISO для настройки узла безопасности данных гибридного типа.
Перед началом работы
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Control Hub с полными правами администратора вашей организации.
Если инструмент настройки HDS работает за прокси в вашей среде, укажите настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при переносе контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Созданный файл конфигурации ISO содержит главный ключ, шифрующий базу данных PostgreSQL или Microsoft SQL Server. Вам потребуется последняя копия этого файла при внесении изменений в конфигурацию, например:
учетные данные базы данных
Обновления сертификата
Изменения политики авторизации
Если вы планируете шифровать соединения с базой данных, настройте развертывание PostgreSQL или SQL Server для TLS.
1. | Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах:
В средах FedRAMP:
| ||||||||||||
2. | Чтобы войти в реестр образов Docker, введите следующее.
| ||||||||||||
3. | Введите в запросе пароля этот хеш:
| ||||||||||||
4. | Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах:
В средах FedRAMP:
| ||||||||||||
5 | По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". | ||||||||||||
6 |
Используйте веб-браузер для перехода к локальному узлу, Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. В этом инструменте отображается стандартная подсказка для входа в систему. | ||||||||||||
7. | По запросу введите учетные данные для входа администратора клиента Control Hub, а затем щелкните Войти, чтобы разрешить доступ к необходимым службам для безопасности данных гибридного типа. | ||||||||||||
8 | На странице обзора инструмента настройки щелкните Начало работы. | ||||||||||||
9 | На странице импорта ISO доступны следующие параметры:
| ||||||||||||
10 | Убедитесь, что сертификат X.509 соответствует требованиям, изложенным в требованиях к сертификатам X.509.
| ||||||||||||
11 | Введите адрес базы данных и учетную запись HDS для доступа к хранилищу данных ключа: | ||||||||||||
12 | Выберите режим подключения к базе данных TLS:
При загрузке корневого сертификата (при необходимости) и нажатии Continue (Продолжить) инструмент настройки HDS тестирует соединение TLS с сервером базы данных. Инструмент также выполняет проверку источника подписи сертификата и имени узла (если применимо). Если тест не будет пройден, в инструменте будет отображено сообщение об ошибке с описанием проблемы. Можно выбрать параметр игнорирования ошибки и продолжить настройку. (Из-за различий в подключении узлы HDS могут установить соединение TLS, даже если машина инструмента настройки HDS не сможет успешно протестировать его.) | ||||||||||||
13 | На странице «Системные журналы» настройте сервер Syslogd: | ||||||||||||
14 | (Необязательно) Значение по умолчанию для некоторых параметров подключения к базе данных можно изменить в расширенных настройках. Как правило, этот параметр является единственным, который можно изменить:
| ||||||||||||
15 | Щелкните Продолжить на экране Сброс пароля учетных записей службы . Срок службы паролей учетных записей службы составляет девять месяцев. Используйте этот экран, когда срок действия паролей близится к концу или вы хотите сбросить их, чтобы аннулировать предыдущие файлы ISO. | ||||||||||||
16 | Щелкните Скачать файл ISO. Сохраните файл в удобном для поиска местоположении. | ||||||||||||
17 | Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервной копии. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничить доступ только тем администраторам безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию. | ||||||||||||
18 | Чтобы выключить инструмент настройки, введите |
Дальнейшие действия
Создайте резервную копию файла конфигурации ISO. Она необходима для создания дополнительных узлов для восстановления или внесения изменений в конфигурацию. Если вы потеряете все копии файла ISO, вы также потеряете главный ключ. Восстановление ключей из базы данных PostgreSQL или Microsoft SQL Server невозможно.
У нас никогда нет копии этого ключа, и мы не можем помочь, если вы его потеряете. |
Установка OVA узла HDS
1. | Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi. | ||||||
2. | Выберите Файл > Развертывание шаблона OVF. | ||||||
3. | В мастере укажите расположение скачанного ранее файла OVA и щелкните Далее. | ||||||
4. | На Выберите имя и папку страница, введите Имя виртуальной машины для узла (например, HDS_Node_1) выберите местоположение, в котором может находиться развертывание узла виртуальной машины, а затем щелкните Далее. | ||||||
5 | На Выберите вычислительный ресурс выберите целевой вычислительный ресурс, а затем щелкните Далее. Выполняется проверка. После завершения отображаются сведения о шаблоне. | ||||||
6 | Проверьте сведения о шаблоне и щелкните Далее. | ||||||
7. | Если вас попросят выбрать конфигурацию ресурса в Конфигурация страница, щелкните 4 ЦП и щелкните Далее. | ||||||
8 | На Выбрать хранилище страница, щелкните Далее для принятия формата диска по умолчанию и политики хранения VM. | ||||||
9 | На Выбор сетей выберите параметр сети из списка записей, чтобы обеспечить желаемое подключение к виртуальной машине. | ||||||
10 | На странице Настройка шаблона настройте следующие сетевые параметры.
При необходимости можно пропустить конфигурацию сетевых настроек и выполнить действия, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа , чтобы настроить параметры на консоли узла.
| ||||||
11 | Щелкните правой кнопкой мыши виртуальную машину узла и выберите .Программное обеспечение безопасности данных гибридного типа устанавливается в качестве гостя на узле виртуальной машины. Теперь вы готовы войти в консоль и настроить узел. Рекомендации по устранению неисправностей Может возникнуть задержка в несколько минут до появления контейнеров узла. Во время первой загрузки на консоли появляется сообщение брандмауэра моста, во время которого невозможно войти в систему. |
Настройка виртуальной машины безопасности данных гибридного типа
Используйте эту процедуру для первого входа в консоль виртуальных машин узла безопасности данных гибридного типа и установки учетных данных для входа. Консоль также можно использовать для настройки сетевых параметров узла, если они не были настроены во время развертывания OVA.
1. | В клиенте VMware vSphere выберите VM узла безопасности данных гибридного типа и перейдите на вкладку Консоль . Виртуальная машина загружается, и появляется запрос на вход. Если запрос на вход не отображается, нажмите Enter.
|
2. | Для входа и изменения учетных данных используйте следующие логин и пароль по умолчанию. После первого входа в виртуальную машину необходимо изменить пароль администратора. |
3. | Если параметры сети уже настроены в разделе Установка узла HDS OVA, пропустите оставшуюся часть этой процедуры. В противном случае в главном меню выберите пункт Редактировать конфигурацию . |
4. | Настройте статическую конфигурацию с IP-адресом, маской, шлюзом и информацией о DNS. Ваш узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается. |
5 | (Необязательно) Измените имя узла, домен или серверы NTP, если это необходимо для соответствия политике сети. Вам не нужно настраивать домен в соответствии с доменом, который вы использовали для получения сертификата X.509. |
6 | Сохраните конфигурацию сети и перезагрузите виртуальную машину, чтобы изменения вступили в силу. |
Загрузка и монтаж конфигурации HDS ISO
Перед началом работы
Поскольку файл ISO содержит главный ключ, он должен быть раскрыт только на основании необходимости знать для доступа виртуальных машин безопасности данных гибридного типа и администраторов, которым может потребоваться внести изменения. Убедитесь, что доступ к хранилищу данных могут получить только эти администраторы.
1. | Загрузите файл ISO с компьютера: |
2. | Подключите файл ISO: |
Дальнейшие действия
Если требуется ИТ-политика, можно при необходимости отменить монтирование файла ISO после того, как все узлы выберут изменения конфигурации. Подробности см. в статье (Необязательно) Отключение ISO после конфигурации HDS.
Настройка узла HDS для интеграции прокси
Если в сетевой среде необходимо использовать прокси, воспользуйтесь этой процедурой, чтобы указать тип прокси, который нужно интегрировать со службой безопасности данных гибридного типа. При выборе прозрачного прокси с проверкой или явного прокси HTTPS можно использовать интерфейс узла для загрузки и установки корневого сертификата. Кроме того, в интерфейсе можно проверять соединение с прокси и устранять неполадки.
Перед началом работы
Обзор поддерживаемых параметров прокси см. в разделе Поддержка прокси .
1. | Введите URL настройки узла HDS |
2. | Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров.
В случае использования прозрачного прокси с проверкой, явного прокси HTTP с базовой аутентификацией или явного прокси HTTPS выполните указанные далее шаги. |
3. | Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси. Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку-шеврон, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить). |
4. | Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси). Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки. Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу. Такая проблема может возникнуть во многих конфигурациях явного прокси. Можно продолжить настройку, и узел будет работать в режиме блокировки разрешения внешних DNS. Если вы считаете, что это ошибка, выполните следующие действия, а затем увидите Отключить режим блокировки разрешения внешних DNS. |
5 | Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд. |
6 | Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке. Узел перезагрузится в течение нескольких минут. |
7. | После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом. Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси. |
Регистрация первого узла в кластере
При регистрации первого узла создается кластер, которому этот узел назначен. Кластер содержит один или несколько узлов, развернутых для обеспечения избыточности.
Перед началом работы
Как только вы начнете регистрацию узла, вы должны завершить ее в течение 60 минут или начать заново.
Убедитесь, что все блокирующие всплывающие окна в браузере отключены или что для admin.webex.com разрешено исключение.
1. | Войдите в https://admin.webex.com. |
2. | В меню в левой части экрана выберите Службы. |
3. | В разделе служб гибридного типа найдите службу безопасности данных гибридного типа и щелкните Настройка. Откроется страница "Регистрация узла безопасности данных гибридного типа".
|
4. | Выберите Да , чтобы указать, что узел настроен и готов его зарегистрировать, а затем нажмите Далее. |
5 | В первом поле введите имя кластера, которому необходимо назначить узел безопасности данных гибридного типа. Рекомендуется присвоить кластеру имя в зависимости от географического расположения узлов кластера. Например: "Сан-Франциско", "Нью-Йорк" или "Даллас" |
6 | Во втором поле введите внутренний IP-адрес или полное доменное имя узла и нажмите Далее. Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем узла и доменом, которые использовались в разделе Настройка виртуальной машины безопасности данных гибридного типа. Отобразится сообщение о том, что узел можно зарегистрировать в Webex.
|
7. | Щелкните Перейти к узлу. |
8 | В предупреждающем сообщении нажмите Continue (Продолжить). Через несколько минут вы будете перенаправлены на тесты подключения узлов для служб Webex. Если все тесты прошли успешно, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Там вы подтверждаете, что хотите предоставить организации Webex полномочия на доступ к узлу.
|
9 | Установите флажок Разрешить доступ к узлу безопасности данных гибридного типа и нажмите Продолжить. Ваша учетная запись проверена, и в сообщении "Регистрация завершена" указывается, что ваш узел теперь зарегистрирован в облаке Webex.
|
10 | Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа Control Hub. На странице безопасности данных гибридного типа отображается новый кластер, содержащий зарегистрированный узел. Узел автоматически скачает последнюю версию программного обеспечения из облака.
|
Создание и регистрация дополнительных узлов
В настоящее время резервные виртуальные машины, созданные в разделе Complete the Prerequisites for Data Security гибридного типа, являются резервными хостами, которые используются только в случае аварийного восстановления. До этого времени они не регистрируются в системе. Дополнительные сведения см. в разделе Аварийное восстановление с помощью резервного центра обработки данных. |
Перед началом работы
Как только вы начнете регистрацию узла, вы должны завершить ее в течение 60 минут или начать заново.
Убедитесь, что все блокирующие всплывающие окна в браузере отключены или что для admin.webex.com разрешено исключение.
1. | Создайте новую виртуальную машину из OVA, повторив шаги, описанные в разделе Установка OVA узла HDS. |
2. | Настройте начальную конфигурацию новой виртуальной машины, повторив шаги, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа. |
3. | В новой виртуальной машине повторите шаги, описанные в разделе Загрузить и смонтировать конфигурацию HDS ISO. |
4. | При настройке прокси для развертывания повторите действия, описанные в разделе Настройка узла HDS для интеграции прокси , если это необходимо для нового узла. |
5 | Зарегистрируйте узел. Ваш узел зарегистрирован. Обратите внимание, что до начала пробной версии узлы генерируют сигнал о том, что служба еще не активирована.
|
Дальнейшие действия
Процесс выполнения пробной версии производственных задач
После настройки кластера безопасности данных гибридного типа можно запустить пилотный проект, добавить в него пользователей и начать использовать его для тестирования и проверки развертывания в рамках подготовки к переходу к производству.
Перед началом работы
1. | Если применимо, синхронизируйте Если в вашей организации используется синхронизация каталогов для пользователей, необходимо выбрать |
2. |
Начните пробную версию. Пока вы не выполните эту задачу, ваши узлы генерируют сигнал о том, что служба еще не активирована. |
3. | Тестирование развертывания системы безопасности данных гибридного типа Убедитесь в том, что ключевые запросы передаются в развертывание службы безопасности данных гибридного типа. |
4. | Мониторинг работоспособности системы безопасности данных гибридного типа Проверьте состояние и настройте электронные уведомления для сигналов тревоги. |
5 | |
6 | Завершите пробную фазу одним из следующих действий. |
Активировать пробную версию
Перед началом работы
Если в вашей организации используется синхронизация каталогов для пользователей, необходимо выбрать HdsTrialGroup
группировать объект для синхронизации с облаком, прежде чем начать пробную версию для вашей организации. Инструкции см. в руководстве по развертыванию соединителя каталогов Cisco.
1. | Войдите в https://admin.webex.com и выберите Службы. |
2. | В разделе Безопасность данных гибридного типа щелкните Настройки. |
3. | В разделе "Состояние службы" щелкните Начать пробную версию. Состояние службы меняется на пробный режим.
|
4. | Щелкните Добавить пользователей и введите адрес электронной почты одного или нескольких пользователей для экспериментального использования узлов безопасности данных гибридного типа для служб шифрования и индексации. (Если в вашей организации используется синхронизация каталогов, используйте Active Directory для управления пробной группой, |
Тестирование развертывания системы безопасности данных гибридного типа
Перед началом работы
Настройте развертывание службы безопасности данных гибридного типа.
Активируйте пробную версию и добавьте нескольких пользователей пробной версии.
Убедитесь, что у вас есть доступ к системному журналу, чтобы проверить, передаются ли ключевые запросы в развертывание службы безопасности данных гибридного типа.
1. | Ключи для определенного пространства устанавливаются создателем пространства. Войдите в приложение Webex в качестве одного из пилотных пользователей, затем создайте пространство и пригласите как минимум одного пилотного пользователя и одного непилотного пользователя.
| ||
2. | Отправка сообщений в новое пространство. | ||
3. | Проверьте вывод системного журнала, чтобы убедиться, что ключевые запросы передаются в развертывание службы безопасности данных гибридного типа. |
Мониторинг работоспособности системы безопасности данных гибридного типа
1. | В Control Hub выберите Службы в меню в левой части экрана. |
2. | В разделе служб гибридного типа найдите службу безопасности данных гибридного типа и щелкните Настройки. Отобразится страница параметров безопасности данных гибридного типа.
|
3. | В разделе «Электронные уведомления» введите один или несколько адресов электронной почты, разделенных запятыми, и нажмите Enter. |
Добавление или удаление пользователей из пробной версии
При удалении пользователя из пробной версии клиент пользователя запросит ключи и создание ключей в облачной KMS вместо KMS. Если клиенту необходим ключ, который хранится в вашей KMS, облачная KMS получит его от имени пользователя.
Если в вашей организации используется синхронизация каталогов, используйте Active Directory (вместо этой процедуры) для управления пробной группой. HdsTrialGroup
; вы можете просматривать участников группы в Control Hub, но не можете добавлять или удалять их.
1. | Войдите в Control Hub и выберите Службы. |
2. | В разделе Безопасность данных гибридного типа щелкните Настройки. |
3. | В разделе «Пробный режим» области «Состояние службы» щелкните Добавить пользователей или выберите просмотр и редактирование для удаления пользователей из пробной версии. |
4. | Введите адрес электронной почты одного или нескольких пользователей, которые необходимо добавить, или щелкните X по идентификатору пользователя, чтобы удалить пользователя из пробной версии. Затем щелкните Сохранить. |
Переход от пробной версии к производственной
1. | Войдите в Control Hub и выберите Службы. |
2. | В разделе Безопасность данных гибридного типа щелкните Настройки. |
3. | В разделе "Состояние службы" щелкните Переместить в производство. |
4. | Убедитесь в том, что необходимо переместить всех пользователей в производство. |
Завершение пробной версии без перехода к производству
1. | Войдите в Control Hub и выберите Службы. |
2. | В разделе Безопасность данных гибридного типа щелкните Настройки. |
3. | В разделе Деактивировать нажмите Деактивировать. |
4. | Подтвердите деактивацию службы и завершите пробную версию. |
Управление развертыванием HDS
Используйте описанные здесь задачи для управления развертыванием службы безопасности данных гибридного типа.
Задать график модернизации кластера
Чтобы задать график модернизации, выполните приведенные ниже действия.
1. | Войдите в Control Hub. |
2. | На странице "Обзор" в разделе "Службы гибридного типа" выберите Безопасность данных гибридного типа. |
3. | На странице "Ресурсы безопасности данных гибридного типа" выберите кластер. |
4. | На панели "Обзор" справа в разделе "Настройки кластера" выберите имя кластера. |
5 | На странице "Настройки" в разделе "Модернизация" выберите время и часовой пояс для расписания модернизации. Примечание. В часовом поясе отображаются дата и время следующей доступной модернизации. При необходимости модернизацию можно отложить на следующий день, щелкнув Отложить. |
Изменение конфигурации узла
Изменение сертификатов x.509 по истечении срока действия или по другим причинам.
Изменение доменного имени CN сертификата не поддерживается. Домен должен совпадать с исходным доменом, использованным для регистрации кластера.
Обновление настроек базы данных для работы с копией базы данных PostgreSQL или Microsoft SQL Server.
Перенос данных с PostgreSQL на Microsoft SQL Server или в обратном направлении не поддерживается. Чтобы переключить среду базы данных, начните новое развертывание службы безопасности данных гибридного типа.
Создание новой конфигурации для подготовки нового центра обработки данных.
Из соображений безопасности для учетных записей в службе безопасности данных гибридного типа используются пароли со сроком действия 9 месяцев. После того как инструмент настройки HDS создаст эти пароли, вам нужно будет развернуть их в каждом из своих узлов HDS в файле конфигурации ISO. При приближении даты окончания срока действия пароля команда Webex пришлет вам уведомление с запросом на сброс пароля учетной записи компьютера. (В сообщении электронной почты будет текст "Использование API учетной записи компьютера для обновления пароля".) Если срок действия паролей еще не истек, средство предоставляет два варианта.
