Руководство по развертыванию службы безопасности данных гибридного типа Webex

8 октября 2020 г.

Обновлен параметр Создание ISO конфигурации для узлов HDS и Изменение конфигурации узла с помощью команд для сред FedRAMP.

14 августа 2020 г.

Обновлен параметр Создание ISO конфигурации для узлов HDS и Изменение конфигурации узла с изменениями в процессе входа.

5 августа 2020 г.

Обновлено тестирование развертывания службы безопасности данных гибридного типа на предмет изменений в сообщениях журнала.

Обновлены требования к виртуальному организатору для удаления максимального количества организаторов.

16 июня 2020 г.

Обновлено удаление узла для внесения изменений в пользовательский интерфейс Control Hub.

4 июня 2020 г.

Обновлен параметр Создание ISO конфигурации для узлов HDS для изменений в расширенных настройках, которые можно задать.

29 мая 2020 г.

Обновлено Create a Configuration ISO for the HDS Hosts , чтобы показать, что вы также можете использовать TLS с базами данных SQL Server, изменениями пользовательского интерфейса и другими разъяснениями.

5 мая 2020 г.

Обновлены требования к виртуальному организатору для отображения новых требований ESXi 6.5.

21 апреля 2020 г.

Обновлены требования к внешним подключениям с новыми хостами CI в Америке.

1 апреля 2020 г.

Обновлены требования к внешним подключениям с информацией о региональных узлах CI.

20 февраля 2020 г. Обновлен параметр Создание конфигурации ISO для узлов HDS с информацией о новом дополнительном экране расширенных настроек в инструменте настройки HDS.

4 февраля 2020 г. Обновлены требования к прокси-серверу.

16 декабря 2019 г. Уточнено требование для режима блокировки разрешения внешнего DNS для работы в требованиях к прокси-серверу.

19 ноября 2019 г.

Добавлена информация о режиме блокировки разрешения внешних DNS в следующих разделах:

Поддержка прокси
Настройка узла HDS для интеграции прокси
Отключение режима блокировки разрешения внешних DNS

8 ноября 2019 г.

Теперь можно настроить параметры сети для узла во время развертывания OVA, а не после.

Соответствующим образом обновлены следующие разделы:

Процесс выполнения задач по развертыванию системы безопасности данных гибридного типа
Установка OVA узла HDS
Настройка виртуальной машины безопасности данных гибридного типа

Параметр настройки сетевых настроек во время развертывания OVA протестирован в ESXi 6.5. Этот параметр может быть недоступен в более ранних версиях.

6 сентября 2019 г.

Добавлен стандарт SQL Server в требования к серверу базы данных.

29 августа 2019 г. Добавлено приложение Настройка прокси Squid для безопасности данных гибридного типа с указаниями по настройке прокси Squid для игнорирования трафика веб-сокетов для надлежащей работы.

20 августа 2019 г.

Добавлены и обновлены разделы, посвященные поддержке прокси для связи узлов безопасности данных гибридного типа с облаком Webex.

Поддержка прокси
Требования к прокси-серверу
Настройка узла HDS для интеграции прокси

Чтобы получить доступ только к контенту поддержки прокси для существующего развертывания, см. статью справки Поддержка прокси для безопасности данных гибридного типа и сетки видео Webex.

13 июня 2019 г. Обновлен процесс пробной версии до производственной задачи с напоминанием о синхронизации HdsTrialGroup группировать объект перед запуском пробной версии, если в вашей организации используется синхронизация каталога.

6 марта 2019 г.

Требования и предварительные условия перемещены в отдельную главу Подготовка среды.
Добавлено Процесс выполнения задач по развертыванию системы безопасности данных гибридного типа обзор в главе Настройка кластера безопасности данных гибридного типа.

Отмечается, что до начала пробной версии (с помощью инструкций, приведенных в следующей главе) узлы генерируют сигнал о том, что служба еще не активирована.
Добавлена пробная версия для производственной задачи в главе Запуск пробной версии и переход к производственной.

28 февраля 2019 г.

Исправлено количество локального места на жестком диске на сервере, которое следует выделить при подготовке виртуальных узлов, которые становятся узлами безопасности данных гибридного типа, с 50 ГБ до 20 ГБ, чтобы отразить размер диска, создаваемого OVA.

26 февраля 2019 г.

Узлы безопасности данных гибридного типа теперь поддерживают зашифрованные соединения с серверами баз данных PostgreSQL и зашифрованные соединения для ведения журналов к серверу системного журнала с поддержкой TLS. Обновлен раздел Создание конфигурации ISO для узлов HDS с инструкциями.
Удалены URL-адреса назначения из таблицы "Требования к подключению к Интернету для виртуальных машин узлов безопасности данных гибридного типа". Теперь таблица ссылается на список, который хранится в таблице "Дополнительные URL-адреса для служб гибридного типа Webex Teams" в разделе Требования к сети для служб Webex Teams.

24 января 2019 г.

Служба безопасности данных гибридного типа теперь поддерживает Microsoft SQL Server в качестве базы данных. SQL Server Always On (Always On Failover Clusters and Always on Availability Groups) поддерживается драйверами JDBC, которые используются в службе безопасности данных гибридного типа. Добавлен контент, связанный с развертыванием с помощью SQL Server.

Поддержка Microsoft SQL Server предназначена только для новых развертываний системы безопасности данных гибридного типа. В настоящее время миграция данных с PostgreSQL на Microsoft SQL Server в существующем развертывании не поддерживается.

5 ноября 2018 г.

Добавлен предварительный шаг по очистке всех существующих экземпляров docker hds в разделе Create a Configuration ISO for the HDS Hosts and Change the Node Configuration.
Обновлен шаг уровня доступа ключа в разделе Создание конфигурации ISO для узлов HDS для соответствия интерфейсу.

19 октября 2018 г.

Разделите информацию о подключении брандмауэра на требования узла и требования к машине конфигурации ISO в разделе Выполнение предварительных требований для безопасности данных гибридного типа.

31 июля 2018 г.

Добавлен порт 22 (доступ SSH) и информация о соединениях NAT и брандмауэра для выполнения предварительных требований для безопасности данных гибридного типа.

21 мая 2018 г.

Изменена терминология для отражения ребрендинга Cisco Spark.

Служба безопасности данных гибридного типа Cisco Spark теперь является службой безопасности данных гибридного типа.
Приложение Cisco Spark теперь является приложением Webex.
Облако Cisco Collaboraton теперь является облаком Webex.

11 апреля 2018 г.

Добавлен резервный центр обработки данных для аварийного восстановления.
Обновлено Complete the Prerequisites for Data Security гибридного типа, чтобы указать, что среда резервного копирования должна находиться в другом центре обработки данных.
Обновлено аварийное восстановление с помощью резервного центра обработки данных.

22 февраля 2018 г.

Добавлена информация о пароле учетной записи службы за 9 месяцев и использовании инструмента настройки HDS для сброса паролей учетной записи службы в разделе Создание конфигурации ISO для узлов HDS и Изменение конфигурации узла.

15 февраля 2018 г.

В таблице требований к сертификатам X.509 указано, что сертификат не может быть групповым сертификатом и что KMS использует домен CN, а не любой домен, определенный в полях SAN x.509v3.

18 января 2018 г.

Добавлено приложение Трафик между узлами HDS и облаком.
Устранена проблема из раздела Известные проблемы безопасности данных гибридного типа.
Изменен index.docker.io на *.docker.io и добавлен *.cloudfront.net в список требований к подключению TCP для узлов HDS в разделе Complete the Prerequisites for Hybrid Data Security.
Обновлено Create a Configuration ISO for the HDS Hosts (Создать конфигурацию ISO для узлов HDS), чтобы указать, что если хост базы данных и сервер системного журнала не разрешаются DNS из узлов HDS, их необходимо настроить с помощью IP-адресов.

2 ноября 2017 г.

Уточнена синхронизация каталогов HdsTrialGroup.
Исправлены инструкции по загрузке файла конфигурации ISO для установки на узлы виртуальной машины.

18 августа 2017 г.

Впервые опубликовано

Начало работы с безопасностью данных гибридного типа

Обзор безопасности данных гибридного типа

Безопасность данных с первого дня была главной задачей при разработке приложения Webex. Краеугольным камнем этой безопасности является сквозное шифрование контента, обеспечиваемое клиентами приложения Webex , взаимодействующими со службой управления ключами (KMS). KMS отвечает за создание и управление криптографическими ключами, которые используются клиентами для динамического шифрования и расшифровки сообщений и файлов.

По умолчанию все клиенты приложения Webex получают сквозное шифрование с помощью динамических ключей, хранящихся в облачной KMS в области безопасности Cisco. Служба безопасности данных гибридного типа перемещает KMS и другие функции безопасности в корпоративный центр обработки данных, поэтому доступ к ключам для зашифрованного контента будет только у вас.

Архитектура сферы безопасности

Облачная архитектура Webex разделяет различные типы служб на отдельные сферы или доверенные домены, как показано ниже.

***Области разделения (без безопасности данных гибридного типа)***

Чтобы лучше понять безопасность данных гибридного типа, давайте рассмотрим пример чистого облака, в котором Cisco предоставляет все функции в облачных сферах. Служба удостоверений, единственное место, где пользователи могут напрямую коррелировать с их личной информацией, такой как адрес электронной почты, логически и физически отделена от сферы безопасности в центре обработки данных B. Обе службы, в свою очередь, отделены от сферы, где в конечном итоге хранится зашифрованный контент, в центре обработки данных C.

На этой схеме клиентом является приложение Webex, запущенное на ноутбуке пользователя и прошедшее аутентификацию с помощью службы удостоверений. Когда пользователь создает сообщение для отправки в пространство, выполняются следующие действия.

Клиент устанавливает безопасное соединение со службой управления ключами (KMS), затем запрашивает ключ для шифрования сообщения. Безопасное соединение использует ECDH, а KMS шифрует ключ с помощью главного ключа AES-256.
Сообщение зашифровано перед выходом из клиента. Клиент отправляет его в службу индексирования, которая создает зашифрованные индексы поиска для облегчения будущих поисков контента.
Зашифрованное сообщение отправляется в службу соответствия для проверки соответствия.
Зашифрованное сообщение хранится в области хранилища.

При развертывании службы безопасности данных гибридного типа функции области безопасности (KMS, индексация и соответствие требованиям) перемещаются в локальный центр обработки данных. Другие облачные службы, составляющие Webex (включая хранилище удостоверений и контента), остаются в сфере Cisco.

Сотрудничество с другими организациями

Пользователи в вашей организации могут регулярно использовать приложение Webex для совместной работы с внешними участниками в других организациях. Когда один из ваших пользователей запрашивает ключ для пространства, принадлежащего вашей организации (поскольку оно было создано одним из ваших пользователей), KMS отправляет ключ клиенту через защищенный канал ECDH. Однако если ключ для пространства принадлежит другой организации, ваша KMS маршрутизирует запрос в облако Webex через отдельный канал ECDH для получения ключа из соответствующей KMS, а затем возвращает ключ пользователю в исходном канале.

Служба KMS, запущенная в организации A, проверяет соединения с KMS в других организациях с помощью сертификатов PKI x.509. Подробные сведения о создании сертификата x.509 для использования с развертыванием службы безопасности данных гибридного типа см. в разделе Подготовка среды .

Ожидания развертывания системы безопасности данных гибридного типа

Развертывание службы безопасности данных гибридного типа требует значительных обязательств клиентов и осознания рисков, связанных с владением ключами шифрования.

Для развертывания службы безопасности данных гибридного типа необходимо предоставить:

Безопасный центр обработки данных в стране, являющейся поддерживаемым местоположением для планов Cisco Webex Teams.
Оборудование, программное обеспечение и доступ к сети описаны в разделе Подготовка среды.

Полная потеря ISO конфигурации, созданной для службы безопасности данных гибридного типа, или базы данных, которую вы предоставляете, приведет к потере ключей. Потеря ключа не позволяет пользователям расшифровать контент пространства и другие зашифрованные данные в приложении Webex. В этом случае можно создать новое развертывание, но будет отображаться только новый контент. Во избежание потери доступа к данным необходимо:

Управление резервным копированием и восстановлением базы данных и конфигурации ISO.
Будьте готовы выполнить быстрое аварийное восстановление при возникновении катастрофы, например сбой диска базы данных или аварийное завершение работы центра обработки данных.