Мягкий сброс. Старые и новые пароли работают в течение не более 10 дней. Используйте этот период для постепенной замены файла ISO на узлах.
Жесткий сброс. Старые пароли перестанут работать немедленно.
Если срок действия ваших паролей истекает без сброса, это влияет на работу вашей службы HDS. В этом случае требуется немедленный жесткий сброс и замена файла ISO на всех узлах.
Используйте эту процедуру, чтобы создать новый файл конфигурации ISO и применить его к кластеру.
Перед началом работы
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Control Hub с полными правами администратора вашей организации.
Если инструмент настройки HDS работает за прокси в вашей среде, укажите настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при переносе контейнера Docker в 1.e. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Для создания новой конфигурации потребуется копия текущего файла конфигурации ISO. Файл ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Файл ISO необходим для изменения конфигурации, в том числе учетных данных базы данных, обновления сертификатов или изменения политики авторизации.
1. | Запустите инструмент настройки HDS, используя Docker на локальной машине. |
2. | Если у вас запущен только один узел HDS, создайте новую виртуальную машину узла безопасности данных гибридного типа и зарегистрируйте ее с помощью нового файла конфигурации ISO. Более подробные инструкции см. в разделе Создание и регистрация дополнительных узлов. |
3. | Для существующих узлов HDS, в которых используется старый файл конфигурации, необходимо установить файл ISO. Выполните следующую процедуру для каждого узла по очереди, обновив каждый узел до выключения следующего узла. |
4. | Повторите шаг 3, чтобы заменить конфигурацию на каждом оставшемся узле со старой конфигурацией. |
Отключение режима блокировки разрешения внешних DNS
При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. Если DNS-сервер узла не может разрешать общедоступные имена DNS, узел автоматически переходит в режим блокировки разрешения внешних DNS.
Если узлы могут разрешать общедоступные имена DNS через внутренние DNS-серверы, можно отключить этот режим, повторно запустив тестирование подключения к прокси на каждом узле.
Перед началом работы
1. | В веб-браузере откройте интерфейс узла безопасности данных гибридного типа (например, IP-адрес или настройка, https://192.0.2.0/setup), введите учетные данные администратора, настроенные для узла, и щелкните Войти. |
2. | Перейдите к разделу Overview (Обзор) (страница по умолчанию). Если режим включен, параметр Blocked External DNS Resolution (Блокировка разрешения внешних DNS) должен иметь значение Yes (Да). |
3. | Перейдите на страницу Trust Store & Proxy (Зона доверия и прокси). |
4. | Щелкните Check Proxy Connection (Проверить соединение с прокси). Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу и он останется в этом режиме. В противном случае после перезапуска узла и возврата на страницу Overview (Обзор) параметр блокировки разрешения внешних DNS должен иметь значение No (Нет). |
Дальнейшие действия
Удаление узла
1. | Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi и выключения виртуальной машины. |
2. | Удалить узел. |
3. | В клиенте vSphere удалите виртуальную машину. (В левой панели навигации щелкните правой кнопкой мыши виртуальную машину и выберите Удалить.) Если вы не удалите виртуальную машину, не забудьте отключить файл конфигурации ISO. Без файла ISO вы не можете использовать виртуальную машину для доступа к данным безопасности. |
Аварийное восстановление с помощью резервного центра обработки данных
Наиболее важной службой, предоставляемой кластером безопасности данных гибридного типа, является создание и хранение ключей, используемых для шифрования сообщений и другого контента, хранящегося в облаке Webex. Для каждого пользователя в организации, которому назначена служба безопасности данных гибридного типа, запросы на создание новых ключей направляются в кластер. Кластер также отвечает за возврат созданных им ключей всем пользователям, авторизованным для их извлечения, например участникам пространства разговора.
Поскольку кластер выполняет критически важную функцию предоставления этих ключей, необходимо, чтобы кластер продолжал работать и чтобы поддерживалось надлежащее резервное копирование. Потеря базы данных безопасности данных гибридного типа или конфигурации ISO, используемой для схемы, приведет к НЕВОСПОЛНИМОЙ ПОТЕРЕ клиентского контента. Для предотвращения таких потерь обязательны следующие действия:
Если из-за сбоя развертывание HDS в основном центре обработки данных становится недоступным, выполните эту процедуру, чтобы вручную переключиться на резервный центр обработки данных.
1. | Запустите инструмент настройки HDS и выполните действия, указанные в разделе Создание конфигурации ISO для узлов HDS. | ||
2. | После настройки сервера Syslogd щелкните Расширенные настройки | ||
3. | На странице Расширенные настройки добавьте конфигурацию ниже или удалите
| ||
4. | Завершите процесс настройки и сохраните файл ISO в удобном для поиска местоположении. | ||
5 | Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервной копии. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничить доступ только тем администраторам безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию. | ||
6 | В левой панели навигации клиента VMware vSphere щелкните правой кнопкой мыши виртуальную машину и выберите Редактировать настройки.. | ||
7. | Щелкните Edit Settings >CD/DVD Drive 1 и выберите Datastore ISO File.
| ||
8 | Включите узел HDS и убедитесь в отсутствии аварийных сигналов в течение не менее 15 минут. | ||
9 | Повторите процесс для каждого узла в резервном центре обработки данных.
|
Дальнейшие действия
(Необязательно) Отсоедините ISO после конфигурации HDS
Стандартная конфигурация HDS работает с установленным ISO. Но некоторые клиенты предпочитают не оставлять файлы ISO постоянно монтируемые. Файл ISO можно отменить после того, как все узлы HDS получат новую конфигурацию.
Вы по-прежнему используете файлы ISO для изменения конфигурации. При создании нового ISO или обновлении ISO с помощью инструмента настройки необходимо установить обновленный ISO на всех узлах HDS. После того как все узлы подберут изменения конфигурации, с помощью этой процедуры можно снова отменить монтирование ISO.
Перед началом работы
Модернизируйте все узлы HDS до версии 2021.01.22.4720 или более поздней.
1. | Отключите один из узлов HDS. |
2. | В vCenter Server Appliance выберите узел HDS. |
3. | Выберите Datastore ISO File. и снимите флажок |
4. | Включите узел HDS и убедитесь в отсутствии аварийных сигналов в течение как минимум 20 минут. |
5 | Повторите для каждого узла HDS по очереди. |
Просмотр предупреждений и устранение неполадок
Развертывание службы безопасности данных гибридного типа считается недоступным, если все узлы в кластере недоступны или кластер работает так медленно, что запрашивает время ожидания. Если пользователи не могут подключиться к кластеру безопасности данных гибридного типа, у них появятся следующие симптомы.
Невозможно создать новые пространства (невозможно создать новые клавиши)
Не удалось расшифровать сообщения и названия пространств для:
Новые пользователи, добавленные в пространство (невозможно получить ключи)
Существующие пользователи в пространстве с использованием нового клиента (невозможно получить ключи)
Существующие пользователи в пространстве будут продолжать успешно работать, пока у их клиентов есть кэш ключей шифрования
Во избежание сбоев в работе службы важно надлежащим образом отслеживать кластер безопасности данных гибридного типа и оперативно реагировать на любые предупреждения.
Предупреждения
При возникновении проблем с настройкой безопасности данных гибридного типа Control Hub отображает предупреждения администратору организации и отправляет электронные сообщения на настроенный адрес электронной почты. Предупреждения охватывают многие распространенные сценарии.
Сигнал | Действие |
---|---|
Ошибка доступа к локальной базе данных. |
Проверьте наличие ошибок базы данных или проблем с локальной сетью. |
Сбой подключения локальной базы данных. |
Убедитесь, что сервер базы данных доступен, и в конфигурации узла использовались правильные учетные данные служебной учетной записи. |
Сбой доступа к облачной службе. |
Убедитесь, что узлы могут получить доступ к серверам Webex, как указано в требованиях к внешним подключениям. |
Возобновление регистрации облачной службы. |
Регистрация в облачных службах была отменена. Продолжается возобновление регистрации. |
Регистрация в облачной службе отменена. |
Регистрация в облачных службах прекращена. Сервис отключается. |
Служба еще не активирована. |
Активируйте пробную версию или завершите перемещение пробной версии в производство. |
Настроенный домен не соответствует сертификату сервера. |
Убедитесь, что сертификат сервера соответствует настроенному домену активации службы. Наиболее вероятной причиной является то, что сертификат CN был недавно изменен и теперь отличается от CN, который использовался при начальной настройке. |
Не удалось выполнить аутентификацию в облачных службах. |
Проверка точности и возможного истечения срока действия учетных данных учетной записи службы. |
Не удалось открыть файл локального хранилища ключей. |
Проверьте целостность и точность пароля в локальном файле хранилища ключей. |
Недопустимый сертификат локального сервера. |
Проверьте дату истечения срока действия сертификата сервера и убедитесь, что он был выпущен доверенным центром сертификации. |
Не удается опубликовать метрики. |
Проверьте доступ локальной сети к внешним облачным службам. |
каталог /media/configdrive/hds не существует. |
Проверьте конфигурацию подключения ISO на виртуальном узле. Убедитесь, что файл ISO существует, что он настроен на монтирование при перезагрузке и что он успешно монтируется. |
Устранение неполадок безопасности данных гибридного типа
1. | Просмотрите Control Hub на наличие предупреждений и исправьте все найденные в нем элементы. |
2. | Проверьте вывод сервера syslog для активности из развертывания службы безопасности данных гибридного типа. |
3. | Обратитесь в службу поддержки Cisco. |
Известные проблемы безопасности данных гибридного типа
При отключении кластера безопасности данных гибридного типа (удалении его в Control Hub или отключении всех узлов), потере файла конфигурации ISO или потере доступа к базе данных хранилища ключей пользователи приложения Webex больше не смогут использовать пространства в списке пользователей, созданные с помощью клавиш KMS. Это применимо как к пробному, так и к производственному развертыванию. В настоящее время у нас нет решения или решения этой проблемы. Мы настоятельно рекомендуем вам не закрывать службы HDS после обработки учетных записей активных пользователей.
Клиент, имеющий существующее подключение ECDH к KMS, поддерживает это подключение в течение определенного периода времени (вероятно, одного часа). Когда пользователь становится участником пробной версии безопасности данных гибридного типа, клиент пользователя продолжает использовать существующее соединение ECDH до истечения времени его истечения. Кроме того, пользователь может выйти из приложения Webex и вернуться в него, чтобы обновить местоположение, в котором приложение связывается с ключами шифрования.
Аналогичное поведение происходит при перемещении пробной версии в производство для организации. Все пользователи, не являющиеся пробными версиями, с существующими подключениями ECDH к предыдущим службам безопасности данных, будут продолжать использовать эти службы до тех пор, пока соединение ECDH не будет пересогласовано (через тайм-аут или путем выхода и повторного входа).
Использование OpenSSL для создания файла PKCS12
Перед началом работы
OpenSSL является одним из инструментов, который может быть использован для создания файла PKCS12 в надлежащем формате для загрузки в инструмент установки HDS. Есть и другие способы сделать это, и мы не поддерживаем и не продвигаем одну сторону.
Если вы решите использовать OpenSSL, мы предоставим эту процедуру в качестве руководства для создания файла, соответствующего требованиям сертификата X.509 в требованиях к сертификатам X.509. Прежде чем продолжить, ознакомьтесь с этими требованиями.
Установите OpenSSL в поддерживаемой среде. См. https://www.openssl.org программное обеспечение и документацию.
Создайте закрытый ключ.
Начните эту процедуру при получении сертификата сервера от центра сертификации (ЦС).
1. | При получении сертификата сервера из ЦС сохраните его как |
2. | Отобразите сертификат в виде текста и проверьте сведения.
|
3. | Используйте текстовый редактор для создания файла пакета сертификатов, который называется
|
4. | Создайте файл .p12 с дружественным именем
|
5 | Проверьте сведения о сертификате сервера. |
Дальнейшие действия
Вернитесь к разделу "Завершить предварительные требования для безопасности данных гибридного типа". Вы будете использовать hdsnode.p12
и пароль, заданный для него, в разделе Создание конфигурации ISO для узлов HDS.
Эти файлы можно использовать повторно для запроса нового сертификата по истечении срока действия оригинального сертификата. |
Трафик между узлами HDS и облаком
Трафик коллекции исходящих метрик
Узлы безопасности данных гибридного типа отправляют определенные метрики в облако Webex. К ним относятся системные метрики для максимальных значений кучи, используемой кучи, загрузки ЦП и количества потоков; метрики синхронных и асинхронных потоков; метрики предупреждений, включающие пороговое значение соединений шифрования, задержку или длину очереди запросов; метрики хранилища данных; и метрики подключения шифрования. Узлы отправляют зашифрованный ключ по каналу за пределами потока (отдельно от запроса).
Входящий Трафик
Узлы безопасности данных гибридного типа получают следующие типы входящего трафика из облака Webex.
Запросы на шифрование от клиентов, маршрутизируемые службой шифрования
Модернизация программного обеспечения узла
Настройка прокси Squid для безопасности данных гибридного типа
Невозможно выполнить подключение веб-сокетов через прокси Squid
Прокси-серверы Squid, проверяющие трафик HTTPS, могут препятствовать созданию веб-сокета ( wss:
) соединений, требуемых службой безопасности данных гибридного типа. В этих разделах содержится руководство по настройке различных версий Squid на игнорирование wss:
для обеспечения надлежащей работы служб.
Squid 4 и 5
Добавить on_unsupported_protocol
директива к squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Безопасность данных гибридного типа успешно протестирована с добавлением приведенных ниже правил. squid.conf
. Эти правила могут изменяться по мере разработки функций и обновления облака Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Новая и измененная информация
Дата | Внесенные изменения | ||
---|---|---|---|
20 октября 2023 г. |
| ||
07 августа 2023 г. |
| ||
23 мая 2023 г. |
| ||
06 декабря 2022 г. |
| ||
23 ноября 2022 г. |
| ||
13 октября 2021 г. | Перед установкой узлов HDS Docker Desktop необходимо запустить программу установки. См. Требования к рабочему столу Docker. | ||
24 июня 2021 г. | Отмечается, что для запроса другого сертификата можно повторно использовать файл закрытого ключа и представителя клиентской службы. Дополнительные сведения см. в разделе Использование OpenSSL для создания файла PKCS12. | ||
30 апреля 2021 г. | Изменено требование к виртуальной машине для локального места на жестком диске до 30 ГБ. Подробные сведения см. в разделе Требования к виртуальному организатору. | ||
24 февраля 2021 г. | Инструмент настройки HDS теперь может работать за прокси. Дополнительные сведения см. в разделе Создание ISO конфигурации для узлов HDS . | ||
2 февраля 2021 г. | Теперь HDS может работать без смонтированного файла ISO. Подробности см. в статье (Необязательно) Отключение ISO после конфигурации HDS. | ||
11 января 2021 г. | Добавлена информация о инструменте настройки HDS и прокси для создания конфигурации ISO для узлов HDS. | ||
13 октября 2020 г. | Обновлен раздел "Скачивание установочных файлов". | ||
8 октября 2020 г. | Обновлен параметр Создание ISO конфигурации для узлов HDS и Изменение конфигурации узла с помощью команд для сред FedRAMP. | ||
14 августа 2020 г. | Обновлен параметр Создание ISO конфигурации для узлов HDS и Изменение конфигурации узла с изменениями в процессе входа. | ||
5 августа 2020 г. | Обновлено тестирование развертывания службы безопасности данных гибридного типа на предмет изменений в сообщениях журнала. Обновлены требования к виртуальному организатору для удаления максимального количества организаторов. | ||
16 июня 2020 г. | Обновлено удаление узла для внесения изменений в пользовательский интерфейс Control Hub. | ||
4 июня 2020 г. | Обновлен параметр Создание ISO конфигурации для узлов HDS для изменений в расширенных настройках, которые можно задать. | ||
29 мая 2020 г. | Обновлено Create a Configuration ISO for the HDS Hosts , чтобы показать, что вы также можете использовать TLS с базами данных SQL Server, изменениями пользовательского интерфейса и другими разъяснениями. | ||
5 мая 2020 г. | Обновлены требования к виртуальному организатору для отображения новых требований ESXi 6.5. | ||
21 апреля 2020 г. | Обновлены требования к внешним подключениям с новыми хостами CI в Америке. | ||
1 апреля 2020 г. | Обновлены требования к внешним подключениям с информацией о региональных узлах CI. | ||
20 февраля 2020 г. | Обновлен параметр Создание конфигурации ISO для узлов HDS с информацией о новом дополнительном экране расширенных настроек в инструменте настройки HDS. | ||
4 февраля 2020 г. | Обновлены требования к прокси-серверу. | ||
16 декабря 2019 г. | Уточнено требование для режима блокировки разрешения внешнего DNS для работы в требованиях к прокси-серверу. | ||
19 ноября 2019 г. | Добавлена информация о режиме блокировки разрешения внешних DNS в следующих разделах: | ||
8 ноября 2019 г. | Теперь можно настроить параметры сети для узла во время развертывания OVA, а не после. Соответствующим образом обновлены следующие разделы:
| ||
6 сентября 2019 г. | Добавлен стандарт SQL Server в требования к серверу базы данных. | ||
29 августа 2019 г. | Добавлено приложение Настройка прокси Squid для безопасности данных гибридного типа с указаниями по настройке прокси Squid для игнорирования трафика веб-сокетов для надлежащей работы. | ||
20 августа 2019 г. | Добавлены и обновлены разделы, посвященные поддержке прокси для связи узлов безопасности данных гибридного типа с облаком Webex. Чтобы получить доступ только к контенту поддержки прокси для существующего развертывания, см. статью справки Поддержка прокси для безопасности данных гибридного типа и сетки видео Webex. | ||
13 июня 2019 г. | Обновлен процесс пробной версии до производственной задачи с напоминанием о синхронизации HdsTrialGroup группировать объект перед запуском пробной версии, если в вашей организации используется синхронизация каталога. | ||
6 марта 2019 г. |
| ||
28 февраля 2019 г. |
| ||
26 февраля 2019 г. |
| ||
24 января 2019 г. |
| ||
5 ноября 2018 г. |
| ||
19 октября 2018 г. |
| ||
31 июля 2018 г. |
| ||
21 мая 2018 г. | Изменена терминология для отражения ребрендинга Cisco Spark.
| ||
11 апреля 2018 г. |
| ||
22 февраля 2018 г. |
| ||
15 февраля 2018 г. |
| ||
18 января 2018 г. |
| ||
2 ноября 2017 г. |
| ||
18 августа 2017 г. | Впервые опубликовано |
Обзор безопасности данных гибридного типа
Безопасность данных с первого дня была главной задачей при разработке приложения Webex. Краеугольным камнем этой безопасности является сквозное шифрование контента, обеспечиваемое клиентами приложения Webex , взаимодействующими со службой управления ключами (KMS). KMS отвечает за создание и управление криптографическими ключами, которые используются клиентами для динамического шифрования и расшифровки сообщений и файлов.