Механизм возврата ключей в облако после развертывания HDS отсутствует.

Процесс настройки высокого уровня

В этом документе описывается настройка и управление развертыванием службы безопасности данных гибридного типа.

Настройка безопасности данных гибридного типа. Это включает подготовку необходимой инфраструктуры и установку программного обеспечения безопасности данных гибридного типа, тестирование развертывания с помощью подмножества пользователей в пробном режиме и, по завершении тестирования, переход к производству. Это преобразует всю организацию для использования кластера безопасности данных гибридного типа для функций безопасности.
Этапы установки, тестирования и производства подробно описаны в следующих трех главах.
Поддерживайте развертывание службы безопасности данных гибридного типа: облако Webex автоматически обеспечивает текущую модернизацию. Ваш ИТ-отдел может предоставить поддержку первого уровня для этого развертывания и при необходимости задействовать службу поддержки Cisco. В Control Hub можно использовать экранные уведомления и настроить предупреждения на основе электронной почты.
Понимание общих предупреждений, шагов по устранению неполадок и известных проблем. При возникновении проблем при развертывании или использовании службы безопасности данных гибридного типа последняя глава этого руководства и приложение «Известные проблемы» могут помочь вам определить и устранить проблему.

Модель развертывания системы безопасности данных гибридного типа

В корпоративном центре обработки данных развертывается служба безопасности данных гибридного типа как единый кластер узлов на отдельных виртуальных узлах. Узлы взаимодействуют с облаком Webex через защищенные веб-сокеты и безопасный HTTP.

В процессе установки мы предоставляем вам файл OVA для настройки виртуального устройства на предоставленных вами виртуальных машинах. Инструмент настройки HDS используется для создания пользовательского файла конфигурации кластера ISO, который монтируется на каждом узле. Кластер безопасности данных гибридного типа использует предоставленный вами сервер Syslogd и базу данных PostgreSQL или Microsoft SQL Server. (Сведения о подключении к системному журналу и базе данных можно настроить в инструменте настройки HDS.)

Модель развертывания системы безопасности данных гибридного типа

Минимальное количество узлов, которые можно иметь в кластере, составляет два. Мы рекомендуем не менее трех, а вы можете иметь до пяти. Наличие нескольких узлов гарантирует, что служба не прерывается во время обновления программного обеспечения или других действий по техническому обслуживанию на узле. (Облако Webex одновременно обновляет только один узел.)

Все узлы в кластере получают доступ к одному хранилищу данных ключа и активность журнала на одном сервере системного журнала. Сами узлы являются апатридами и обрабатывают ключевые запросы круглыми путями в соответствии с указаниями облака.

Узлы становятся активными при их регистрации в Control Hub. Чтобы вывести отдельный узел из эксплуатации, его можно отменить регистрацию, а затем при необходимости повторно зарегистрировать.

Для каждой организации поддерживается только один кластер.

Пробный режим безопасности данных гибридного типа

После настройки развертывания службы безопасности данных гибридного типа попробуйте сначала с помощью набора пилотных пользователей. В течение пробного периода эти пользователи используют локальный домен безопасности данных гибридного типа для ключей шифрования и других служб безопасности. Другие пользователи продолжают использовать область облачной безопасности.

Если вы решите не продолжать развертывание во время пробной версии и деактивировать службу, пилотные пользователи и все пользователи, с которыми они взаимодействовали путем создания новых пространств в течение пробного периода, потеряют доступ к сообщениям и контенту. В приложении Webex будет отображено сообщение "Это сообщение невозможно расшифровать".

Если вы удовлетворены тем, что развертывание работает хорошо для пользователей пробной версии и готовы распространить службу безопасности данных гибридного типа на всех пользователей, развертывание будет перенесено в производство. Пилотные пользователи по-прежнему имеют доступ к ключам, которые использовались во время пробной версии. Однако вы не можете перемещаться между режимом производства и исходным пробным запуском. Если необходимо деактивировать службу, например для выполнения аварийного восстановления, при повторной активации необходимо запустить новую пробную версию и настроить набор пилотных пользователей для новой пробной версии, прежде чем вернуться в рабочий режим. Сохранение пользователями доступа к данным на данном этапе зависит от того, успешно ли выполнено резервное копирование хранилища ключевых данных и файла конфигурации ISO для узлов безопасности данных гибридного типа в кластере.

Резервный центр обработки данных для аварийного восстановления

Во время развертывания можно настроить безопасный резервный центр обработки данных. В случае аварийного состояния центра обработки данных можно вручную свернуть развертывание в резервный центр обработки данных.

Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode. — ***Переключение на резервный центр обработки данных вручную***

Базы данных активных и резервных центров обработки данных синхронизированы друг с другом, что позволяет минимизировать время, затрачиваемое на отработку отказа. Файл ISO резервного центра обработки данных обновлен дополнительными конфигурациями, которые обеспечивают регистрацию узлов в организации, но не будут обрабатывать трафик. Таким образом, узлы резервного центра обработки данных всегда обновляются с новейшей версией программного обеспечения HDS.

Активные узлы безопасности данных гибридного типа должны всегда находиться в том же центре обработки данных, что и активный сервер базы данных.

Настройка резервного центра обработки данных для аварийного восстановления

Чтобы настроить файл ISO резервного центра обработки данных, выполните приведенные ниже действия.

Перед началом работы

Резервный центр обработки данных должен отражать рабочую среду виртуальных машин и резервную базу данных PostgreSQL или Microsoft SQL Server. Например, если в производстве имеется 3 ВМ с узлами HDS, резервная среда должна иметь 3 ВМ. (Обзор этой модели отработки отказа см. в разделе Standby Data Center for Disaster Recovery .)
Убедитесь, что синхронизация базы данных включена между базой данных активных и пассивных узлов кластера.

Запустите инструмент настройки HDS и выполните действия, указанные в разделе Создание конфигурации ISO для узлов HDS.

Файл ISO должен быть копией оригинального файла ISO основного центра обработки данных, на который должны быть внесены следующие обновления конфигурации.