По умолчанию все клиенты приложения Webex получают сквозное шифрование с помощью динамических ключей, хранящихся в облачной KMS в области безопасности Cisco. Служба безопасности данных гибридного типа перемещает KMS и другие функции безопасности в корпоративный центр обработки данных, поэтому доступ к ключам для зашифрованного контента будет только у вас.
Архитектура сферы безопасности
Облачная архитектура Webex разделяет различные типы служб на отдельные сферы или доверенные домены, как показано ниже.
Чтобы лучше понять безопасность данных гибридного типа, давайте рассмотрим пример чистого облака, в котором Cisco предоставляет все функции в облачных сферах. Служба удостоверений, единственное место, где пользователи могут напрямую коррелировать с их личной информацией, такой как адрес электронной почты, логически и физически отделена от сферы безопасности в центре обработки данных B. Обе службы, в свою очередь, отделены от сферы, где в конечном итоге хранится зашифрованный контент, в центре обработки данных C.
На этой схеме клиентом является приложение Webex, запущенное на ноутбуке пользователя и прошедшее аутентификацию с помощью службы удостоверений. Когда пользователь создает сообщение для отправки в пространство, выполняются следующие действия.
Клиент устанавливает безопасное соединение со службой управления ключами (KMS), затем запрашивает ключ для шифрования сообщения. Безопасное соединение использует ECDH, а KMS шифрует ключ с помощью главного ключа AES-256.
Сообщение зашифровано перед выходом из клиента. Клиент отправляет его в службу индексирования, которая создает зашифрованные индексы поиска для облегчения будущих поисков контента.
Зашифрованное сообщение отправляется в службу соответствия для проверки соответствия.
Зашифрованное сообщение хранится в области хранилища.
При развертывании службы безопасности данных гибридного типа функции области безопасности (KMS, индексация и соответствие требованиям) перемещаются в локальный центр обработки данных. Другие облачные службы, составляющие Webex (включая хранилище удостоверений и контента), остаются в сфере Cisco.
Сотрудничество с другими организациями
Пользователи в вашей организации могут регулярно использовать приложение Webex для совместной работы с внешними участниками в других организациях. Когда один из ваших пользователей запрашивает ключ для пространства, принадлежащего вашей организации (поскольку оно было создано одним из ваших пользователей), KMS отправляет ключ клиенту через защищенный канал ECDH. Однако если ключ для пространства принадлежит другой организации, ваша KMS маршрутизирует запрос в облако Webex через отдельный канал ECDH для получения ключа из соответствующей KMS, а затем возвращает ключ пользователю в исходном канале.
Служба KMS, запущенная в организации A, проверяет соединения с KMS в других организациях с помощью сертификатов PKI x.509. Подробные сведения о создании сертификата x.509 для использования с развертыванием службы безопасности данных гибридного типа см. в разделе Подготовка среды .
Ожидания развертывания системы безопасности данных гибридного типа
Развертывание службы безопасности данных гибридного типа требует значительных обязательств клиентов и осознания рисков, связанных с владением ключами шифрования.
Для развертывания службы безопасности данных гибридного типа необходимо предоставить:
Безопасный центр обработки данных в стране, являющейся поддерживаемым местоположением для планов Cisco Webex Teams.
Оборудование, программное обеспечение и доступ к сети описаны в разделе Подготовка среды.
Полная потеря ISO конфигурации, созданной для службы безопасности данных гибридного типа, или базы данных, которую вы предоставляете, приведет к потере ключей. Потеря ключа не позволяет пользователям расшифровать контент пространства и другие зашифрованные данные в приложении Webex. В этом случае можно создать новое развертывание, но будет отображаться только новый контент. Во избежание потери доступа к данным необходимо:
Управление резервным копированием и восстановлением базы данных и конфигурации ISO.
Будьте готовы выполнить быстрое аварийное восстановление при возникновении катастрофы, например сбой диска базы данных или аварийное завершение работы центра обработки данных.
Механизм возврата ключей в облако после развертывания HDS отсутствует. |
Процесс настройки высокого уровня
В этом документе описывается настройка и управление развертыванием службы безопасности данных гибридного типа.
Настройка безопасности данных гибридного типа. Это включает подготовку необходимой инфраструктуры и установку программного обеспечения безопасности данных гибридного типа, тестирование развертывания с помощью подмножества пользователей в пробном режиме и, по завершении тестирования, переход к производству. Это преобразует всю организацию для использования кластера безопасности данных гибридного типа для функций безопасности.
Этапы установки, тестирования и производства подробно описаны в следующих трех главах.
Поддерживайте развертывание службы безопасности данных гибридного типа: облако Webex автоматически обеспечивает текущую модернизацию. Ваш ИТ-отдел может предоставить поддержку первого уровня для этого развертывания и при необходимости задействовать службу поддержки Cisco. В Control Hub можно использовать экранные уведомления и настроить предупреждения на основе электронной почты.
Понимание общих предупреждений, шагов по устранению неполадок и известных проблем. При возникновении проблем при развертывании или использовании службы безопасности данных гибридного типа последняя глава этого руководства и приложение «Известные проблемы» могут помочь вам определить и устранить проблему.
Модель развертывания системы безопасности данных гибридного типа
В корпоративном центре обработки данных развертывается служба безопасности данных гибридного типа как единый кластер узлов на отдельных виртуальных узлах. Узлы взаимодействуют с облаком Webex через защищенные веб-сокеты и безопасный HTTP.
В процессе установки мы предоставляем вам файл OVA для настройки виртуального устройства на предоставленных вами виртуальных машинах. Инструмент настройки HDS используется для создания пользовательского файла конфигурации кластера ISO, который монтируется на каждом узле. Кластер безопасности данных гибридного типа использует предоставленный вами сервер Syslogd и базу данных PostgreSQL или Microsoft SQL Server. (Сведения о подключении к системному журналу и базе данных можно настроить в инструменте настройки HDS.)
Минимальное количество узлов, которые можно иметь в кластере, составляет два. Мы рекомендуем не менее трех, а вы можете иметь до пяти. Наличие нескольких узлов гарантирует, что служба не прерывается во время обновления программного обеспечения или других действий по техническому обслуживанию на узле. (Облако Webex одновременно обновляет только один узел.)
Все узлы в кластере получают доступ к одному хранилищу данных ключа и активность журнала на одном сервере системного журнала. Сами узлы являются апатридами и обрабатывают ключевые запросы круглыми путями в соответствии с указаниями облака.
Узлы становятся активными при их регистрации в Control Hub. Чтобы вывести отдельный узел из эксплуатации, его можно отменить регистрацию, а затем при необходимости повторно зарегистрировать.
Для каждой организации поддерживается только один кластер.
Пробный режим безопасности данных гибридного типа
После настройки развертывания службы безопасности данных гибридного типа попробуйте сначала с помощью набора пилотных пользователей. В течение пробного периода эти пользователи используют локальный домен безопасности данных гибридного типа для ключей шифрования и других служб безопасности. Другие пользователи продолжают использовать область облачной безопасности.
Если вы решите не продолжать развертывание во время пробной версии и деактивировать службу, пилотные пользователи и все пользователи, с которыми они взаимодействовали путем создания новых пространств в течение пробного периода, потеряют доступ к сообщениям и контенту. В приложении Webex будет отображено сообщение "Это сообщение невозможно расшифровать".
Если вы удовлетворены тем, что развертывание работает хорошо для пользователей пробной версии и готовы распространить службу безопасности данных гибридного типа на всех пользователей, развертывание будет перенесено в производство. Пилотные пользователи по-прежнему имеют доступ к ключам, которые использовались во время пробной версии. Однако вы не можете перемещаться между режимом производства и исходным пробным запуском. Если необходимо деактивировать службу, например для выполнения аварийного восстановления, при повторной активации необходимо запустить новую пробную версию и настроить набор пилотных пользователей для новой пробной версии, прежде чем вернуться в рабочий режим. Сохранение пользователями доступа к данным на данном этапе зависит от того, успешно ли выполнено резервное копирование хранилища ключевых данных и файла конфигурации ISO для узлов безопасности данных гибридного типа в кластере.
Резервный центр обработки данных для аварийного восстановления
Во время развертывания можно настроить безопасный резервный центр обработки данных. В случае аварийного состояния центра обработки данных можно вручную свернуть развертывание в резервный центр обработки данных.
Базы данных активных и резервных центров обработки данных синхронизированы друг с другом, что позволяет минимизировать время, затрачиваемое на отработку отказа. Файл ISO резервного центра обработки данных обновлен дополнительными конфигурациями, которые обеспечивают регистрацию узлов в организации, но не будут обрабатывать трафик. Таким образом, узлы резервного центра обработки данных всегда обновляются с новейшей версией программного обеспечения HDS.
Активные узлы безопасности данных гибридного типа должны всегда находиться в том же центре обработки данных, что и активный сервер базы данных. |
Настройка резервного центра обработки данных для аварийного восстановления
Чтобы настроить файл ISO резервного центра обработки данных, выполните приведенные ниже действия.
Перед началом работы
Резервный центр обработки данных должен отражать рабочую среду виртуальных машин и резервную базу данных PostgreSQL или Microsoft SQL Server. Например, если в производстве имеется 3 ВМ с узлами HDS, резервная среда должна иметь 3 ВМ. (Обзор этой модели отработки отказа см. в разделе Standby Data Center for Disaster Recovery .)
Убедитесь, что синхронизация базы данных включена между базой данных активных и пассивных узлов кластера.
1. | Запустите инструмент настройки HDS и выполните действия, указанные в разделе Создание конфигурации ISO для узлов HDS.
| ||
2. | После настройки сервера Syslogd щелкните Расширенные настройки | ||
3. | На странице Расширенные настройки добавьте конфигурацию ниже, чтобы перевести узел в пассивный режим. В этом режиме узел будет зарегистрирован в организации и подключен к облаку, но не будет обрабатывать трафик.
| ||
4. | Завершите процесс настройки и сохраните файл ISO в удобном для поиска местоположении. | ||
5 | Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервной копии. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничить доступ только тем администраторам безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию. | ||
6 | В левой панели навигации клиента VMware vSphere щелкните правой кнопкой мыши виртуальную машину и выберите Редактировать настройки.. | ||
7. | Щелкните Edit Settings >CD/DVD Drive 1 и выберите Datastore ISO File.
| ||
8 | Включите узел HDS и убедитесь в отсутствии аварийных сигналов в течение не менее 15 минут. | ||
9 | Повторите процесс для каждого узла в резервном центре обработки данных.
|
Дальнейшие действия
После настройки passiveMode
в файле ISO и сохраняя его, вы можете создать другую копию файла ISO без passiveMode
и сохраните его в безопасном местоположении. Эта копия файла ISO без passiveMode
настроенная система может помочь в быстром процессе отработки отказа во время аварийного восстановления. Подробную процедуру отработки отказа см. в разделе Аварийное восстановление с использованием резервного центра обработки данных .
Поддержка прокси
Служба безопасности данных гибридного типа поддерживает явные прокси, прозрачные прокси с проверкой и прокси без проверки. Чтобы обеспечить защиту и мониторинг трафика из сети предприятия в облако, можно связать эти прокси с развертыванием. После настройки прокси на узлах административный интерфейс платформы на узлах можно использовать для управления сертификатами и просмотра общего состояния соединений.
Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.
No proxy (Без прокси). Этот параметр применяется по умолчанию, если для интеграции прокси не используется конфигурация прокси и зоны доверия настройки узла HDS. Обновление сертификата не требуется.
Transparent non-inspecting proxy (Прозрачный прокси без проверки). Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.
Transparent tunneling or inspecting proxy (Прозрачный туннельный прокси или прокси с проверкой). Узлы не настроены для использования адреса определенного прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
Explicit proxy (Явный прокси). При использовании явного прокси необходимо указать прокси-сервер и схему аутентификации, которые должны использовать узлы HDS. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.
Proxy IP/FQDN (IP-адрес или FQDN прокси). Адрес, который можно использовать для доступа к прокси-машине.
Proxy Port (Порт прокси). Номер порта, который используется прокси для прослушивания трафика, передаваемого через прокси.
Proxy Protocol (Протокол прокси). Выберите протокол, поддерживаемый прокси-сервером. Доступные протоколы указаны ниже.
HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.
HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.
Authentication Type (Тип аутентификации). Выберите один из перечисленных ниже типов аутентификации.
None (Нет). Дальнейшая аутентификация не требуется.
Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
Basic (Базовая). Используется для оператора пользователя HTTP в целях предоставления имени пользователя и пароля при совершении запроса. Использует кодировку Base64.
Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
Требует ввода имени пользователя и пароля на каждом узле.
Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.
Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.
Требует ввода имени пользователя и пароля на каждом узле.
Пример узлов безопасности данных гибридного типа и прокси
На этой схеме представлен пример соединения между системой безопасности данных гибридного типа, сетью и прокси. При использовании прозрачного прокси с проверкой или явного прокси с проверкой HTTPS на прокси и узлы безопасности данных гибридного типа необходимо установить один и тот же корневой сертификат.
Режим блокировки разрешения внешних DNS (конфигурации явного прокси)
При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. В развертываниях с конфигурациями явного прокси, которые не допускают разрешения внешних DNS для внутренних клиентов, если узел не может посылать запросы на DNS-серверы, он автоматически переходит в режим блокировки разрешения внешних DNS. В этом режиме можно продолжить регистрацию узла и другие тестирования подключения к прокси.
Требования к безопасности данных гибридного типа
Требования к лицензии Cisco Webex
Развертывание службы безопасности данных гибридного типа.
У вас должен быть профессиональный пакет Cisco Webex Control Hub. (См. https://www.cisco.com/go/pro-pack.)
Требования к рабочему столу Docker
Перед установкой узлов HDS необходимо запустить программу установки Docker Desktop. Docker недавно обновил свою модель лицензирования. Вашей организации может потребоваться платная подписка на Docker Desktop. Подробности см. В сообщении блога Docker " Docker обновляет и расширяет подписки на наши продукты ".
Требования к сертификату X.509
Цепочка сертификатов должна отвечать следующим требованиям:
Требование | Сведения |
---|---|
| По умолчанию мы доверяем ЦС в списке Mozilla (за исключением WoSign и StartCom) по адресу https://wiki.mozilla.org/CA:IncludedCAs. |
| CN не должен быть доступным или быть в режиме реального времени организатором. Рекомендуется использовать название, которое отражает вашу организацию, например CN не должен содержать * (подстановочный знак). CN используется для проверки узлов безопасности данных гибридного типа для клиентов приложения Webex. Все узлы безопасности данных гибридного типа в кластере используют один и тот же сертификат. Ваш KMS идентифицирует себя с помощью домена CN, а не какого-либо домена, определенного в полях SAN x.509v3. После регистрации узла с этим сертификатом изменение имени домена CN не поддерживается. Выберите домен, который может применяться как к пробному, так и к производственному развертыванию. |
| Программное обеспечение KMS не поддерживает подписи SHA1 для проверки подключений к KMS других организаций. |
| Для изменения формата сертификата можно использовать конвертер, например OpenSSL. При запуске инструмента настройки HDS необходимо будет ввести пароль. |
Программное обеспечение KMS не обеспечивает принудительное использование ключей или расширенные ограничения использования ключей. Некоторые центры сертификации требуют, чтобы к каждому сертификату применялись расширенные ограничения использования ключей, такие как аутентификация сервера. Можно использовать аутентификацию сервера или другие настройки.
Требования к виртуальному организатору
К виртуальным узлам, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере, предъявляются следующие требования.
Не менее двух отдельных узлов (рекомендуется 3), расположенных в одном защищенном центре обработки данных
Установлен и запущен VMware ESXi 6.5 (или более поздняя версия).
Если у вас есть более ранняя версия ESXi, необходимо выполнить модернизацию.
Минимум 4 vCPU, 8 ГБ основной памяти, 30 ГБ локального дискового пространства на сервере
Требования к серверу базы данных
Создайте новую базу данных для хранения ключей. Не используйте базу данных по умолчанию. При установке приложения HDS создайте схему базы данных. |
Существует два варианта для сервера базы данных. Требования к каждому из них следующие:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Минимум 8 vCPU, 16 ГБ основной памяти, достаточное место на жестком диске и мониторинг, чтобы убедиться, что он не превышен (рекомендуется 2 ТБ, если вы хотите запустить базу данных в течение длительного времени без необходимости увеличения объема хранилища) | Минимум 8 vCPU, 16 ГБ основной памяти, достаточное место на жестком диске и мониторинг, чтобы убедиться, что он не превышен (рекомендуется 2 ТБ, если вы хотите запустить базу данных в течение длительного времени без необходимости увеличения объема хранилища) |
Программное обеспечение HDS в настоящее время устанавливает следующие версии драйверов для связи с сервером базы данных:
PostgreSQL | Microsoft SQL Server |
---|---|
Драйвер JDBC Postgres 42.2.5 | Драйвер JDBC SQL Server 4.6 Эта версия драйвера поддерживает SQL Server Always On ( Always On Failover Cluster Instances и Always On Availability groups). |
Дополнительные требования к аутентификации Windows в Microsoft SQL Server
Если вы хотите, чтобы узлы HDS использовали аутентификацию Windows для получения доступа к базе данных хранилища ключей на Microsoft SQL Server, в вашей среде необходима следующая конфигурация:
Узлы HDS, инфраструктура Active Directory и MS SQL Server должны синхронизироваться с NTP.
Учетная запись Windows, предоставленная узлам HDS, должна иметь доступ на чтение/запись к базе данных.
Серверы DNS, которые вы предоставляете узлам HDS, должны иметь возможность разрешить работу центра распределения ключей (KDC).
Экземпляр базы данных HDS можно зарегистрировать на сервере Microsoft SQL в качестве главного имени службы (SPN) в Active Directory. См. раздел Регистрация имени главного поставщика услуг для соединений Kerberos.
Инструмент настройки HDS, средство запуска HDS и локальный KMS должны использовать аутентификацию Windows для доступа к базе данных хранилища ключей. Они используют сведения из конфигурации ISO для создания SPN при запросе доступа с аутентификацией Kerberos.
Требования к внешним подключениям
Настройте брандмауэр таким образом, чтобы разрешить следующее подключение для приложений HDS.
Приложение | Protocol | Port (Порт) | Направление из приложения | Адресат |
---|---|---|---|---|
Узлы безопасности данных гибридного типа | TCP | 443 | Исходящие HTTPS и WSS |
|
инструмент настройки HDS | TCP | 443 | Исходящий HTTPS |
|
Узлы безопасности данных гибридного типа работают с преобразованием сетевого доступа (NAT) или за брандмауэром, если NAT или брандмауэр разрешает требуемые исходящие соединения с адресатами домена в предыдущей таблице. Для соединений, входящих в узлы безопасности данных гибридного типа, порты не должны быть видны из Интернета. В центре обработки данных клиентам необходим доступ к узлам безопасности данных гибридного типа на портах TCP 443 и 22 для административных целей. |
URL-адреса узлов общих параметров идентификации (CI) зависят от региона. Это текущие хосты CI:
Регион | URL-адреса общих узлов удостоверений |
---|---|
Северная и Южная Америка |
|
Европейский союз |
|
Канада |
|
Требования к прокси-серверу
Мы официально поддерживаем следующие решения для прокси, которые можно интегрировать с узлами безопасности данных гибридного типа:
для прозрачных прокси – Cisco Web Security Appliance (WSA);
для явных прокси – Squid.
Прокси Squid, выполняющие проверку HTTPS-трафика, могут влиять на установление соединений веб-сокетов (wss:) . Для решения этой проблемы см. раздел Настройка прокси-серверов Squid для безопасности данных гибридного типа.
Поддерживаются следующие комбинации типов аутентификации для явных прокси:
без аутентификации при использовании HTTP или HTTPS;
базовая аутентификация при использовании HTTP или HTTPS;
дайджест-аутентификация только при использовании HTTPS;
При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.
Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.
Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. При возникновении этой проблемы обход (без проверки) трафика на
wbx2.com
иciscospark.com
решит проблему.
Выполнение предварительных требований для безопасности данных гибридного типа
1. | Убедитесь, что для вашей организации Webex включена профессиональная версия Cisco Webex Control Hub, и получите учетные данные учетной записи с полными правами администратора организации. За помощью в этом процессе обратитесь к партнеру Cisco или менеджеру по работе с клиентами. | ||
2. | Выберите имя домена для развертывания HDS (например, | ||
3. | Подготовьте идентичные виртуальные хосты, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере. Необходимо, чтобы в одном защищенном центре обработки данных находились не менее двух отдельных узлов (рекомендуется 3), которые соответствуют требованиям, изложенным в требованиях к виртуальному узлу. | ||
4. | Подготовьте сервер базы данных, который будет выступать в качестве хранилища данных ключей для кластера в соответствии с требованиями к серверу базы данных. Сервер базы данных должен быть размещен в защищенном центре обработки данных с виртуальными хостами. | ||
5 | Для быстрого аварийного восстановления настройте резервную среду в другом центре обработки данных. Среда резервного копирования отражает рабочую среду виртуальных машин и сервера резервной базы данных. Например, если в производстве имеется 3 ВМ с узлами HDS, резервная среда должна иметь 3 ВМ. | ||
6 | Настройте хост системного журнала для сбора журналов с узлов в кластере. Соберите его сетевой адрес и порт системного журнала (по умолчанию UDP 514). | ||
7. | Создайте политику безопасного резервного копирования для узлов безопасности данных гибридного типа, сервера базы данных и узла системного журнала. Как минимум, чтобы предотвратить неизлечимую потерю данных, необходимо создать резервную копию базы данных и файла конфигурации ISO, созданного для узлов безопасности данных гибридного типа.
Клиенты приложения Webex кэшируют свои ключи, поэтому отключение может быть заметным не сразу, но со временем оно станет очевидным. Хотя временные отключения невозможно предотвратить, они могут быть восстановлены. Однако полная потеря (без резервных копий) базы данных или файла конфигурации ISO приведет к невосстановимым данным о клиенте. Ожидается, что операторы узлов безопасности данных гибридного типа будут вести частые резервные копии базы данных и файла конфигурации ISO, а также будут готовы восстановить центр обработки данных службы безопасности данных гибридного типа в случае катастрофического сбоя. | ||
8 | Убедитесь, что конфигурация брандмауэра обеспечивает подключение к узлам безопасности данных гибридного типа, как описано в требованиях к внешним подключениям. | ||
9 | Установите Docker ( https://www.docker.com) на любой локальной машине с поддерживаемой ОС (64-разрядная версия Microsoft Windows 10 Professional или Enterprise или Mac OSX Yosemite 10.10.3 или более поздняя версия) с веб-браузером, который может получить к нему доступ по ссылке http://127.0.0.1:8080. Экземпляр Docker используется для загрузки и запуска инструмента настройки HDS, который создает информацию о локальной конфигурации для всех узлов безопасности данных гибридного типа. Вашей организации может потребоваться лицензия Docker Desktop. Дополнительные сведения см. в разделе Требования к рабочему столу Docker. Чтобы установить и запустить инструмент настройки HDS, локальная машина должна иметь подключение, описанное в требованиях к внешним подключениям. | ||
10 | При интеграции прокси с безопасностью данных гибридного типа убедитесь, что он соответствует требованиям прокси-сервера. | ||
11 | Если в вашей организации используется синхронизация каталогов, создайте группу в Active Directory под названием
|
Процесс выполнения задач по развертыванию системы безопасности данных гибридного типа
Перед началом работы
1. |
Скачайте файл OVA на локальный компьютер для последующего использования. | ||
2. | Создание ISO конфигурации для узлов HDS Используйте инструмент настройки HDS для создания файла конфигурации ISO для узлов безопасности данных гибридного типа. | ||
3. |
Создайте виртуальную машину из файла OVA и выполните начальную конфигурацию, например сетевые настройки.
| ||
4. | Настройка виртуальной машины безопасности данных гибридного типа Войдите в консоль виртуальной машины и задайте учетные данные для входа. Настройте сетевые параметры узла, если они не были настроены во время развертывания OVA. | ||
5 | Загрузка и монтаж конфигурации HDS ISO Настройте виртуальную машину из файла конфигурации ISO, созданного с помощью инструмента настройки HDS. | ||
6 | Настройка узла HDS для интеграции прокси Если для сетевой среды требуется конфигурация прокси, укажите тип прокси, который будет использоваться для узла, и при необходимости добавьте сертификат прокси в доверенное хранилище. | ||
7. | Регистрация первого узла в кластере Зарегистрируйте виртуальную машину в облаке Cisco Webex в качестве узла безопасности данных гибридного типа. | ||
8 | Создание и регистрация дополнительных узлов Завершите настройку кластера. | ||
9 | Запустить пробную версию и перейти к производству (следующая глава) Пока вы не начнете пробную версию, ваши узлы будут генерировать сигнал о том, что ваша служба еще не активирована. |
Скачивание файлов установки
1. | Войдите в https://admin.webex.com и щелкните Службы. | ||||
2. | В разделе служб гибридного типа найдите карточку безопасности данных гибридного типа и щелкните Настройка. Если карточка отключена или вы ее не видите, обратитесь в команду по работе с клиентами или партнерскую организацию. Укажите номер своей учетной записи и попросите включить для вашей организации функцию безопасности данных гибридного типа. Чтобы найти номер учетной записи, щелкните шестеренку в правом верхнем углу рядом с названием организации.
| ||||
3. | Выберите Нет , чтобы указать, что узел еще не настроен, и нажмите Далее. Файл OVA автоматически начинает скачиваться. Сохраните файл в местоположении на компьютере.
| ||||
4. | При необходимости щелкните Открыть руководство по развертыванию , чтобы проверить, доступна ли более поздняя версия этого руководства. |
Создание ISO конфигурации для узлов HDS
Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем вы используете ISO для настройки узла безопасности данных гибридного типа.
Перед началом работы
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Control Hub с полными правами администратора вашей организации.
Если инструмент настройки HDS работает за прокси в вашей среде, укажите настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при переносе контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Созданный файл конфигурации ISO содержит главный ключ, шифрующий базу данных PostgreSQL или Microsoft SQL Server. Вам потребуется последняя копия этого файла при внесении изменений в конфигурацию, например:
учетные данные базы данных
Обновления сертификата
Изменения политики авторизации
Если вы планируете шифровать соединения с базой данных, настройте развертывание PostgreSQL или SQL Server для TLS.
1. | Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах:
В средах FedRAMP:
| ||||||||||||
2. | Чтобы войти в реестр образов Docker, введите следующее.
| ||||||||||||
3. | Введите в запросе пароля этот хеш:
| ||||||||||||
4. | Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах:
В средах FedRAMP:
| ||||||||||||
5 | По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". | ||||||||||||
6 |
Используйте веб-браузер для перехода к локальному узлу, Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. В этом инструменте отображается стандартная подсказка для входа в систему. | ||||||||||||
7. | По запросу введите учетные данные для входа администратора клиента Control Hub, а затем щелкните Войти, чтобы разрешить доступ к необходимым службам для безопасности данных гибридного типа. | ||||||||||||
8 | На странице обзора инструмента настройки щелкните Начало работы. | ||||||||||||
9 | На странице импорта ISO доступны следующие параметры:
| ||||||||||||
10 | Убедитесь, что сертификат X.509 соответствует требованиям, изложенным в требованиях к сертификатам X.509.
| ||||||||||||
11 | Введите адрес базы данных и учетную запись HDS для доступа к хранилищу данных ключа: | ||||||||||||
12 | Выберите режим подключения к базе данных TLS:
При загрузке корневого сертификата (при необходимости) и нажатии Continue (Продолжить) инструмент настройки HDS тестирует соединение TLS с сервером базы данных. Инструмент также выполняет проверку источника подписи сертификата и имени узла (если применимо). Если тест не будет пройден, в инструменте будет отображено сообщение об ошибке с описанием проблемы. Можно выбрать параметр игнорирования ошибки и продолжить настройку. (Из-за различий в подключении узлы HDS могут установить соединение TLS, даже если машина инструмента настройки HDS не сможет успешно протестировать его.) | ||||||||||||
13 | На странице «Системные журналы» настройте сервер Syslogd: | ||||||||||||
14 | (Необязательно) Значение по умолчанию для некоторых параметров подключения к базе данных можно изменить в расширенных настройках. Как правило, этот параметр является единственным, который можно изменить:
| ||||||||||||
15 | Щелкните Продолжить на экране Сброс пароля учетных записей службы . Срок службы паролей учетных записей службы составляет девять месяцев. Используйте этот экран, когда срок действия паролей близится к концу или вы хотите сбросить их, чтобы аннулировать предыдущие файлы ISO. | ||||||||||||
16 | Щелкните Скачать файл ISO. Сохраните файл в удобном для поиска местоположении. | ||||||||||||
17 | Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервной копии. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничить доступ только тем администраторам безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию. | ||||||||||||
18 | Чтобы выключить инструмент настройки, введите |
Дальнейшие действия
Создайте резервную копию файла конфигурации ISO. Она необходима для создания дополнительных узлов для восстановления или внесения изменений в конфигурацию. Если вы потеряете все копии файла ISO, вы также потеряете главный ключ. Восстановление ключей из базы данных PostgreSQL или Microsoft SQL Server невозможно.
У нас никогда нет копии этого ключа, и мы не можем помочь, если вы его потеряете. |
Установка OVA узла HDS
1. | Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi. | ||||||
2. | Выберите Файл > Развертывание шаблона OVF. | ||||||
3. | В мастере укажите расположение скачанного ранее файла OVA и щелкните Далее. | ||||||
4. | На Выберите имя и папку страница, введите Имя виртуальной машины для узла (например, HDS_Node_1) выберите местоположение, в котором может находиться развертывание узла виртуальной машины, а затем щелкните Далее. | ||||||
5 | На Выберите вычислительный ресурс выберите целевой вычислительный ресурс, а затем щелкните Далее. Выполняется проверка. После завершения отображаются сведения о шаблоне. | ||||||
6 | Проверьте сведения о шаблоне и щелкните Далее. | ||||||
7. | Если вас попросят выбрать конфигурацию ресурса в Конфигурация страница, щелкните 4 ЦП и щелкните Далее. | ||||||
8 | На Выбрать хранилище страница, щелкните Далее для принятия формата диска по умолчанию и политики хранения VM. | ||||||
9 | На Выбор сетей выберите параметр сети из списка записей, чтобы обеспечить желаемое подключение к виртуальной машине. | ||||||
10 | На странице Настройка шаблона настройте следующие сетевые параметры.
При необходимости можно пропустить конфигурацию сетевых настроек и выполнить действия, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа , чтобы настроить параметры на консоли узла.
| ||||||
11 | Щелкните правой кнопкой мыши виртуальную машину узла и выберите .Программное обеспечение безопасности данных гибридного типа устанавливается в качестве гостя на узле виртуальной машины. Теперь вы готовы войти в консоль и настроить узел. Рекомендации по устранению неисправностей Может возникнуть задержка в несколько минут до появления контейнеров узла. Во время первой загрузки на консоли появляется сообщение брандмауэра моста, во время которого невозможно войти в систему. |
Настройка виртуальной машины безопасности данных гибридного типа
Используйте эту процедуру для первого входа в консоль виртуальных машин узла безопасности данных гибридного типа и установки учетных данных для входа. Консоль также можно использовать для настройки сетевых параметров узла, если они не были настроены во время развертывания OVA.
1. | В клиенте VMware vSphere выберите VM узла безопасности данных гибридного типа и перейдите на вкладку Консоль . Виртуальная машина загружается, и появляется запрос на вход. Если запрос на вход не отображается, нажмите Enter.
|
2. | Для входа и изменения учетных данных используйте следующие логин и пароль по умолчанию. После первого входа в виртуальную машину необходимо изменить пароль администратора. |
3. | Если параметры сети уже настроены в разделе Установка узла HDS OVA, пропустите оставшуюся часть этой процедуры. В противном случае в главном меню выберите пункт Редактировать конфигурацию . |
4. | Настройте статическую конфигурацию с IP-адресом, маской, шлюзом и информацией о DNS. Ваш узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается. |
5 | (Необязательно) Измените имя узла, домен или серверы NTP, если это необходимо для соответствия политике сети. Вам не нужно настраивать домен в соответствии с доменом, который вы использовали для получения сертификата X.509. |
6 | Сохраните конфигурацию сети и перезагрузите виртуальную машину, чтобы изменения вступили в силу. |
Загрузка и монтаж конфигурации HDS ISO
Перед началом работы
Поскольку файл ISO содержит главный ключ, он должен быть раскрыт только на основании необходимости знать для доступа виртуальных машин безопасности данных гибридного типа и администраторов, которым может потребоваться внести изменения. Убедитесь, что доступ к хранилищу данных могут получить только эти администраторы.
1. | Загрузите файл ISO с компьютера: |
2. | Подключите файл ISO: |
Дальнейшие действия
Если требуется ИТ-политика, можно при необходимости отменить монтирование файла ISO после того, как все узлы выберут изменения конфигурации. Подробности см. в статье (Необязательно) Отключение ISO после конфигурации HDS.
Настройка узла HDS для интеграции прокси
Если в сетевой среде необходимо использовать прокси, воспользуйтесь этой процедурой, чтобы указать тип прокси, который нужно интегрировать со службой безопасности данных гибридного типа. При выборе прозрачного прокси с проверкой или явного прокси HTTPS можно использовать интерфейс узла для загрузки и установки корневого сертификата. Кроме того, в интерфейсе можно проверять соединение с прокси и устранять неполадки.
Перед началом работы
Обзор поддерживаемых параметров прокси см. в разделе Поддержка прокси .
1. | Введите URL настройки узла HDS |
2. | Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров.
В случае использования прозрачного прокси с проверкой, явного прокси HTTP с базовой аутентификацией или явного прокси HTTPS выполните указанные далее шаги. |
3. | Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси. Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку-шеврон, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить). |
4. | Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси). Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки. Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу. Такая проблема может возникнуть во многих конфигурациях явного прокси. Можно продолжить настройку, и узел будет работать в режиме блокировки разрешения внешних DNS. Если вы считаете, что это ошибка, выполните следующие действия, а затем увидите Отключить режим блокировки разрешения внешних DNS. |
5 | Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд. |
6 | Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке. Узел перезагрузится в течение нескольких минут. |
7. | После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом. Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси. |
Регистрация первого узла в кластере
При регистрации первого узла создается кластер, которому этот узел назначен. Кластер содержит один или несколько узлов, развернутых для обеспечения избыточности.
Перед началом работы
Как только вы начнете регистрацию узла, вы должны завершить ее в течение 60 минут или начать заново.
Убедитесь, что все блокирующие всплывающие окна в браузере отключены или что для admin.webex.com разрешено исключение.