После настройки сервера Syslogd щелкните Расширенные настройки

На странице Расширенные настройки добавьте конфигурацию ниже, чтобы перевести узел в пассивный режим. В этом режиме узел будет зарегистрирован в организации и подключен к облаку, но не будет обрабатывать трафик.


passiveMode: 'true'

Завершите процесс настройки и сохраните файл ISO в удобном для поиска местоположении.

Сделайте резервную копию файла ISO в локальной системе. Обеспечьте безопасность резервной копии. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничить доступ только тем администраторам безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию.

В левой панели навигации клиента VMware vSphere щелкните правой кнопкой мыши виртуальную машину и выберите Редактировать настройки..

Щелкните Edit Settings >CD/DVD Drive 1 и выберите Datastore ISO File.

Убедитесь, что Connected и Connect at power on установлены флажки, чтобы обновленные изменения конфигурации вступили в силу после запуска узлов.

Включите узел HDS и убедитесь в отсутствии аварийных сигналов в течение не менее 15 минут.

Повторите процесс для каждого узла в резервном центре обработки данных.

Проверьте системные журналы, чтобы убедиться, что узлы находятся в пассивном режиме. Вы должны иметь возможность просматривать сообщение «KMS configured in passive mode» в системных журналах.

Дальнейшие действия

После настройки passiveMode в файле ISO и сохраняя его, вы можете создать другую копию файла ISO без passiveMode и сохраните его в безопасном местоположении. Эта копия файла ISO без passiveMode настроенная система может помочь в быстром процессе отработки отказа во время аварийного восстановления. Подробную процедуру отработки отказа см. в разделе Аварийное восстановление с использованием резервного центра обработки данных .

Поддержка прокси

Служба безопасности данных гибридного типа поддерживает явные прокси, прозрачные прокси с проверкой и прокси без проверки. Чтобы обеспечить защиту и мониторинг трафика из сети предприятия в облако, можно связать эти прокси с развертыванием. После настройки прокси на узлах административный интерфейс платформы на узлах можно использовать для управления сертификатами и просмотра общего состояния соединений.

Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.

No proxy (Без прокси). Этот параметр применяется по умолчанию, если для интеграции прокси не используется конфигурация прокси и зоны доверия настройки узла HDS. Обновление сертификата не требуется.
Transparent non-inspecting proxy (Прозрачный прокси без проверки). Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.
Transparent tunneling or inspecting proxy (Прозрачный туннельный прокси или прокси с проверкой). Узлы не настроены для использования адреса определенного прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
Explicit proxy (Явный прокси). При использовании явного прокси необходимо указать прокси-сервер и схему аутентификации, которые должны использовать узлы HDS. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.
1. Proxy IP/FQDN (IP-адрес или FQDN прокси). Адрес, который можно использовать для доступа к прокси-машине.
2. Proxy Port (Порт прокси). Номер порта, который используется прокси для прослушивания трафика, передаваемого через прокси.
3. Proxy Protocol (Протокол прокси). Выберите протокол, поддерживаемый прокси-сервером. Доступные протоколы указаны ниже.
  - HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.
  - HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.
4. Authentication Type (Тип аутентификации). Выберите один из перечисленных ниже типов аутентификации.
  - None (Нет). Дальнейшая аутентификация не требуется.
    
    Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
  - Basic (Базовая). Используется для оператора пользователя HTTP в целях предоставления имени пользователя и пароля при совершении запроса. Использует кодировку Base64.
    
    Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
    
    Требует ввода имени пользователя и пароля на каждом узле.
  - Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.
    
    Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.
    
    Требует ввода имени пользователя и пароля на каждом узле.

Пример узлов безопасности данных гибридного типа и прокси

На этой схеме представлен пример соединения между системой безопасности данных гибридного типа, сетью и прокси. При использовании прозрачного прокси с проверкой или явного прокси с проверкой HTTPS на прокси и узлы безопасности данных гибридного типа необходимо установить один и тот же корневой сертификат.

Режим блокировки разрешения внешних DNS (конфигурации явного прокси)

При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. В развертываниях с конфигурациями явного прокси, которые не допускают разрешения внешних DNS для внутренних клиентов, если узел не может посылать запросы на DNS-серверы, он автоматически переходит в режим блокировки разрешения внешних DNS. В этом режиме можно продолжить регистрацию узла и другие тестирования подключения к прокси.

Подготовка среды

Требования к безопасности данных гибридного типа

Требования к лицензии Cisco Webex

Развертывание службы безопасности данных гибридного типа.

У вас должен быть профессиональный пакет Cisco Webex Control Hub. (См. https://www.cisco.com/go/pro-pack.)

Требования к рабочему столу Docker

Перед установкой узлов HDS необходимо запустить программу установки Docker Desktop. Docker недавно обновил свою модель лицензирования. Вашей организации может потребоваться платная подписка на Docker Desktop. Подробности см. В сообщении блога Docker " Docker обновляет и расширяет подписки на наши продукты ".

Требования к сертификату X.509

Цепочка сертификатов должна отвечать следующим требованиям:

Таблица 1. Требования к сертификату X.509 для развертывания системы безопасности данных гибридного типа
Требование	Сведения
Подписано доверенным центром сертификации (CA)	По умолчанию мы доверяем ЦС в списке Mozilla (за исключением WoSign и StartCom) по адресу https://wiki.mozilla.org/CA:IncludedCAs.
Имеет имя домена общего имени (CN), которое идентифицирует развертывание службы безопасности данных гибридного типа Не является групповым сертификатом	CN не должен быть доступным или быть в режиме реального времени организатором. Рекомендуется использовать название, которое отражает вашу организацию, например `hds.company.com`. CN не должен содержать * (подстановочный знак). CN используется для проверки узлов безопасности данных гибридного типа для клиентов приложения Webex. Все узлы безопасности данных гибридного типа в кластере используют один и тот же сертификат. Ваш KMS идентифицирует себя с помощью домена CN, а не какого-либо домена, определенного в полях SAN x.509v3. После регистрации узла с этим сертификатом изменение имени домена CN не поддерживается. Выберите домен, который может применяться как к пробному, так и к производственному развертыванию.
Подпись без SHA1	Программное обеспечение KMS не поддерживает подписи SHA1 для проверки подключений к KMS других организаций.
Отформатирован как защищенный паролем файл PKCS #12 Используйте дружественное имя `kms-private-key` чтобы пометить сертификат, закрытый ключ и все промежуточные сертификаты для загрузки.	Для изменения формата сертификата можно использовать конвертер, например OpenSSL. При запуске инструмента настройки HDS необходимо будет ввести пароль.