1. | Войдите в https://admin.webex.com. |
2. | В меню в левой части экрана выберите Службы. |
3. | В разделе служб гибридного типа найдите службу безопасности данных гибридного типа и щелкните Настройка. Откроется страница "Регистрация узла безопасности данных гибридного типа".
|
4. | Выберите Да , чтобы указать, что узел настроен и готов его зарегистрировать, а затем нажмите Далее. |
5 | В первом поле введите имя кластера, которому необходимо назначить узел безопасности данных гибридного типа. Рекомендуется присвоить кластеру имя в зависимости от географического расположения узлов кластера. Например: "Сан-Франциско", "Нью-Йорк" или "Даллас" |
6 | Во втором поле введите внутренний IP-адрес или полное доменное имя узла и нажмите Далее. Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем узла и доменом, которые использовались в разделе Настройка виртуальной машины безопасности данных гибридного типа. Отобразится сообщение о том, что узел можно зарегистрировать в Webex.
|
7. | Щелкните Перейти к узлу. |
8 | В предупреждающем сообщении нажмите Continue (Продолжить). Через несколько минут вы будете перенаправлены на тесты подключения узлов для служб Webex. Если все тесты прошли успешно, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Там вы подтверждаете, что хотите предоставить организации Webex полномочия на доступ к узлу.
|
9 | Установите флажок Разрешить доступ к узлу безопасности данных гибридного типа и нажмите Продолжить. Ваша учетная запись проверена, и в сообщении "Регистрация завершена" указывается, что ваш узел теперь зарегистрирован в облаке Webex.
|
10 | Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа Control Hub. На странице безопасности данных гибридного типа отображается новый кластер, содержащий зарегистрированный узел. Узел автоматически скачает последнюю версию программного обеспечения из облака.
|
Создание и регистрация дополнительных узлов
В настоящее время резервные виртуальные машины, созданные в разделе Complete the Prerequisites for Data Security гибридного типа, являются резервными хостами, которые используются только в случае аварийного восстановления. До этого времени они не регистрируются в системе. Дополнительные сведения см. в разделе Аварийное восстановление с помощью резервного центра обработки данных. |
Перед началом работы
Как только вы начнете регистрацию узла, вы должны завершить ее в течение 60 минут или начать заново.
Убедитесь, что все блокирующие всплывающие окна в браузере отключены или что для admin.webex.com разрешено исключение.
1. | Создайте новую виртуальную машину из OVA, повторив шаги, описанные в разделе Установка OVA узла HDS. |
2. | Настройте начальную конфигурацию новой виртуальной машины, повторив шаги, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа. |
3. | В новой виртуальной машине повторите шаги, описанные в разделе Загрузить и смонтировать конфигурацию HDS ISO. |
4. | При настройке прокси для развертывания повторите действия, описанные в разделе Настройка узла HDS для интеграции прокси , если это необходимо для нового узла. |
5 | Зарегистрируйте узел. Ваш узел зарегистрирован. Обратите внимание, что до начала пробной версии узлы генерируют сигнал о том, что служба еще не активирована.
|
Дальнейшие действия
Процесс выполнения пробной версии производственных задач
После настройки кластера безопасности данных гибридного типа можно запустить пилотный проект, добавить в него пользователей и начать использовать его для тестирования и проверки развертывания в рамках подготовки к переходу к производству.
Перед началом работы
1. | Если применимо, синхронизируйте Если в вашей организации используется синхронизация каталогов для пользователей, необходимо выбрать |
2. |
Начните пробную версию. Пока вы не выполните эту задачу, ваши узлы генерируют сигнал о том, что служба еще не активирована. |
3. | Тестирование развертывания системы безопасности данных гибридного типа Убедитесь в том, что ключевые запросы передаются в развертывание службы безопасности данных гибридного типа. |
4. | Мониторинг работоспособности системы безопасности данных гибридного типа Проверьте состояние и настройте электронные уведомления для сигналов тревоги. |
5 | |
6 | Завершите пробную фазу одним из следующих действий. |
Активировать пробную версию
Перед началом работы
Если в вашей организации используется синхронизация каталогов для пользователей, необходимо выбрать HdsTrialGroup
группировать объект для синхронизации с облаком, прежде чем начать пробную версию для вашей организации. Инструкции см. в руководстве по развертыванию соединителя каталогов Cisco.
1. | Войдите в https://admin.webex.com и выберите Службы. |
2. | В разделе Безопасность данных гибридного типа щелкните Настройки. |
3. | В разделе "Состояние службы" щелкните Начать пробную версию. Состояние службы меняется на пробный режим.
|
4. | Щелкните Добавить пользователей и введите адрес электронной почты одного или нескольких пользователей для экспериментального использования узлов безопасности данных гибридного типа для служб шифрования и индексации. (Если в вашей организации используется синхронизация каталогов, используйте Active Directory для управления пробной группой, |
Тестирование развертывания системы безопасности данных гибридного типа
Перед началом работы
Настройте развертывание службы безопасности данных гибридного типа.
Активируйте пробную версию и добавьте нескольких пользователей пробной версии.
Убедитесь, что у вас есть доступ к системному журналу, чтобы проверить, передаются ли ключевые запросы в развертывание службы безопасности данных гибридного типа.
1. | Ключи для определенного пространства устанавливаются создателем пространства. Войдите в приложение Webex в качестве одного из пилотных пользователей, затем создайте пространство и пригласите как минимум одного пилотного пользователя и одного непилотного пользователя.
| ||
2. | Отправка сообщений в новое пространство. | ||
3. | Проверьте вывод системного журнала, чтобы убедиться, что ключевые запросы передаются в развертывание службы безопасности данных гибридного типа. |
Мониторинг работоспособности системы безопасности данных гибридного типа
1. | В Control Hub выберите Службы в меню в левой части экрана. |
2. | В разделе служб гибридного типа найдите службу безопасности данных гибридного типа и щелкните Настройки. Отобразится страница параметров безопасности данных гибридного типа.
|
3. | В разделе «Электронные уведомления» введите один или несколько адресов электронной почты, разделенных запятыми, и нажмите Enter. |
Добавление или удаление пользователей из пробной версии
При удалении пользователя из пробной версии клиент пользователя запросит ключи и создание ключей в облачной KMS вместо KMS. Если клиенту необходим ключ, который хранится в вашей KMS, облачная KMS получит его от имени пользователя.
Если в вашей организации используется синхронизация каталогов, используйте Active Directory (вместо этой процедуры) для управления пробной группой. HdsTrialGroup
; вы можете просматривать участников группы в Control Hub, но не можете добавлять или удалять их.
1. | Войдите в Control Hub и выберите Службы. |
2. | В разделе Безопасность данных гибридного типа щелкните Настройки. |
3. | В разделе «Пробный режим» области «Состояние службы» щелкните Добавить пользователей или выберите просмотр и редактирование для удаления пользователей из пробной версии. |
4. | Введите адрес электронной почты одного или нескольких пользователей, которые необходимо добавить, или щелкните X по идентификатору пользователя, чтобы удалить пользователя из пробной версии. Затем щелкните Сохранить. |
Переход от пробной версии к производственной
1. | Войдите в Control Hub и выберите Службы. |
2. | В разделе Безопасность данных гибридного типа щелкните Настройки. |
3. | В разделе "Состояние службы" щелкните Переместить в производство. |
4. | Убедитесь в том, что необходимо переместить всех пользователей в производство. |
Завершение пробной версии без перехода к производству
1. | Войдите в Control Hub и выберите Службы. |
2. | В разделе Безопасность данных гибридного типа щелкните Настройки. |
3. | В разделе Деактивировать нажмите Деактивировать. |
4. | Подтвердите деактивацию службы и завершите пробную версию. |
Управление развертыванием HDS
Используйте описанные здесь задачи для управления развертыванием службы безопасности данных гибридного типа.
Задать график модернизации кластера
Чтобы задать график модернизации, выполните приведенные ниже действия.
1. | Войдите в Control Hub. |
2. | На странице "Обзор" в разделе "Службы гибридного типа" выберите Безопасность данных гибридного типа. |
3. | На странице "Ресурсы безопасности данных гибридного типа" выберите кластер. |
4. | На панели "Обзор" справа в разделе "Настройки кластера" выберите имя кластера. |
5 | На странице "Настройки" в разделе "Модернизация" выберите время и часовой пояс для расписания модернизации. Примечание. В часовом поясе отображаются дата и время следующей доступной модернизации. При необходимости модернизацию можно отложить на следующий день, щелкнув Отложить. |
Изменение конфигурации узла
Изменение сертификатов x.509 по истечении срока действия или по другим причинам.
Изменение доменного имени CN сертификата не поддерживается. Домен должен совпадать с исходным доменом, использованным для регистрации кластера.
Обновление настроек базы данных для работы с копией базы данных PostgreSQL или Microsoft SQL Server.
Перенос данных с PostgreSQL на Microsoft SQL Server или в обратном направлении не поддерживается. Чтобы переключить среду базы данных, начните новое развертывание службы безопасности данных гибридного типа.
Создание новой конфигурации для подготовки нового центра обработки данных.
Из соображений безопасности для учетных записей в службе безопасности данных гибридного типа используются пароли со сроком действия 9 месяцев. После того как инструмент настройки HDS создаст эти пароли, вам нужно будет развернуть их в каждом из своих узлов HDS в файле конфигурации ISO. При приближении даты окончания срока действия пароля команда Webex пришлет вам уведомление с запросом на сброс пароля учетной записи компьютера. (В сообщении электронной почты будет текст "Использование API учетной записи компьютера для обновления пароля".) Если срок действия паролей еще не истек, средство предоставляет два варианта.
Мягкий сброс. Старые и новые пароли работают в течение не более 10 дней. Используйте этот период для постепенной замены файла ISO на узлах.
Жесткий сброс. Старые пароли перестанут работать немедленно.
Если срок действия ваших паролей истекает без сброса, это влияет на работу вашей службы HDS. В этом случае требуется немедленный жесткий сброс и замена файла ISO на всех узлах.
Используйте эту процедуру, чтобы создать новый файл конфигурации ISO и применить его к кластеру.
Перед началом работы
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Control Hub с полными правами администратора вашей организации.
Если инструмент настройки HDS работает за прокси в вашей среде, укажите настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при переносе контейнера Docker в 1.e. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Для создания новой конфигурации потребуется копия текущего файла конфигурации ISO. Файл ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Файл ISO необходим для изменения конфигурации, в том числе учетных данных базы данных, обновления сертификатов или изменения политики авторизации.
1. | Запустите инструмент настройки HDS, используя Docker на локальной машине. |
2. | Если у вас запущен только один узел HDS, создайте новую виртуальную машину узла безопасности данных гибридного типа и зарегистрируйте ее с помощью нового файла конфигурации ISO. Более подробные инструкции см. в разделе Создание и регистрация дополнительных узлов. |
3. | Для существующих узлов HDS, в которых используется старый файл конфигурации, необходимо установить файл ISO. Выполните следующую процедуру для каждого узла по очереди, обновив каждый узел до выключения следующего узла. |
4. | Повторите шаг 3, чтобы заменить конфигурацию на каждом оставшемся узле со старой конфигурацией. |
Отключение режима блокировки разрешения внешних DNS
При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. Если DNS-сервер узла не может разрешать общедоступные имена DNS, узел автоматически переходит в режим блокировки разрешения внешних DNS.
Если узлы могут разрешать общедоступные имена DNS через внутренние DNS-серверы, можно отключить этот режим, повторно запустив тестирование подключения к прокси на каждом узле.
Перед началом работы
1. | В веб-браузере откройте интерфейс узла безопасности данных гибридного типа (например, IP-адрес или настройка, https://192.0.2.0/setup), введите учетные данные администратора, настроенные для узла, и щелкните Войти. |
2. | Перейдите к разделу Overview (Обзор) (страница по умолчанию). Если режим включен, параметр Blocked External DNS Resolution (Блокировка разрешения внешних DNS) должен иметь значение Yes (Да). |
3. | Перейдите на страницу Trust Store & Proxy (Зона доверия и прокси). |
4. | Щелкните Check Proxy Connection (Проверить соединение с прокси). Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу и он останется в этом режиме. В противном случае после перезапуска узла и возврата на страницу Overview (Обзор) параметр блокировки разрешения внешних DNS должен иметь значение No (Нет). |
Дальнейшие действия
Удаление узла
1. | Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi и выключения виртуальной машины. |
2. | Удалить узел. |
3. | В клиенте vSphere удалите виртуальную машину. (В левой панели навигации щелкните правой кнопкой мыши виртуальную машину и выберите Удалить.) Если вы не удалите виртуальную машину, не забудьте отключить файл конфигурации ISO. Без файла ISO вы не можете использовать виртуальную машину для доступа к данным безопасности. |
Аварийное восстановление с помощью резервного центра обработки данных
Наиболее важной службой, предоставляемой кластером безопасности данных гибридного типа, является создание и хранение ключей, используемых для шифрования сообщений и другого контента, хранящегося в облаке Webex. Для каждого пользователя в организации, которому назначена служба безопасности данных гибридного типа, запросы на создание новых ключей направляются в кластер. Кластер также отвечает за возврат созданных им ключей всем пользователям, авторизованным для их извлечения, например участникам пространства разговора.
Поскольку кластер выполняет критически важную функцию предоставления этих ключей, необходимо, чтобы кластер продолжал работать и чтобы поддерживалось надлежащее резервное копирование. Потеря базы данных безопасности данных гибридного типа или конфигурации ISO, используемой для схемы, приведет к НЕВОСПОЛНИМОЙ ПОТЕРЕ клиентского контента. Для предотвращения таких потерь обязательны следующие действия:
Если из-за сбоя развертывание HDS в основном центре обработки данных становится недоступным, выполните эту процедуру, чтобы вручную переключиться на резервный центр обработки данных.
1. | Запустите инструмент настройки HDS и выполните действия, указанные в разделе Создание конфигурации ISO для узлов HDS. | ||
2. | После настройки сервера Syslogd щелкните Расширенные настройки | ||
3. | На странице Расширенные настройки добавьте конфигурацию ниже или удалите
| ||
4. | Завершите процесс настройки и сохраните файл ISO в удобном для поиска местоположении. | ||
5 | Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервной копии. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничить доступ только тем администраторам безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию. | ||
6 | В левой панели навигации клиента VMware vSphere щелкните правой кнопкой мыши виртуальную машину и выберите Редактировать настройки.. | ||
7. | Щелкните Edit Settings >CD/DVD Drive 1 и выберите Datastore ISO File.
| ||
8 | Включите узел HDS и убедитесь в отсутствии аварийных сигналов в течение не менее 15 минут. | ||
9 | Повторите процесс для каждого узла в резервном центре обработки данных.
|
Дальнейшие действия
(Необязательно) Отсоедините ISO после конфигурации HDS
Стандартная конфигурация HDS работает с установленным ISO. Но некоторые клиенты предпочитают не оставлять файлы ISO постоянно монтируемые. Файл ISO можно отменить после того, как все узлы HDS получат новую конфигурацию.
Вы по-прежнему используете файлы ISO для изменения конфигурации. При создании нового ISO или обновлении ISO с помощью инструмента настройки необходимо установить обновленный ISO на всех узлах HDS. После того как все узлы подберут изменения конфигурации, с помощью этой процедуры можно снова отменить монтирование ISO.
Перед началом работы
Модернизируйте все узлы HDS до версии 2021.01.22.4720 или более поздней.
1. | Отключите один из узлов HDS. |
2. | В vCenter Server Appliance выберите узел HDS. |
3. | Выберите Datastore ISO File. и снимите флажок |
4. | Включите узел HDS и убедитесь в отсутствии аварийных сигналов в течение как минимум 20 минут. |
5 | Повторите для каждого узла HDS по очереди. |
Просмотр предупреждений и устранение неполадок
Развертывание службы безопасности данных гибридного типа считается недоступным, если все узлы в кластере недоступны или кластер работает так медленно, что запрашивает время ожидания. Если пользователи не могут подключиться к кластеру безопасности данных гибридного типа, у них появятся следующие симптомы.
Невозможно создать новые пространства (невозможно создать новые клавиши)
Не удалось расшифровать сообщения и названия пространств для:
Новые пользователи, добавленные в пространство (невозможно получить ключи)
Существующие пользователи в пространстве с использованием нового клиента (невозможно получить ключи)
Существующие пользователи в пространстве будут продолжать успешно работать, пока у их клиентов есть кэш ключей шифрования
Во избежание сбоев в работе службы важно надлежащим образом отслеживать кластер безопасности данных гибридного типа и оперативно реагировать на любые предупреждения.
Предупреждения
При возникновении проблем с настройкой безопасности данных гибридного типа Control Hub отображает предупреждения администратору организации и отправляет электронные сообщения на настроенный адрес электронной почты. Предупреждения охватывают многие распространенные сценарии.
Сигнал | Действие |
---|---|
Ошибка доступа к локальной базе данных. |
Проверьте наличие ошибок базы данных или проблем с локальной сетью. |
Сбой подключения локальной базы данных. |
Убедитесь, что сервер базы данных доступен, и в конфигурации узла использовались правильные учетные данные служебной учетной записи. |
Сбой доступа к облачной службе. |
Убедитесь, что узлы могут получить доступ к серверам Webex, как указано в требованиях к внешним подключениям. |
Возобновление регистрации облачной службы. |
Регистрация в облачных службах была отменена. Продолжается возобновление регистрации. |
Регистрация в облачной службе отменена. |
Регистрация в облачных службах прекращена. Сервис отключается. |
Служба еще не активирована. |
Активируйте пробную версию или завершите перемещение пробной версии в производство. |
Настроенный домен не соответствует сертификату сервера. |
Убедитесь, что сертификат сервера соответствует настроенному домену активации службы. Наиболее вероятной причиной является то, что сертификат CN был недавно изменен и теперь отличается от CN, который использовался при начальной настройке. |
Не удалось выполнить аутентификацию в облачных службах. |
Проверка точности и возможного истечения срока действия учетных данных учетной записи службы. |
Не удалось открыть файл локального хранилища ключей. |
Проверьте целостность и точность пароля в локальном файле хранилища ключей. |
Недопустимый сертификат локального сервера. |
Проверьте дату истечения срока действия сертификата сервера и убедитесь, что он был выпущен доверенным центром сертификации. |
Не удается опубликовать метрики. |
Проверьте доступ локальной сети к внешним облачным службам. |
каталог /media/configdrive/hds не существует. |
Проверьте конфигурацию подключения ISO на виртуальном узле. Убедитесь, что файл ISO существует, что он настроен на монтирование при перезагрузке и что он успешно монтируется. |
Устранение неполадок безопасности данных гибридного типа
1. | Просмотрите Control Hub на наличие предупреждений и исправьте все найденные в нем элементы. |
2. | Проверьте вывод сервера syslog для активности из развертывания службы безопасности данных гибридного типа. |
3. | Обратитесь в службу поддержки Cisco. |
Известные проблемы безопасности данных гибридного типа
При отключении кластера безопасности данных гибридного типа (удалении его в Control Hub или отключении всех узлов), потере файла конфигурации ISO или потере доступа к базе данных хранилища ключей пользователи приложения Webex больше не смогут использовать пространства в списке пользователей, созданные с помощью клавиш KMS. Это применимо как к пробному, так и к производственному развертыванию. В настоящее время у нас нет решения или решения этой проблемы. Мы настоятельно рекомендуем вам не закрывать службы HDS после обработки учетных записей активных пользователей.
Клиент, имеющий существующее подключение ECDH к KMS, поддерживает это подключение в течение определенного периода времени (вероятно, одного часа). Когда пользователь становится участником пробной версии безопасности данных гибридного типа, клиент пользователя продолжает использовать существующее соединение ECDH до истечения времени его истечения. Кроме того, пользователь может выйти из приложения Webex и вернуться в него, чтобы обновить местоположение, в котором приложение связывается с ключами шифрования.
Аналогичное поведение происходит при перемещении пробной версии в производство для организации. Все пользователи, не являющиеся пробными версиями, с существующими подключениями ECDH к предыдущим службам безопасности данных, будут продолжать использовать эти службы до тех пор, пока соединение ECDH не будет пересогласовано (через тайм-аут или путем выхода и повторного входа).
Использование OpenSSL для создания файла PKCS12
Перед началом работы
OpenSSL является одним из инструментов, который может быть использован для создания файла PKCS12 в надлежащем формате для загрузки в инструмент установки HDS. Есть и другие способы сделать это, и мы не поддерживаем и не продвигаем одну сторону.
Если вы решите использовать OpenSSL, мы предоставим эту процедуру в качестве руководства для создания файла, соответствующего требованиям сертификата X.509 в требованиях к сертификатам X.509. Прежде чем продолжить, ознакомьтесь с этими требованиями.
Установите OpenSSL в поддерживаемой среде. См. https://www.openssl.org программное обеспечение и документацию.
Создайте закрытый ключ.
Начните эту процедуру при получении сертификата сервера от центра сертификации (ЦС).
1. | При получении сертификата сервера из ЦС сохраните его как |
2. | Отобразите сертификат в виде текста и проверьте сведения.
|
3. | Используйте текстовый редактор для создания файла пакета сертификатов, который называется
|
4. | Создайте файл .p12 с дружественным именем
|
5 | Проверьте сведения о сертификате сервера. |
Дальнейшие действия
Вернитесь к разделу "Завершить предварительные требования для безопасности данных гибридного типа". Вы будете использовать hdsnode.p12
и пароль, заданный для него, в разделе Создание конфигурации ISO для узлов HDS.
Эти файлы можно использовать повторно для запроса нового сертификата по истечении срока действия оригинального сертификата. |
Трафик между узлами HDS и облаком
Трафик коллекции исходящих метрик
Узлы безопасности данных гибридного типа отправляют определенные метрики в облако Webex. К ним относятся системные метрики для максимальных значений кучи, используемой кучи, загрузки ЦП и количества потоков; метрики синхронных и асинхронных потоков; метрики предупреждений, включающие пороговое значение соединений шифрования, задержку или длину очереди запросов; метрики хранилища данных; и метрики подключения шифрования. Узлы отправляют зашифрованный ключ по каналу за пределами потока (отдельно от запроса).
Входящий Трафик
Узлы безопасности данных гибридного типа получают следующие типы входящего трафика из облака Webex.
Запросы на шифрование от клиентов, маршрутизируемые службой шифрования
Модернизация программного обеспечения узла
Настройка прокси Squid для безопасности данных гибридного типа
Невозможно выполнить подключение веб-сокетов через прокси Squid
Прокси-серверы Squid, проверяющие трафик HTTPS, могут препятствовать созданию веб-сокета ( wss:
) соединений, требуемых службой безопасности данных гибридного типа. В этих разделах содержится руководство по настройке различных версий Squid на игнорирование wss:
для обеспечения надлежащей работы служб.
Squid 4 и 5
Добавить on_unsupported_protocol
директива к squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Безопасность данных гибридного типа успешно протестирована с добавлением приведенных ниже правил. squid.conf
. Эти правила могут изменяться по мере разработки функций и обновления облака Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Новая и измененная информация
Дата | Внесенные изменения | ||
---|---|---|---|
20 октября 2023 г. |
| ||
07 августа 2023 г. |
| ||
23 мая 2023 г. |
| ||
06 декабря 2022 г. |
| ||
23 ноября 2022 г. |
| ||
13 октября 2021 г. | Перед установкой узлов HDS Docker Desktop необходимо запустить программу установки. См. Требования к рабочему столу Docker. | ||
24 июня 2021 г. | Отмечается, что для запроса другого сертификата можно повторно использовать файл закрытого ключа и представителя клиентской службы. Дополнительные сведения см. в разделе Использование OpenSSL для создания файла PKCS12. | ||
30 апреля 2021 г. | Изменено требование к виртуальной машине для локального места на жестком диске до 30 ГБ. Подробные сведения см. в разделе Требования к виртуальному организатору. | ||
24 февраля 2021 г. | Инструмент настройки HDS теперь может работать за прокси. Дополнительные сведения см. в разделе Создание ISO конфигурации для узлов HDS . | ||
2 февраля 2021 г. | Теперь HDS может работать без смонтированного файла ISO. Подробности см. в статье (Необязательно) Отключение ISO после конфигурации HDS. | ||
11 января 2021 г. | Добавлена информация о инструменте настройки HDS и прокси для создания конфигурации ISO для узлов HDS. | ||
13 октября 2020 г. | Обновлен раздел "Скачивание установочных файлов". | ||
8 октября 2020 г. | Обновлен параметр Создание ISO конфигурации для узлов HDS и Изменение конфигурации узла с помощью команд для сред FedRAMP. | ||
14 августа 2020 г. | Обновлен параметр Создание ISO конфигурации для узлов HDS и Изменение конфигурации узла с изменениями в процессе входа. | ||
5 августа 2020 г. | Обновлено тестирование развертывания службы безопасности данных гибридного типа на предмет изменений в сообщениях журнала. Обновлены требования к виртуальному организатору для удаления максимального количества организаторов. | ||
16 июня 2020 г. | Обновлено удаление узла для внесения изменений в пользовательский интерфейс Control Hub. | ||
4 июня 2020 г. | Обновлен параметр Создание ISO конфигурации для узлов HDS для изменений в расширенных настройках, которые можно задать. | ||
29 мая 2020 г. | Обновлено Create a Configuration ISO for the HDS Hosts , чтобы показать, что вы также можете использовать TLS с базами данных SQL Server, изменениями пользовательского интерфейса и другими разъяснениями. | ||
5 мая 2020 г. | Обновлены требования к виртуальному организатору для отображения новых требований ESXi 6.5. | ||
21 апреля 2020 г. | Обновлены требования к внешним подключениям с новыми хостами CI в Америке. | ||
1 апреля 2020 г. | Обновлены требования к внешним подключениям с информацией о региональных узлах CI. | ||
20 февраля 2020 г. | Обновлен параметр Создание конфигурации ISO для узлов HDS с информацией о новом дополнительном экране расширенных настроек в инструменте настройки HDS. | ||
4 февраля 2020 г. | Обновлены требования к прокси-серверу. | ||
16 декабря 2019 г. | Уточнено требование для режима блокировки разрешения внешнего DNS для работы в требованиях к прокси-серверу. | ||
19 ноября 2019 г. | Добавлена информация о режиме блокировки разрешения внешних DNS в следующих разделах: | ||
8 ноября 2019 г. | Теперь можно настроить параметры сети для узла во время развертывания OVA, а не после. Соответствующим образом обновлены следующие разделы:
| ||
6 сентября 2019 г. | Добавлен стандарт SQL Server в требования к серверу базы данных. | ||
29 августа 2019 г. | Добавлено приложение Настройка прокси Squid для безопасности данных гибридного типа с указаниями по настройке прокси Squid для игнорирования трафика веб-сокетов для надлежащей работы. | ||
20 августа 2019 г. | Добавлены и обновлены разделы, посвященные поддержке прокси для связи узлов безопасности данных гибридного типа с облаком Webex. Чтобы получить доступ только к контенту поддержки прокси для существующего развертывания, см. статью справки Поддержка прокси для безопасности данных гибридного типа и сетки видео Webex. | ||
13 июня 2019 г. | Обновлен процесс пробной версии до производственной задачи с напоминанием о синхронизации HdsTrialGroup группировать объект перед запуском пробной версии, если в вашей организации используется синхронизация каталога. | ||
6 марта 2019 г. |
| ||
28 февраля 2019 г. |
| ||
26 февраля 2019 г. |
| ||
24 января 2019 г. |
| ||
5 ноября 2018 г. |
| ||
19 октября 2018 г. |
| ||
31 июля 2018 г. |
| ||
21 мая 2018 г. | Изменена терминология для отражения ребрендинга Cisco Spark.
| ||
11 апреля 2018 г. |
| ||
22 февраля 2018 г. |
| ||
15 февраля 2018 г. |
| ||
18 января 2018 г. |
| ||
2 ноября 2017 г. |
| ||
18 августа 2017 г. | Впервые опубликовано |
Обзор безопасности данных гибридного типа
Безопасность данных с первого дня была главной задачей при разработке приложения Webex. Краеугольным камнем этой безопасности является сквозное шифрование контента, обеспечиваемое клиентами приложения Webex , взаимодействующими со службой управления ключами (KMS). KMS отвечает за создание и управление криптографическими ключами, которые используются клиентами для динамического шифрования и расшифровки сообщений и файлов.
По умолчанию все клиенты приложения Webex получают сквозное шифрование с помощью динамических ключей, хранящихся в облачной KMS в области безопасности Cisco. Служба безопасности данных гибридного типа перемещает KMS и другие функции безопасности в корпоративный центр обработки данных, поэтому доступ к ключам для зашифрованного контента будет только у вас.
Архитектура сферы безопасности
Облачная архитектура Webex разделяет различные типы служб на отдельные сферы или доверенные домены, как показано ниже.
Чтобы лучше понять безопасность данных гибридного типа, давайте рассмотрим пример чистого облака, в котором Cisco предоставляет все функции в облачных сферах. Служба удостоверений, единственное место, где пользователи могут напрямую коррелировать с их личной информацией, такой как адрес электронной почты, логически и физически отделена от сферы безопасности в центре обработки данных B. Обе службы, в свою очередь, отделены от сферы, где в конечном итоге хранится зашифрованный контент, в центре обработки данных C.
На этой схеме клиентом является приложение Webex, запущенное на ноутбуке пользователя и прошедшее аутентификацию с помощью службы удостоверений. Когда пользователь создает сообщение для отправки в пространство, выполняются следующие действия.
Клиент устанавливает безопасное соединение со службой управления ключами (KMS), затем запрашивает ключ для шифрования сообщения. Безопасное соединение использует ECDH, а KMS шифрует ключ с помощью главного ключа AES-256.
Сообщение зашифровано перед выходом из клиента. Клиент отправляет его в службу индексирования, которая создает зашифрованные индексы поиска для облегчения будущих поисков контента.
Зашифрованное сообщение отправляется в службу соответствия для проверки соответствия.
Зашифрованное сообщение хранится в области хранилища.
При развертывании службы безопасности данных гибридного типа функции области безопасности (KMS, индексация и соответствие требованиям) перемещаются в локальный центр обработки данных. Другие облачные службы, составляющие Webex (включая хранилище удостоверений и контента), остаются в сфере Cisco.
Сотрудничество с другими организациями
Пользователи в вашей организации могут регулярно использовать приложение Webex для совместной работы с внешними участниками в других организациях. Когда один из ваших пользователей запрашивает ключ для пространства, принадлежащего вашей организации (поскольку оно было создано одним из ваших пользователей), KMS отправляет ключ клиенту через защищенный канал ECDH. Однако если ключ для пространства принадлежит другой организации, ваша KMS маршрутизирует запрос в облако Webex через отдельный канал ECDH для получения ключа из соответствующей KMS, а затем возвращает ключ пользователю в исходном канале.
Служба KMS, запущенная в организации A, проверяет соединения с KMS в других организациях с помощью сертификатов PKI x.509. Подробные сведения о создании сертификата x.509 для использования с развертыванием службы безопасности данных гибридного типа см. в разделе Подготовка среды .
Ожидания развертывания системы безопасности данных гибридного типа
Развертывание службы безопасности данных гибридного типа требует значительных обязательств клиентов и осознания рисков, связанных с владением ключами шифрования.
Для развертывания службы безопасности данных гибридного типа необходимо предоставить:
Безопасный центр обработки данных в стране, являющейся поддерживаемым местоположением для планов Cisco Webex Teams.
Оборудование, программное обеспечение и доступ к сети описаны в разделе Подготовка среды.
Полная потеря ISO конфигурации, созданной для службы безопасности данных гибридного типа, или базы данных, которую вы предоставляете, приведет к потере ключей. Потеря ключа не позволяет пользователям расшифровать контент пространства и другие зашифрованные данные в приложении Webex. В этом случае можно создать новое развертывание, но будет отображаться только новый контент. Во избежание потери доступа к данным необходимо:
Управление резервным копированием и восстановлением базы данных и конфигурации ISO.
Будьте готовы выполнить быстрое аварийное восстановление при возникновении катастрофы, например сбой диска базы данных или аварийное завершение работы центра обработки данных.
Механизм возврата ключей в облако после развертывания HDS отсутствует. |
Процесс настройки высокого уровня
В этом документе описывается настройка и управление развертыванием службы безопасности данных гибридного типа.
Настройка безопасности данных гибридного типа. Это включает подготовку необходимой инфраструктуры и установку программного обеспечения безопасности данных гибридного типа, тестирование развертывания с помощью подмножества пользователей в пробном режиме и, по завершении тестирования, переход к производству. Это преобразует всю организацию для использования кластера безопасности данных гибридного типа для функций безопасности.
Этапы установки, тестирования и производства подробно описаны в следующих трех главах.
Поддерживайте развертывание службы безопасности данных гибридного типа: облако Webex автоматически обеспечивает текущую модернизацию. Ваш ИТ-отдел может предоставить поддержку первого уровня для этого развертывания и при необходимости задействовать службу поддержки Cisco. В Control Hub можно использовать экранные уведомления и настроить предупреждения на основе электронной почты.
Понимание общих предупреждений, шагов по устранению неполадок и известных проблем. При возникновении проблем при развертывании или использовании службы безопасности данных гибридного типа последняя глава этого руководства и приложение «Известные проблемы» могут помочь вам определить и устранить проблему.
Модель развертывания системы безопасности данных гибридного типа
В корпоративном центре обработки данных развертывается служба безопасности данных гибридного типа как единый кластер узлов на отдельных виртуальных узлах. Узлы взаимодействуют с облаком Webex через защищенные веб-сокеты и безопасный HTTP.
В процессе установки мы предоставляем вам файл OVA для настройки виртуального устройства на предоставленных вами виртуальных машинах. Инструмент настройки HDS используется для создания пользовательского файла конфигурации кластера ISO, который монтируется на каждом узле. Кластер безопасности данных гибридного типа использует предоставленный вами сервер Syslogd и базу данных PostgreSQL или Microsoft SQL Server. (Сведения о подключении к системному журналу и базе данных можно настроить в инструменте настройки HDS.)
Минимальное количество узлов, которые можно иметь в кластере, составляет два. Мы рекомендуем не менее трех, а вы можете иметь до пяти. Наличие нескольких узлов гарантирует, что служба не прерывается во время обновления программного обеспечения или других действий по техническому обслуживанию на узле. (Облако Webex одновременно обновляет только один узел.)
Все узлы в кластере получают доступ к одному хранилищу данных ключа и активность журнала на одном сервере системного журнала. Сами узлы являются апатридами и обрабатывают ключевые запросы круглыми путями в соответствии с указаниями облака.
Узлы становятся активными при их регистрации в Control Hub. Чтобы вывести отдельный узел из эксплуатации, его можно отменить регистрацию, а затем при необходимости повторно зарегистрировать.
Для каждой организации поддерживается только один кластер.
Пробный режим безопасности данных гибридного типа
После настройки развертывания службы безопасности данных гибридного типа попробуйте сначала с помощью набора пилотных пользователей. В течение пробного периода эти пользователи используют локальный домен безопасности данных гибридного типа для ключей шифрования и других служб безопасности. Другие пользователи продолжают использовать область облачной безопасности.
Если вы решите не продолжать развертывание во время пробной версии и деактивировать службу, пилотные пользователи и все пользователи, с которыми они взаимодействовали путем создания новых пространств в течение пробного периода, потеряют доступ к сообщениям и контенту. В приложении Webex будет отображено сообщение "Это сообщение невозможно расшифровать".
Если вы удовлетворены тем, что развертывание работает хорошо для пользователей пробной версии и готовы распространить службу безопасности данных гибридного типа на всех пользователей, развертывание будет перенесено в производство. Пилотные пользователи по-прежнему имеют доступ к ключам, которые использовались во время пробной версии. Однако вы не можете перемещаться между режимом производства и исходным пробным запуском. Если необходимо деактивировать службу, например для выполнения аварийного восстановления, при повторной активации необходимо запустить новую пробную версию и настроить набор пилотных пользователей для новой пробной версии, прежде чем вернуться в рабочий режим. Сохранение пользователями доступа к данным на данном этапе зависит от того, успешно ли выполнено резервное копирование хранилища ключевых данных и файла конфигурации ISO для узлов безопасности данных гибридного типа в кластере.
Резервный центр обработки данных для аварийного восстановления
Во время развертывания можно настроить безопасный резервный центр обработки данных. В случае аварийного состояния центра обработки данных можно вручную свернуть развертывание в резервный центр обработки данных.
Базы данных активных и резервных центров обработки данных синхронизированы друг с другом, что позволяет минимизировать время, затрачиваемое на отработку отказа. Файл ISO резервного центра обработки данных обновлен дополнительными конфигурациями, которые обеспечивают регистрацию узлов в организации, но не будут обрабатывать трафик. Таким образом, узлы резервного центра обработки данных всегда обновляются с новейшей версией программного обеспечения HDS.
Активные узлы безопасности данных гибридного типа должны всегда находиться в том же центре обработки данных, что и активный сервер базы данных. |
Настройка резервного центра обработки данных для аварийного восстановления
Чтобы настроить файл ISO резервного центра обработки данных, выполните приведенные ниже действия.
Перед началом работы
Резервный центр обработки данных должен отражать рабочую среду виртуальных машин и резервную базу данных PostgreSQL или Microsoft SQL Server. Например, если в производстве имеется 3 ВМ с узлами HDS, резервная среда должна иметь 3 ВМ. (Обзор этой модели отработки отказа см. в разделе Standby Data Center for Disaster Recovery .)