Программное обеспечение KMS не обеспечивает принудительное использование ключей или расширенные ограничения использования ключей. Некоторые центры сертификации требуют, чтобы к каждому сертификату применялись расширенные ограничения использования ключей, такие как аутентификация сервера. Можно использовать аутентификацию сервера или другие настройки.

Требования к виртуальному организатору

К виртуальным узлам, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере, предъявляются следующие требования.

Не менее двух отдельных узлов (рекомендуется 3), расположенных в одном защищенном центре обработки данных

Установлен и запущен VMware ESXi 6.5 (или более поздняя версия).

Если у вас есть более ранняя версия ESXi, необходимо выполнить модернизацию.

Минимум 4 vCPU, 8 ГБ основной памяти, 30 ГБ локального дискового пространства на сервере

Требования к серверу базы данных

Создайте новую базу данных для хранения ключей. Не используйте базу данных по умолчанию. При установке приложения HDS создайте схему базы данных.

Существует два варианта для сервера базы данных. Требования к каждому из них следующие:

Таблица 2. Требования к серверу базы данных по типу базы данных

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 или 16, установлен и запущен.

Установлен SQL Server 2016, 2017 или 2019 (корпоративный или стандартный).

Для SQL Server 2016 требуется пакет обновления 2 и кумулятивное обновление 2 или более поздние версии.

Минимум 8 vCPU, 16 ГБ основной памяти, достаточное место на жестком диске и мониторинг, чтобы убедиться, что он не превышен (рекомендуется 2 ТБ, если вы хотите запустить базу данных в течение длительного времени без необходимости увеличения объема хранилища)

Программное обеспечение HDS в настоящее время устанавливает следующие версии драйверов для связи с сервером базы данных:

PostgreSQL	Microsoft SQL Server
Драйвер JDBC Postgres 42.2.5	Драйвер JDBC SQL Server 4.6 Эта версия драйвера поддерживает SQL Server Always On ( Always On Failover Cluster Instances и Always On Availability groups).

PostgreSQL

Microsoft SQL Server

Драйвер JDBC Postgres 42.2.5

Драйвер JDBC SQL Server 4.6

Эта версия драйвера поддерживает SQL Server Always On ( Always On Failover Cluster Instances и Always On Availability groups).

Дополнительные требования к аутентификации Windows в Microsoft SQL Server

Если вы хотите, чтобы узлы HDS использовали аутентификацию Windows для получения доступа к базе данных хранилища ключей на Microsoft SQL Server, в вашей среде необходима следующая конфигурация:

Узлы HDS, инфраструктура Active Directory и MS SQL Server должны синхронизироваться с NTP.
Учетная запись Windows, предоставленная узлам HDS, должна иметь доступ на чтение/запись к базе данных.
Серверы DNS, которые вы предоставляете узлам HDS, должны иметь возможность разрешить работу центра распределения ключей (KDC).
Экземпляр базы данных HDS можно зарегистрировать на сервере Microsoft SQL в качестве главного имени службы (SPN) в Active Directory. См. раздел Регистрация имени главного поставщика услуг для соединений Kerberos.

Инструмент настройки HDS, средство запуска HDS и локальный KMS должны использовать аутентификацию Windows для доступа к базе данных хранилища ключей. Они используют сведения из конфигурации ISO для создания SPN при запросе доступа с аутентификацией Kerberos.

Требования к внешним подключениям

Настройте брандмауэр таким образом, чтобы разрешить следующее подключение для приложений HDS.

Приложение	Protocol	Port (Порт)	Направление из приложения	Адресат
Узлы безопасности данных гибридного типа	TCP	443	Исходящие HTTPS и WSS	Серверы Webex: .wbx2.com .ciscospark.com Все узлы общих параметров идентификации Другие URL-адреса, перечисленные для безопасности данных гибридного типа в таблице Дополнительные URL-адреса для служб гибридного типа Webex Требования к сети для служб Webex
инструмент настройки HDS	TCP	443	Исходящий HTTPS	*.wbx2.com Все узлы общих параметров идентификации hub.docker.com

Узлы безопасности данных гибридного типа работают с преобразованием сетевого доступа (NAT) или за брандмауэром, если NAT или брандмауэр разрешает требуемые исходящие соединения с адресатами домена в предыдущей таблице. Для соединений, входящих в узлы безопасности данных гибридного типа, порты не должны быть видны из Интернета. В центре обработки данных клиентам необходим доступ к узлам безопасности данных гибридного типа на портах TCP 443 и 22 для административных целей.

URL-адреса узлов общих параметров идентификации (CI) зависят от региона. Это текущие хосты CI:

Регион	URL-адреса общих узлов удостоверений
Северная и Южная Америка	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Европейский союз	https://idbroker-eu.webex.com https://identity-eu.webex.com
Канада	https://idbroker-ca.webex.com https://identity-ca.webex.com

Требования к прокси-серверу

Мы официально поддерживаем следующие решения для прокси, которые можно интегрировать с узлами безопасности данных гибридного типа:

для прозрачных прокси – Cisco Web Security Appliance (WSA);

для явных прокси – Squid.

Прокси Squid, выполняющие проверку HTTPS-трафика, могут влиять на установление соединений веб-сокетов (wss:) . Для решения этой проблемы см. раздел Настройка прокси-серверов Squid для безопасности данных гибридного типа.

Поддерживаются следующие комбинации типов аутентификации для явных прокси:
- без аутентификации при использовании HTTP или HTTPS;
- базовая аутентификация при использовании HTTP или HTTPS;
- дайджест-аутентификация только при использовании HTTPS;
При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.
Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.
Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. При возникновении этой проблемы обход (без проверки) трафика на wbx2.com и ciscospark.com решит проблему.