Убедитесь, что синхронизация базы данных включена между базой данных активных и пассивных узлов кластера.
1. | Запустите инструмент настройки HDS и выполните действия, указанные в разделе Создание конфигурации ISO для узлов HDS.
| ||
2. | После настройки сервера Syslogd щелкните Расширенные настройки | ||
3. | На странице Расширенные настройки добавьте конфигурацию ниже, чтобы перевести узел в пассивный режим. В этом режиме узел будет зарегистрирован в организации и подключен к облаку, но не будет обрабатывать трафик.
| ||
4. | Завершите процесс настройки и сохраните файл ISO в удобном для поиска местоположении. | ||
5 | Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервной копии. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничить доступ только тем администраторам безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию. | ||
6 | В левой панели навигации клиента VMware vSphere щелкните правой кнопкой мыши виртуальную машину и выберите Редактировать настройки.. | ||
7. | Щелкните Edit Settings >CD/DVD Drive 1 и выберите Datastore ISO File.
| ||
8 | Включите узел HDS и убедитесь в отсутствии аварийных сигналов в течение не менее 15 минут. | ||
9 | Повторите процесс для каждого узла в резервном центре обработки данных.
|
Дальнейшие действия
После настройки passiveMode
в файле ISO и сохраняя его, вы можете создать другую копию файла ISO без passiveMode
и сохраните его в безопасном местоположении. Эта копия файла ISO без passiveMode
настроенная система может помочь в быстром процессе отработки отказа во время аварийного восстановления. Подробную процедуру отработки отказа см. в разделе Аварийное восстановление с использованием резервного центра обработки данных .
Поддержка прокси
Служба безопасности данных гибридного типа поддерживает явные прокси, прозрачные прокси с проверкой и прокси без проверки. Чтобы обеспечить защиту и мониторинг трафика из сети предприятия в облако, можно связать эти прокси с развертыванием. После настройки прокси на узлах административный интерфейс платформы на узлах можно использовать для управления сертификатами и просмотра общего состояния соединений.
Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.
No proxy (Без прокси). Этот параметр применяется по умолчанию, если для интеграции прокси не используется конфигурация прокси и зоны доверия настройки узла HDS. Обновление сертификата не требуется.
Transparent non-inspecting proxy (Прозрачный прокси без проверки). Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.
Transparent tunneling or inspecting proxy (Прозрачный туннельный прокси или прокси с проверкой). Узлы не настроены для использования адреса определенного прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
Explicit proxy (Явный прокси). При использовании явного прокси необходимо указать прокси-сервер и схему аутентификации, которые должны использовать узлы HDS. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.
Proxy IP/FQDN (IP-адрес или FQDN прокси). Адрес, который можно использовать для доступа к прокси-машине.
Proxy Port (Порт прокси). Номер порта, который используется прокси для прослушивания трафика, передаваемого через прокси.
Proxy Protocol (Протокол прокси). Выберите протокол, поддерживаемый прокси-сервером. Доступные протоколы указаны ниже.
HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.
HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.
Authentication Type (Тип аутентификации). Выберите один из перечисленных ниже типов аутентификации.
None (Нет). Дальнейшая аутентификация не требуется.
Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
Basic (Базовая). Используется для оператора пользователя HTTP в целях предоставления имени пользователя и пароля при совершении запроса. Использует кодировку Base64.
Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
Требует ввода имени пользователя и пароля на каждом узле.
Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.
Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.
Требует ввода имени пользователя и пароля на каждом узле.
Пример узлов безопасности данных гибридного типа и прокси
На этой схеме представлен пример соединения между системой безопасности данных гибридного типа, сетью и прокси. При использовании прозрачного прокси с проверкой или явного прокси с проверкой HTTPS на прокси и узлы безопасности данных гибридного типа необходимо установить один и тот же корневой сертификат.
Режим блокировки разрешения внешних DNS (конфигурации явного прокси)
При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. В развертываниях с конфигурациями явного прокси, которые не допускают разрешения внешних DNS для внутренних клиентов, если узел не может посылать запросы на DNS-серверы, он автоматически переходит в режим блокировки разрешения внешних DNS. В этом режиме можно продолжить регистрацию узла и другие тестирования подключения к прокси.
Требования к безопасности данных гибридного типа
Требования к лицензии Cisco Webex
Развертывание службы безопасности данных гибридного типа.
У вас должен быть профессиональный пакет Cisco Webex Control Hub. (См. https://www.cisco.com/go/pro-pack.)
Требования к рабочему столу Docker
Перед установкой узлов HDS необходимо запустить программу установки Docker Desktop. Docker недавно обновил свою модель лицензирования. Вашей организации может потребоваться платная подписка на Docker Desktop. Подробности см. В сообщении блога Docker " Docker обновляет и расширяет подписки на наши продукты ".
Требования к сертификату X.509
Цепочка сертификатов должна отвечать следующим требованиям:
Требование | Сведения |
---|---|
| По умолчанию мы доверяем ЦС в списке Mozilla (за исключением WoSign и StartCom) по адресу https://wiki.mozilla.org/CA:IncludedCAs. |
| CN не должен быть доступным или быть в режиме реального времени организатором. Рекомендуется использовать название, которое отражает вашу организацию, например CN не должен содержать * (подстановочный знак). CN используется для проверки узлов безопасности данных гибридного типа для клиентов приложения Webex. Все узлы безопасности данных гибридного типа в кластере используют один и тот же сертификат. Ваш KMS идентифицирует себя с помощью домена CN, а не какого-либо домена, определенного в полях SAN x.509v3. После регистрации узла с этим сертификатом изменение имени домена CN не поддерживается. Выберите домен, который может применяться как к пробному, так и к производственному развертыванию. |
| Программное обеспечение KMS не поддерживает подписи SHA1 для проверки подключений к KMS других организаций. |
| Для изменения формата сертификата можно использовать конвертер, например OpenSSL. При запуске инструмента настройки HDS необходимо будет ввести пароль. |
Программное обеспечение KMS не обеспечивает принудительное использование ключей или расширенные ограничения использования ключей. Некоторые центры сертификации требуют, чтобы к каждому сертификату применялись расширенные ограничения использования ключей, такие как аутентификация сервера. Можно использовать аутентификацию сервера или другие настройки.
Требования к виртуальному организатору
К виртуальным узлам, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере, предъявляются следующие требования.
Не менее двух отдельных узлов (рекомендуется 3), расположенных в одном защищенном центре обработки данных
Установлен и запущен VMware ESXi 6.5 (или более поздняя версия).
Если у вас есть более ранняя версия ESXi, необходимо выполнить модернизацию.
Минимум 4 vCPU, 8 ГБ основной памяти, 30 ГБ локального дискового пространства на сервере
Требования к серверу базы данных
Создайте новую базу данных для хранения ключей. Не используйте базу данных по умолчанию. При установке приложения HDS создайте схему базы данных. |
Существует два варианта для сервера базы данных. Требования к каждому из них следующие:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Минимум 8 vCPU, 16 ГБ основной памяти, достаточное место на жестком диске и мониторинг, чтобы убедиться, что он не превышен (рекомендуется 2 ТБ, если вы хотите запустить базу данных в течение длительного времени без необходимости увеличения объема хранилища) | Минимум 8 vCPU, 16 ГБ основной памяти, достаточное место на жестком диске и мониторинг, чтобы убедиться, что он не превышен (рекомендуется 2 ТБ, если вы хотите запустить базу данных в течение длительного времени без необходимости увеличения объема хранилища) |
Программное обеспечение HDS в настоящее время устанавливает следующие версии драйверов для связи с сервером базы данных:
PostgreSQL | Microsoft SQL Server |
---|---|
Драйвер JDBC Postgres 42.2.5 | Драйвер JDBC SQL Server 4.6 Эта версия драйвера поддерживает SQL Server Always On ( Always On Failover Cluster Instances и Always On Availability groups). |
Дополнительные требования к аутентификации Windows в Microsoft SQL Server
Если вы хотите, чтобы узлы HDS использовали аутентификацию Windows для получения доступа к базе данных хранилища ключей на Microsoft SQL Server, в вашей среде необходима следующая конфигурация:
Узлы HDS, инфраструктура Active Directory и MS SQL Server должны синхронизироваться с NTP.
Учетная запись Windows, предоставленная узлам HDS, должна иметь доступ на чтение/запись к базе данных.
Серверы DNS, которые вы предоставляете узлам HDS, должны иметь возможность разрешить работу центра распределения ключей (KDC).
Экземпляр базы данных HDS можно зарегистрировать на сервере Microsoft SQL в качестве главного имени службы (SPN) в Active Directory. См. раздел Регистрация имени главного поставщика услуг для соединений Kerberos.
Инструмент настройки HDS, средство запуска HDS и локальный KMS должны использовать аутентификацию Windows для доступа к базе данных хранилища ключей. Они используют сведения из конфигурации ISO для создания SPN при запросе доступа с аутентификацией Kerberos.
Требования к внешним подключениям
Настройте брандмауэр таким образом, чтобы разрешить следующее подключение для приложений HDS.
Приложение | Protocol | Port (Порт) | Направление из приложения | Адресат |
---|---|---|---|---|
Узлы безопасности данных гибридного типа | TCP | 443 | Исходящие HTTPS и WSS |
|
инструмент настройки HDS | TCP | 443 | Исходящий HTTPS |
|
Узлы безопасности данных гибридного типа работают с преобразованием сетевого доступа (NAT) или за брандмауэром, если NAT или брандмауэр разрешает требуемые исходящие соединения с адресатами домена в предыдущей таблице. Для соединений, входящих в узлы безопасности данных гибридного типа, порты не должны быть видны из Интернета. В центре обработки данных клиентам необходим доступ к узлам безопасности данных гибридного типа на портах TCP 443 и 22 для административных целей. |
URL-адреса узлов общих параметров идентификации (CI) зависят от региона. Это текущие хосты CI:
Регион | URL-адреса общих узлов удостоверений |
---|---|
Северная и Южная Америка |
|
Европейский союз |
|
Канада |
|
Требования к прокси-серверу
Мы официально поддерживаем следующие решения для прокси, которые можно интегрировать с узлами безопасности данных гибридного типа:
для прозрачных прокси – Cisco Web Security Appliance (WSA);
для явных прокси – Squid.
Прокси Squid, выполняющие проверку HTTPS-трафика, могут влиять на установление соединений веб-сокетов (wss:) . Для решения этой проблемы см. раздел Настройка прокси-серверов Squid для безопасности данных гибридного типа.
Поддерживаются следующие комбинации типов аутентификации для явных прокси:
без аутентификации при использовании HTTP или HTTPS;
базовая аутентификация при использовании HTTP или HTTPS;
дайджест-аутентификация только при использовании HTTPS;
При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.
Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.
Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. При возникновении этой проблемы обход (без проверки) трафика на
wbx2.com
иciscospark.com
решит проблему.
Выполнение предварительных требований для безопасности данных гибридного типа
1. | Убедитесь, что для вашей организации Webex включена профессиональная версия Cisco Webex Control Hub, и получите учетные данные учетной записи с полными правами администратора организации. За помощью в этом процессе обратитесь к партнеру Cisco или менеджеру по работе с клиентами. | ||
2. | Выберите имя домена для развертывания HDS (например, | ||
3. | Подготовьте идентичные виртуальные хосты, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере. Необходимо, чтобы в одном защищенном центре обработки данных находились не менее двух отдельных узлов (рекомендуется 3), которые соответствуют требованиям, изложенным в требованиях к виртуальному узлу. | ||
4. | Подготовьте сервер базы данных, который будет выступать в качестве хранилища данных ключей для кластера в соответствии с требованиями к серверу базы данных. Сервер базы данных должен быть размещен в защищенном центре обработки данных с виртуальными хостами. | ||
5 | Для быстрого аварийного восстановления настройте резервную среду в другом центре обработки данных. Среда резервного копирования отражает рабочую среду виртуальных машин и сервера резервной базы данных. Например, если в производстве имеется 3 ВМ с узлами HDS, резервная среда должна иметь 3 ВМ. | ||
6 | Настройте хост системного журнала для сбора журналов с узлов в кластере. Соберите его сетевой адрес и порт системного журнала (по умолчанию UDP 514). | ||
7. | Создайте политику безопасного резервного копирования для узлов безопасности данных гибридного типа, сервера базы данных и узла системного журнала. Как минимум, чтобы предотвратить неизлечимую потерю данных, необходимо создать резервную копию базы данных и файла конфигурации ISO, созданного для узлов безопасности данных гибридного типа.
Клиенты приложения Webex кэшируют свои ключи, поэтому отключение может быть заметным не сразу, но со временем оно станет очевидным. Хотя временные отключения невозможно предотвратить, они могут быть восстановлены. Однако полная потеря (без резервных копий) базы данных или файла конфигурации ISO приведет к невосстановимым данным о клиенте. Ожидается, что операторы узлов безопасности данных гибридного типа будут вести частые резервные копии базы данных и файла конфигурации ISO, а также будут готовы восстановить центр обработки данных службы безопасности данных гибридного типа в случае катастрофического сбоя. | ||
8 | Убедитесь, что конфигурация брандмауэра обеспечивает подключение к узлам безопасности данных гибридного типа, как описано в требованиях к внешним подключениям. | ||
9 | Установите Docker ( https://www.docker.com) на любой локальной машине с поддерживаемой ОС (64-разрядная версия Microsoft Windows 10 Professional или Enterprise или Mac OSX Yosemite 10.10.3 или более поздняя версия) с веб-браузером, который может получить к нему доступ по ссылке http://127.0.0.1:8080. Экземпляр Docker используется для загрузки и запуска инструмента настройки HDS, который создает информацию о локальной конфигурации для всех узлов безопасности данных гибридного типа. Вашей организации может потребоваться лицензия Docker Desktop. Дополнительные сведения см. в разделе Требования к рабочему столу Docker. Чтобы установить и запустить инструмент настройки HDS, локальная машина должна иметь подключение, описанное в требованиях к внешним подключениям. | ||
10 | При интеграции прокси с безопасностью данных гибридного типа убедитесь, что он соответствует требованиям прокси-сервера. | ||
11 | Если в вашей организации используется синхронизация каталогов, создайте группу в Active Directory под названием
|
Процесс выполнения задач по развертыванию системы безопасности данных гибридного типа
Перед началом работы
1. |
Скачайте файл OVA на локальный компьютер для последующего использования. | ||
2. | Создание ISO конфигурации для узлов HDS Используйте инструмент настройки HDS для создания файла конфигурации ISO для узлов безопасности данных гибридного типа. | ||
3. |
Создайте виртуальную машину из файла OVA и выполните начальную конфигурацию, например сетевые настройки.
| ||
4. | Настройка виртуальной машины безопасности данных гибридного типа Войдите в консоль виртуальной машины и задайте учетные данные для входа. Настройте сетевые параметры узла, если они не были настроены во время развертывания OVA. | ||
5 | Загрузка и монтаж конфигурации HDS ISO Настройте виртуальную машину из файла конфигурации ISO, созданного с помощью инструмента настройки HDS. | ||
6 | Настройка узла HDS для интеграции прокси Если для сетевой среды требуется конфигурация прокси, укажите тип прокси, который будет использоваться для узла, и при необходимости добавьте сертификат прокси в доверенное хранилище. | ||
7. | Регистрация первого узла в кластере Зарегистрируйте виртуальную машину в облаке Cisco Webex в качестве узла безопасности данных гибридного типа. | ||
8 | Создание и регистрация дополнительных узлов Завершите настройку кластера. | ||
9 | Запустить пробную версию и перейти к производству (следующая глава) Пока вы не начнете пробную версию, ваши узлы будут генерировать сигнал о том, что ваша служба еще не активирована. |
Скачивание файлов установки
1. | Войдите в https://admin.webex.com и щелкните Службы. | ||||
2. | В разделе служб гибридного типа найдите карточку безопасности данных гибридного типа и щелкните Настройка. Если карточка отключена или вы ее не видите, обратитесь в команду по работе с клиентами или партнерскую организацию. Укажите номер своей учетной записи и попросите включить для вашей организации функцию безопасности данных гибридного типа. Чтобы найти номер учетной записи, щелкните шестеренку в правом верхнем углу рядом с названием организации.
| ||||
3. | Выберите Нет , чтобы указать, что узел еще не настроен, и нажмите Далее. Файл OVA автоматически начинает скачиваться. Сохраните файл в местоположении на компьютере.
| ||||
4. | При необходимости щелкните Открыть руководство по развертыванию , чтобы проверить, доступна ли более поздняя версия этого руководства. |
Создание ISO конфигурации для узлов HDS
Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем вы используете ISO для настройки узла безопасности данных гибридного типа.
Перед началом работы
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Control Hub с полными правами администратора вашей организации.
Если инструмент настройки HDS работает за прокси в вашей среде, укажите настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при переносе контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Созданный файл конфигурации ISO содержит главный ключ, шифрующий базу данных PostgreSQL или Microsoft SQL Server. Вам потребуется последняя копия этого файла при внесении изменений в конфигурацию, например:
учетные данные базы данных
Обновления сертификата
Изменения политики авторизации
Если вы планируете шифровать соединения с базой данных, настройте развертывание PostgreSQL или SQL Server для TLS.
1. | Введите соответствующую команду для вашей среды в командной строке компьютера. В обычных средах:
В средах FedRAMP:
| ||||||||||||
2. | Чтобы войти в реестр образов Docker, введите следующее.
| ||||||||||||
3. | Введите в запросе пароля этот хеш:
| ||||||||||||
4. | Скачайте последнюю стабильную версию образа для вашей среды. В обычных средах:
В средах FedRAMP:
| ||||||||||||
5 | По завершении скачивания введите соответствующую команду для вашей среды.
Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080". | ||||||||||||
6 |
Используйте веб-браузер для перехода к локальному узлу, Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. В этом инструменте отображается стандартная подсказка для входа в систему. | ||||||||||||
7. | По запросу введите учетные данные для входа администратора клиента Control Hub, а затем щелкните Войти, чтобы разрешить доступ к необходимым службам для безопасности данных гибридного типа. | ||||||||||||
8 | На странице обзора инструмента настройки щелкните Начало работы. | ||||||||||||
9 | На странице импорта ISO доступны следующие параметры:
| ||||||||||||
10 | Убедитесь, что сертификат X.509 соответствует требованиям, изложенным в требованиях к сертификатам X.509.
| ||||||||||||
11 | Введите адрес базы данных и учетную запись HDS для доступа к хранилищу данных ключа: | ||||||||||||
12 | Выберите режим подключения к базе данных TLS:
При загрузке корневого сертификата (при необходимости) и нажатии Continue (Продолжить) инструмент настройки HDS тестирует соединение TLS с сервером базы данных. Инструмент также выполняет проверку источника подписи сертификата и имени узла (если применимо). Если тест не будет пройден, в инструменте будет отображено сообщение об ошибке с описанием проблемы. Можно выбрать параметр игнорирования ошибки и продолжить настройку. (Из-за различий в подключении узлы HDS могут установить соединение TLS, даже если машина инструмента настройки HDS не сможет успешно протестировать его.) | ||||||||||||
13 | На странице «Системные журналы» настройте сервер Syslogd: | ||||||||||||
14 | (Необязательно) Значение по умолчанию для некоторых параметров подключения к базе данных можно изменить в расширенных настройках. Как правило, этот параметр является единственным, который можно изменить:
| ||||||||||||
15 | Щелкните Продолжить на экране Сброс пароля учетных записей службы . Срок службы паролей учетных записей службы составляет девять месяцев. Используйте этот экран, когда срок действия паролей близится к концу или вы хотите сбросить их, чтобы аннулировать предыдущие файлы ISO. | ||||||||||||
16 | Щелкните Скачать файл ISO. Сохраните файл в удобном для поиска местоположении. | ||||||||||||
17 | Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервной копии. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничить доступ только тем администраторам безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию. | ||||||||||||
18 | Чтобы выключить инструмент настройки, введите |
Дальнейшие действия
Создайте резервную копию файла конфигурации ISO. Она необходима для создания дополнительных узлов для восстановления или внесения изменений в конфигурацию. Если вы потеряете все копии файла ISO, вы также потеряете главный ключ. Восстановление ключей из базы данных PostgreSQL или Microsoft SQL Server невозможно.
У нас никогда нет копии этого ключа, и мы не можем помочь, если вы его потеряете. |
Установка OVA узла HDS
1. | Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi. | ||||||
2. | Выберите Файл > Развертывание шаблона OVF. | ||||||
3. | В мастере укажите расположение скачанного ранее файла OVA и щелкните Далее. | ||||||
4. | На Выберите имя и папку страница, введите Имя виртуальной машины для узла (например, HDS_Node_1) выберите местоположение, в котором может находиться развертывание узла виртуальной машины, а затем щелкните Далее. | ||||||
5 | На Выберите вычислительный ресурс выберите целевой вычислительный ресурс, а затем щелкните Далее. Выполняется проверка. После завершения отображаются сведения о шаблоне. | ||||||
6 | Проверьте сведения о шаблоне и щелкните Далее. | ||||||
7. | Если вас попросят выбрать конфигурацию ресурса в Конфигурация страница, щелкните 4 ЦП и щелкните Далее. | ||||||
8 | На Выбрать хранилище страница, щелкните Далее для принятия формата диска по умолчанию и политики хранения VM. | ||||||
9 | На Выбор сетей выберите параметр сети из списка записей, чтобы обеспечить желаемое подключение к виртуальной машине. | ||||||
10 | На странице Настройка шаблона настройте следующие сетевые параметры.
При необходимости можно пропустить конфигурацию сетевых настроек и выполнить действия, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа , чтобы настроить параметры на консоли узла.
| ||||||
11 | Щелкните правой кнопкой мыши виртуальную машину узла и выберите .Программное обеспечение безопасности данных гибридного типа устанавливается в качестве гостя на узле виртуальной машины. Теперь вы готовы войти в консоль и настроить узел. Рекомендации по устранению неисправностей Может возникнуть задержка в несколько минут до появления контейнеров узла. Во время первой загрузки на консоли появляется сообщение брандмауэра моста, во время которого невозможно войти в систему. |
Настройка виртуальной машины безопасности данных гибридного типа
Используйте эту процедуру для первого входа в консоль виртуальных машин узла безопасности данных гибридного типа и установки учетных данных для входа. Консоль также можно использовать для настройки сетевых параметров узла, если они не были настроены во время развертывания OVA.
1. | В клиенте VMware vSphere выберите VM узла безопасности данных гибридного типа и перейдите на вкладку Консоль . Виртуальная машина загружается, и появляется запрос на вход. Если запрос на вход не отображается, нажмите Enter.
|
2. | Для входа и изменения учетных данных используйте следующие логин и пароль по умолчанию. После первого входа в виртуальную машину необходимо изменить пароль администратора. |
3. | Если параметры сети уже настроены в разделе Установка узла HDS OVA, пропустите оставшуюся часть этой процедуры. В противном случае в главном меню выберите пункт Редактировать конфигурацию . |
4. | Настройте статическую конфигурацию с IP-адресом, маской, шлюзом и информацией о DNS. Ваш узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается. |
5 | (Необязательно) Измените имя узла, домен или серверы NTP, если это необходимо для соответствия политике сети. Вам не нужно настраивать домен в соответствии с доменом, который вы использовали для получения сертификата X.509. |
6 | Сохраните конфигурацию сети и перезагрузите виртуальную машину, чтобы изменения вступили в силу. |
Загрузка и монтаж конфигурации HDS ISO
Перед началом работы
Поскольку файл ISO содержит главный ключ, он должен быть раскрыт только на основании необходимости знать для доступа виртуальных машин безопасности данных гибридного типа и администраторов, которым может потребоваться внести изменения. Убедитесь, что доступ к хранилищу данных могут получить только эти администраторы.
1. | Загрузите файл ISO с компьютера: |
2. | Подключите файл ISO: |
Дальнейшие действия
Если требуется ИТ-политика, можно при необходимости отменить монтирование файла ISO после того, как все узлы выберут изменения конфигурации. Подробности см. в статье (Необязательно) Отключение ISO после конфигурации HDS.
Настройка узла HDS для интеграции прокси
Если в сетевой среде необходимо использовать прокси, воспользуйтесь этой процедурой, чтобы указать тип прокси, который нужно интегрировать со службой безопасности данных гибридного типа. При выборе прозрачного прокси с проверкой или явного прокси HTTPS можно использовать интерфейс узла для загрузки и установки корневого сертификата. Кроме того, в интерфейсе можно проверять соединение с прокси и устранять неполадки.
Перед началом работы
Обзор поддерживаемых параметров прокси см. в разделе Поддержка прокси .
1. | Введите URL настройки узла HDS |
2. | Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров.
В случае использования прозрачного прокси с проверкой, явного прокси HTTP с базовой аутентификацией или явного прокси HTTPS выполните указанные далее шаги. |
3. | Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси. Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку-шеврон, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить). |
4. | Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси). Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки. Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу. Такая проблема может возникнуть во многих конфигурациях явного прокси. Можно продолжить настройку, и узел будет работать в режиме блокировки разрешения внешних DNS. Если вы считаете, что это ошибка, выполните следующие действия, а затем увидите Отключить режим блокировки разрешения внешних DNS. |
5 | Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд. |
6 | Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке. Узел перезагрузится в течение нескольких минут. |
7. | После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом. Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси. |
Регистрация первого узла в кластере
При регистрации первого узла создается кластер, которому этот узел назначен. Кластер содержит один или несколько узлов, развернутых для обеспечения избыточности.
Перед началом работы
Как только вы начнете регистрацию узла, вы должны завершить ее в течение 60 минут или начать заново.
Убедитесь, что все блокирующие всплывающие окна в браузере отключены или что для admin.webex.com разрешено исключение.
1. | Войдите в https://admin.webex.com. |
2. | В меню в левой части экрана выберите Службы. |
3. | В разделе служб гибридного типа найдите службу безопасности данных гибридного типа и щелкните Настройка. Откроется страница "Регистрация узла безопасности данных гибридного типа".
|
4. | Выберите Да , чтобы указать, что узел настроен и готов его зарегистрировать, а затем нажмите Далее. |
5 | В первом поле введите имя кластера, которому необходимо назначить узел безопасности данных гибридного типа. Рекомендуется присвоить кластеру имя в зависимости от географического расположения узлов кластера. Например: "Сан-Франциско", "Нью-Йорк" или "Даллас" |
6 | Во втором поле введите внутренний IP-адрес или полное доменное имя узла и нажмите Далее. Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем узла и доменом, которые использовались в разделе Настройка виртуальной машины безопасности данных гибридного типа. Отобразится сообщение о том, что узел можно зарегистрировать в Webex.
|
7. | Щелкните Перейти к узлу. |
8 | В предупреждающем сообщении нажмите Continue (Продолжить). Через несколько минут вы будете перенаправлены на тесты подключения узлов для служб Webex. Если все тесты прошли успешно, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Там вы подтверждаете, что хотите предоставить организации Webex полномочия на доступ к узлу.
|
9 | Установите флажок Разрешить доступ к узлу безопасности данных гибридного типа и нажмите Продолжить. Ваша учетная запись проверена, и в сообщении "Регистрация завершена" указывается, что ваш узел теперь зарегистрирован в облаке Webex.
|
10 | Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа Control Hub. На странице безопасности данных гибридного типа отображается новый кластер, содержащий зарегистрированный узел. Узел автоматически скачает последнюю версию программного обеспечения из облака.
|
Создание и регистрация дополнительных узлов
В настоящее время резервные виртуальные машины, созданные в разделе Complete the Prerequisites for Data Security гибридного типа, являются резервными хостами, которые используются только в случае аварийного восстановления. До этого времени они не регистрируются в системе. Дополнительные сведения см. в разделе Аварийное восстановление с помощью резервного центра обработки данных. |
Перед началом работы
Как только вы начнете регистрацию узла, вы должны завершить ее в течение 60 минут или начать заново.
Убедитесь, что все блокирующие всплывающие окна в браузере отключены или что для admin.webex.com разрешено исключение.
1. | Создайте новую виртуальную машину из OVA, повторив шаги, описанные в разделе Установка OVA узла HDS. |
2. | Настройте начальную конфигурацию новой виртуальной машины, повторив шаги, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа. |
3. | В новой виртуальной машине повторите шаги, описанные в разделе Загрузить и смонтировать конфигурацию HDS ISO. |
4. | При настройке прокси для развертывания повторите действия, описанные в разделе Настройка узла HDS для интеграции прокси , если это необходимо для нового узла. |
5 | Зарегистрируйте узел. Ваш узел зарегистрирован. Обратите внимание, что до начала пробной версии узлы генерируют сигнал о том, что служба еще не активирована.
|
Дальнейшие действия
Процесс выполнения пробной версии производственных задач
После настройки кластера безопасности данных гибридного типа можно запустить пилотный проект, добавить в него пользователей и начать использовать его для тестирования и проверки развертывания в рамках подготовки к переходу к производству.
Перед началом работы
1. | Если применимо, синхронизируйте Если в вашей организации используется синхронизация каталогов для пользователей, необходимо выбрать |
2. |
Начните пробную версию. Пока вы не выполните эту задачу, ваши узлы генерируют сигнал о том, что служба еще не активирована. |
3. | Тестирование развертывания системы безопасности данных гибридного типа Убедитесь в том, что ключевые запросы передаются в развертывание службы безопасности данных гибридного типа. |
4. | Мониторинг работоспособности системы безопасности данных гибридного типа Проверьте состояние и настройте электронные уведомления для сигналов тревоги. |
5 | |
6 | Завершите пробную фазу одним из следующих действий. |
Активировать пробную версию
Перед началом работы
Если в вашей организации используется синхронизация каталогов для пользователей, необходимо выбрать HdsTrialGroup
группировать объект для синхронизации с облаком, прежде чем начать пробную версию для вашей организации. Инструкции см. в руководстве по развертыванию соединителя каталогов Cisco.
1. | Войдите в https://admin.webex.com и выберите Службы. |
2. | В разделе Безопасность данных гибридного типа щелкните Настройки. |
3. | В разделе "Состояние службы" щелкните Начать пробную версию. Состояние службы меняется на пробный режим.
|
4. | Щелкните Добавить пользователей и введите адрес электронной почты одного или нескольких пользователей для экспериментального использования узлов безопасности данных гибридного типа для служб шифрования и индексации. (Если в вашей организации используется синхронизация каталогов, используйте Active Directory для управления пробной группой, |
Тестирование развертывания системы безопасности данных гибридного типа
Перед началом работы
Настройте развертывание службы безопасности данных гибридного типа.
Активируйте пробную версию и добавьте нескольких пользователей пробной версии.
Убедитесь, что у вас есть доступ к системному журналу, чтобы проверить, передаются ли ключевые запросы в развертывание службы безопасности данных гибридного типа.
1. | Ключи для определенного пространства устанавливаются создателем пространства. Войдите в приложение Webex в качестве одного из пилотных пользователей, затем создайте пространство и пригласите как минимум одного пилотного пользователя и одного непилотного пользователя.
| ||
2. | Отправка сообщений в новое пространство. | ||
3. | Проверьте вывод системного журнала, чтобы убедиться, что ключевые запросы передаются в развертывание службы безопасности данных гибридного типа. |
Мониторинг работоспособности системы безопасности данных гибридного типа
1. | В Control Hub выберите Службы в меню в левой части экрана. |
2. | В разделе служб гибридного типа найдите службу безопасности данных гибридного типа и щелкните Настройки. Отобразится страница параметров безопасности данных гибридного типа.
|
3. | В разделе «Электронные уведомления» введите один или несколько адресов электронной почты, разделенных запятыми, и нажмите Enter. |
Добавление или удаление пользователей из пробной версии
При удалении пользователя из пробной версии клиент пользователя запросит ключи и создание ключей в облачной KMS вместо KMS. Если клиенту необходим ключ, который хранится в вашей KMS, облачная KMS получит его от имени пользователя.
Если в вашей организации используется синхронизация каталогов, используйте Active Directory (вместо этой процедуры) для управления пробной группой. HdsTrialGroup
; вы можете просматривать участников группы в Control Hub, но не можете добавлять или удалять их.
1. | Войдите в Control Hub и выберите Службы. |
2. | В разделе Безопасность данных гибридного типа щелкните Настройки. |
3. | В разделе «Пробный режим» области «Состояние службы» щелкните Добавить пользователей или выберите просмотр и редактирование для удаления пользователей из пробной версии. |
4. | Введите адрес электронной почты одного или нескольких пользователей, которые необходимо добавить, или щелкните X по идентификатору пользователя, чтобы удалить пользователя из пробной версии. Затем щелкните Сохранить. |
Переход от пробной версии к производственной
1. | Войдите в Control Hub и выберите Службы. |
2. | В разделе Безопасность данных гибридного типа щелкните Настройки. |
3. | В разделе "Состояние службы" щелкните Переместить в производство. |
4. | Убедитесь в том, что необходимо переместить всех пользователей в производство. |
Завершение пробной версии без перехода к производству
1. | Войдите в Control Hub и выберите Службы. |
2. | В разделе Безопасность данных гибридного типа щелкните Настройки. |
3. | В разделе Деактивировать нажмите Деактивировать. |
4. | Подтвердите деактивацию службы и завершите пробную версию. |
Управление развертыванием HDS
Используйте описанные здесь задачи для управления развертыванием службы безопасности данных гибридного типа.
Задать график модернизации кластера
Чтобы задать график модернизации, выполните приведенные ниже действия.
1. | Войдите в Control Hub. |
2. | На странице "Обзор" в разделе "Службы гибридного типа" выберите Безопасность данных гибридного типа. |
3. | На странице "Ресурсы безопасности данных гибридного типа" выберите кластер. |
4. | На панели "Обзор" справа в разделе "Настройки кластера" выберите имя кластера. |
5 | На странице "Настройки" в разделе "Модернизация" выберите время и часовой пояс для расписания модернизации. Примечание. В часовом поясе отображаются дата и время следующей доступной модернизации. При необходимости модернизацию можно отложить на следующий день, щелкнув Отложить. |
Изменение конфигурации узла
Изменение сертификатов x.509 по истечении срока действия или по другим причинам.
Изменение доменного имени CN сертификата не поддерживается. Домен должен совпадать с исходным доменом, использованным для регистрации кластера.
Обновление настроек базы данных для работы с копией базы данных PostgreSQL или Microsoft SQL Server.
Перенос данных с PostgreSQL на Microsoft SQL Server или в обратном направлении не поддерживается. Чтобы переключить среду базы данных, начните новое развертывание службы безопасности данных гибридного типа.
Создание новой конфигурации для подготовки нового центра обработки данных.
Из соображений безопасности для учетных записей в службе безопасности данных гибридного типа используются пароли со сроком действия 9 месяцев. После того как инструмент настройки HDS создаст эти пароли, вам нужно будет развернуть их в каждом из своих узлов HDS в файле конфигурации ISO. При приближении даты окончания срока действия пароля команда Webex пришлет вам уведомление с запросом на сброс пароля учетной записи компьютера. (В сообщении электронной почты будет текст "Использование API учетной записи компьютера для обновления пароля".) Если срок действия паролей еще не истек, средство предоставляет два варианта.
Мягкий сброс. Старые и новые пароли работают в течение не более 10 дней. Используйте этот период для постепенной замены файла ISO на узлах.
Жесткий сброс. Старые пароли перестанут работать немедленно.
Если срок действия ваших паролей истекает без сброса, это влияет на работу вашей службы HDS. В этом случае требуется немедленный жесткий сброс и замена файла ISO на всех узлах.
Используйте эту процедуру, чтобы создать новый файл конфигурации ISO и применить его к кластеру.
Перед началом работы
Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Control Hub с полными правами администратора вашей организации.
Если инструмент настройки HDS работает за прокси в вашей среде, укажите настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при переносе контейнера Docker в 1.e. В этой таблице указаны некоторые из возможных переменных среды.
Описание
Переменная
HTTP-прокси без аутентификации
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-прокси без аутентификации
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-прокси с аутентификацией
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-прокси с аутентификацией
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Для создания новой конфигурации потребуется копия текущего файла конфигурации ISO. Файл ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Файл ISO необходим для изменения конфигурации, в том числе учетных данных базы данных, обновления сертификатов или изменения политики авторизации.
1. | Запустите инструмент настройки HDS, используя Docker на локальной машине. |