Выполнение предварительных требований для безопасности данных гибридного типа

Используйте этот контрольный список, чтобы убедиться в готовности к установке и настройке кластера безопасности данных гибридного типа.

Убедитесь, что для вашей организации Webex включена профессиональная версия Cisco Webex Control Hub, и получите учетные данные учетной записи с полными правами администратора организации. За помощью в этом процессе обратитесь к партнеру Cisco или менеджеру по работе с клиентами.

Выберите имя домена для развертывания HDS (например, hds.company.com) и получить цепочку сертификатов, содержащую сертификат X.509, закрытый ключ и любые промежуточные сертификаты. Цепочка сертификатов должна соответствовать требованиям сертификатов X.509.

Подготовьте идентичные виртуальные хосты, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере. Необходимо, чтобы в одном защищенном центре обработки данных находились не менее двух отдельных узлов (рекомендуется 3), которые соответствуют требованиям, изложенным в требованиях к виртуальному узлу.

Подготовьте сервер базы данных, который будет выступать в качестве хранилища данных ключей для кластера в соответствии с требованиями к серверу базы данных. Сервер базы данных должен быть размещен в защищенном центре обработки данных с виртуальными хостами.

Создайте базу данных для хранения ключей. (Необходимо создать эту базу данных — не используйте базу данных по умолчанию. При установке приложения HDS создайте схему базы данных.)
Соберите сведения, которые узлы будут использовать для связи с сервером базы данных.
- имя хоста или IP-адрес (хост) и порт
- имя базы данных (dbname) для хранения ключей
- имя пользователя и пароль пользователя со всеми правами в базе данных хранилища ключей

Для быстрого аварийного восстановления настройте резервную среду в другом центре обработки данных. Среда резервного копирования отражает рабочую среду виртуальных машин и сервера резервной базы данных. Например, если в производстве имеется 3 ВМ с узлами HDS, резервная среда должна иметь 3 ВМ.

Настройте хост системного журнала для сбора журналов с узлов в кластере. Соберите его сетевой адрес и порт системного журнала (по умолчанию UDP 514).

Создайте политику безопасного резервного копирования для узлов безопасности данных гибридного типа, сервера базы данных и узла системного журнала. Как минимум, чтобы предотвратить неизлечимую потерю данных, необходимо создать резервную копию базы данных и файла конфигурации ISO, созданного для узлов безопасности данных гибридного типа.

Поскольку узлы безопасности данных гибридного типа хранят ключи, используемые для шифрования и расшифровки контента, неспособность поддерживать оперативное развертывание приведет к НЕВОСПОЛНИМОЙ ПОТЕРЕ этого контента.

Клиенты приложения Webex кэшируют свои ключи, поэтому отключение может быть заметным не сразу, но со временем оно станет очевидным. Хотя временные отключения невозможно предотвратить, они могут быть восстановлены. Однако полная потеря (без резервных копий) базы данных или файла конфигурации ISO приведет к невосстановимым данным о клиенте. Ожидается, что операторы узлов безопасности данных гибридного типа будут вести частые резервные копии базы данных и файла конфигурации ISO, а также будут готовы восстановить центр обработки данных службы безопасности данных гибридного типа в случае катастрофического сбоя.

Убедитесь, что конфигурация брандмауэра обеспечивает подключение к узлам безопасности данных гибридного типа, как описано в требованиях к внешним подключениям.

Установите Docker ( https://www.docker.com) на любой локальной машине с поддерживаемой ОС (64-разрядная версия Microsoft Windows 10 Professional или Enterprise или Mac OSX Yosemite 10.10.3 или более поздняя версия) с веб-браузером, который может получить к нему доступ по ссылке http://127.0.0.1:8080.

Экземпляр Docker используется для загрузки и запуска инструмента настройки HDS, который создает информацию о локальной конфигурации для всех узлов безопасности данных гибридного типа. Вашей организации может потребоваться лицензия Docker Desktop. Дополнительные сведения см. в разделе Требования к рабочему столу Docker.

Чтобы установить и запустить инструмент настройки HDS, локальная машина должна иметь подключение, описанное в требованиях к внешним подключениям.

При интеграции прокси с безопасностью данных гибридного типа убедитесь, что он соответствует требованиям прокси-сервера.

Если в вашей организации используется синхронизация каталогов, создайте группу в Active Directory под названием HdsTrialGroup и добавьте пилотных пользователей. Пробная группа может иметь до 250 пользователей. Файл HdsTrialGroup перед запуском пробной версии для организации необходимо синхронизировать объект с облаком. Чтобы синхронизировать объект группы, выберите его в соединителе каталогов Конфигурация > Выбор объекта . (Подробные инструкции см. в руководстве по развертыванию соединителя каталогов Cisco.)

Ключи для определенного пространства устанавливаются создателем пространства. При выборе пилотных пользователей следует иметь в виду, что если вы решите окончательно деактивировать развертывание службы безопасности данных гибридного типа, все пользователи потеряют доступ к контенту в пространствах, созданных пилотными пользователями. Потеря становится очевидной, как только приложения пользователей обновят кэшированные копии контента.

Настройка кластера безопасности данных гибридного типа

Процесс выполнения задач по развертыванию системы безопасности данных гибридного типа

Перед началом работы

Скачайте файл OVA на локальный компьютер для последующего использования.

Используйте инструмент настройки HDS для создания файла конфигурации ISO для узлов безопасности данных гибридного типа.

Настройка виртуальной машины безопасности данных гибридного типа

Создайте виртуальную машину из файла OVA и выполните начальную конфигурацию, например сетевые настройки.

Войдите в консоль виртуальной машины и задайте учетные данные для входа. Настройте сетевые параметры узла, если они не были настроены во время развертывания OVA.

Настройте виртуальную машину из файла конфигурации ISO, созданного с помощью инструмента настройки HDS.

Если для сетевой среды требуется конфигурация прокси, укажите тип прокси, который будет использоваться для узла, и при необходимости добавьте сертификат прокси в доверенное хранилище.

Зарегистрируйте виртуальную машину в облаке Cisco Webex в качестве узла безопасности данных гибридного типа.

Настройка кластера безопасности данных гибридного типа

Завершите настройку кластера.

Запустить пробную версию и перейти к производству (следующая глава)

Пока вы не начнете пробную версию, ваши узлы будут генерировать сигнал о том, что ваша служба еще не активирована.

Скачивание файлов установки

В этой задаче вы загружаете файл OVA на компьютер (а не на серверы, настроенные в качестве узлов безопасности данных гибридного типа). Этот файл будет использован позже в процессе установки.

Войдите в https://admin.webex.com и щелкните Службы.

В разделе служб гибридного типа найдите карточку безопасности данных гибридного типа и щелкните Настройка.

Если карточка отключена или вы ее не видите, обратитесь в команду по работе с клиентами или партнерскую организацию. Укажите номер своей учетной записи и попросите включить для вашей организации функцию безопасности данных гибридного типа. Чтобы найти номер учетной записи, щелкните шестеренку в правом верхнем углу рядом с названием организации.

Вы также можете скачать OVA в любое время в разделе Справка на странице Настройки . На карточке безопасности данных гибридного типа щелкните Изменить настройки , чтобы открыть страницу. Затем щелкните Скачать программное обеспечение безопасности данных гибридного типа в разделе Справка .

Более старые версии пакета программного обеспечения (OVA) не будут совместимы с последними обновлениями службы безопасности данных гибридного типа. Это может привести к проблемам при модернизации приложения. Обязательно скачайте последнюю версию файла OVA.

Выберите Нет , чтобы указать, что узел еще не настроен, и нажмите Далее.

Файл OVA автоматически начинает скачиваться. Сохраните файл в местоположении на компьютере.

При необходимости щелкните Открыть руководство по развертыванию , чтобы проверить, доступна ли более поздняя версия этого руководства.

Создание ISO конфигурации для узлов HDS

Процесс настройки безопасности данных гибридного типа создает файл ISO. Затем вы используете ISO для настройки узла безопасности данных гибридного типа.

Перед началом работы

Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Control Hub с полными правами администратора вашей организации.

Если инструмент настройки HDS работает за прокси в вашей среде, укажите настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при переносе контейнера Docker на шаге 5. В этой таблице указаны некоторые из возможных переменных среды.

Описание	Переменная
HTTP-прокси без аутентификации	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-прокси без аутентификации	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-прокси с аутентификацией	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-прокси с аутентификацией	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Созданный файл конфигурации ISO содержит главный ключ, шифрующий базу данных PostgreSQL или Microsoft SQL Server. Вам потребуется последняя копия этого файла при внесении изменений в конфигурацию, например:
- учетные данные базы данных
- Обновления сертификата
- Изменения политики авторизации
Если вы планируете шифровать соединения с базой данных, настройте развертывание PostgreSQL или SQL Server для TLS.

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

По завершении скачивания введите соответствующую команду для вашей среды.

В обычных средах без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

В обычных средах с HTTP-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В обычных средах с HTTPS-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В средах FedRAMP без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

В средах FedRAMP с HTTP-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

В средах FedRAMP с HTTPS-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

Инструмент настройки не поддерживает подключение к localhost через http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

Используйте веб-браузер для перехода к локальному узлу, http://127.0.0.1:8080 и введите имя пользователя администратора клиента для Control Hub в окне запроса.

Инструмент использует эту первую запись имени пользователя для настройки соответствующей среды для этой учетной записи. В этом инструменте отображается стандартная подсказка для входа в систему.

По запросу введите учетные данные для входа администратора клиента Control Hub, а затем щелкните Войти, чтобы разрешить доступ к необходимым службам для безопасности данных гибридного типа.

На странице обзора инструмента настройки щелкните Начало работы.

На странице импорта ISO доступны следующие параметры:

Нет. При создании первого узла HDS у вас нет файла ISO для загрузки.
Да. Если вы уже создали узлы HDS, выберите файл ISO в окне просмотра и загрузите его.

Убедитесь, что сертификат X.509 соответствует требованиям, изложенным в требованиях к сертификатам X.509.

Если сертификат ранее не загружался, загрузите сертификат X.509, введите пароль и нажмите Продолжить.
Если сертификат ОК, нажмите Продолжить.
Если срок действия сертификата истек или необходимо заменить его, выберите Нет для продолжения использования цепочки сертификатов HDS и закрытого ключа из предыдущего ISO?. Загрузите новый сертификат X.509, введите пароль и нажмите Продолжить.

Введите адрес базы данных и учетную запись HDS для доступа к хранилищу данных ключа:

Выберите тип базы данных (PostgreSQL или Microsoft SQL Server).

Если выбран Microsoft SQL Server, появится поле Authentication Type (Тип аутентификации).
(Только Microsoft SQL Server) Выберите тип аутентификации:
- Базовая аутентификация: В поле Имя пользователя необходимо указать имя учетной записи SQL Server.
- Аутентификация Windows: Вам нужна учетная запись Windows в формате username@DOMAIN в поле Имя пользователя .
Введите адрес сервера базы данных в форме <hostname>:<port> или <IP-address>:<port>.

Пример.
dbhost.example.org:1433 или 198.51.100.17:1433

Для базовой аутентификации можно использовать IP-адрес, если узлы не могут использовать DNS для разрешения имени узла.

При использовании аутентификации Windows необходимо ввести полное доменное имя в формате dbhost.example.org:1433
Введите имя базы данных.
Введите имя пользователя и пароль пользователя со всеми правами в базе данных хранилища ключей.

Выберите режим подключения к базе данных TLS:

Mode

Описание

Предпочтительно использование TLS (параметр по умолчанию)

Узлам HDS не требуется TLS для подключения к серверу базы данных. Если включить TLS на сервере базы данных, узлы попытаются установить зашифрованное соединение.

Обязательное использование TLS

Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.

Обязательное использование TLS и проверка источника подписи сертификата

Этот режим не применим к базам данных SQL Server.

Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.
После установления соединения TLS узел сравнивает отправителя подписи сертификата от сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение.

Воспользуйтесь элементом управления корневым сертификатом базы данных под раскрывающимся списком, чтобы загрузить корневой сертификат для этого параметра.

Обязательное использование TLS и проверка источника подписи сертификата и имени узла

Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.
После установления соединения TLS узел сравнивает отправителя подписи сертификата от сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение.
Узлы также проверяют, соответствует ли имя хоста в сертификате сервера имени хоста в поле Хост базы данных и порт . Необходимо точное совпадение имен. Иначе узел разорвет соединение.

При загрузке корневого сертификата (при необходимости) и нажатии Continue (Продолжить) инструмент настройки HDS тестирует соединение TLS с сервером базы данных. Инструмент также выполняет проверку источника подписи сертификата и имени узла (если применимо). Если тест не будет пройден, в инструменте будет отображено сообщение об ошибке с описанием проблемы. Можно выбрать параметр игнорирования ошибки и продолжить настройку. (Из-за различий в подключении узлы HDS могут установить соединение TLS, даже если машина инструмента настройки HDS не сможет успешно протестировать его.)

На странице «Системные журналы» настройте сервер Syslogd:

Введите URL-адрес сервера системного журнала.

Если сервер не разрешается DNS из узлов кластера HDS, используйте IP-адрес в URL.

Пример.
udp://10.92.43.23:514 указывает на вход в хост Syslogd 10.92.43.23 на порту UDP 514.
Если вы настроили на сервере использование шифрования TLS, проверьте, настроен ли ваш сервер системного журнала для шифрования SSL?.

Установив этот флажок, убедитесь, что введен URL-адрес TCP, например tcp://10.92.43.23:514.
В раскрывающемся списке Выбор завершения записи системного журнала выберите соответствующую настройку для файла ISO. Выберите или Newline используется для Graylog и Rsyslog TCP
- Null byte -- \x00
- Newline -- \n — выберите этот параметр для TCP Graylog и Rsyslog.
Щелкните Продолжить.

(Необязательно) Значение по умолчанию для некоторых параметров подключения к базе данных можно изменить в расширенных настройках. Как правило, этот параметр является единственным, который можно изменить:

app_datasource_connection_pool_maxSize: 10

Щелкните Продолжить на экране Сброс пароля учетных записей службы .

Срок службы паролей учетных записей службы составляет девять месяцев. Используйте этот экран, когда срок действия паролей близится к концу или вы хотите сбросить их, чтобы аннулировать предыдущие файлы ISO.

Щелкните Скачать файл ISO. Сохраните файл в удобном для поиска местоположении.

Сделайте резервную копию файла ISO в локальной системе.

Обеспечьте безопасность резервной копии. Этот файл содержит главный ключ шифрования для содержимого базы данных. Ограничить доступ только тем администраторам безопасности данных гибридного типа, которые должны вносить изменения в конфигурацию.

Чтобы выключить инструмент настройки, введите CTRL+C.

Дальнейшие действия

Создайте резервную копию файла конфигурации ISO. Она необходима для создания дополнительных узлов для восстановления или внесения изменений в конфигурацию. Если вы потеряете все копии файла ISO, вы также потеряете главный ключ. Восстановление ключей из базы данных PostgreSQL или Microsoft SQL Server невозможно.

У нас никогда нет копии этого ключа, и мы не можем помочь, если вы его потеряете.

Установка OVA узла HDS

Используйте эту процедуру для создания виртуальной машины из файла OVA.

Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi.

Выберите Файл > Развертывание шаблона OVF.

В мастере укажите расположение скачанного ранее файла OVA и щелкните Далее.

На Выберите имя и папку страница, введите Имя виртуальной машины для узла (например, HDS_Node_1) выберите местоположение, в котором может находиться развертывание узла виртуальной машины, а затем щелкните Далее.

На Выберите вычислительный ресурс выберите целевой вычислительный ресурс, а затем щелкните Далее.

Выполняется проверка. После завершения отображаются сведения о шаблоне.

Проверьте сведения о шаблоне и щелкните Далее.

Если вас попросят выбрать конфигурацию ресурса в Конфигурация страница, щелкните 4 ЦП и щелкните Далее.

На Выбрать хранилище страница, щелкните Далее для принятия формата диска по умолчанию и политики хранения VM.

На Выбор сетей выберите параметр сети из списка записей, чтобы обеспечить желаемое подключение к виртуальной машине.

На странице Настройка шаблона настройте следующие сетевые параметры.

Имя узла. Введите полное доменное имя (имя узла и домен) или одно имя узла для узла.

Вам не нужно настраивать домен в соответствии с доменом, который вы использовали для получения сертификата X.509.
Чтобы обеспечить успешную регистрацию в облаке, используйте только символы нижнего регистра в доменном имени или имени узла, заданном для узла. В настоящее время заглавные буквы не поддерживаются.
Общая длина FQDN не должна превышать 64 символов.

IP-адрес — введите IP-адрес для внутреннего интерфейса узла.

Ваш узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается.
Маска — введите адрес маски подсети в десятичной нотации. Например, 255.255.255.0.
Шлюз — введите IP-адрес шлюза. Шлюз — это сетевой узел, который служит точкой доступа к другой сети.
DNS-серверы — введите список DNS-серверов с разделителями-запятыми, которые обрабатывают перевод доменных имен на числовые IP-адреса. (Допускается до 4 записей DNS.)
Серверы NTP. Введите сервер NTP вашей организации или другой внешний сервер NTP, который может использоваться в вашей организации. Серверы NTP по умолчанию могут работать не для всех предприятий. Также можно использовать список с разделителями-запятыми для ввода нескольких серверов NTP.

Разверните все узлы в одной подсети или VLAN, чтобы все узлы в кластере были доступны клиентам в вашей сети в целях администрирования.

При необходимости можно пропустить конфигурацию сетевых настроек и выполнить действия, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа , чтобы настроить параметры на консоли узла.

Щелкните правой кнопкой мыши виртуальную машину узла и выберите Питание > Питание включено.

Программное обеспечение безопасности данных гибридного типа устанавливается в качестве гостя на узле виртуальной машины. Теперь вы готовы войти в консоль и настроить узел.

Рекомендации по устранению неисправностей

Может возникнуть задержка в несколько минут до появления контейнеров узла. Во время первой загрузки на консоли появляется сообщение брандмауэра моста, во время которого невозможно войти в систему.

Настройка виртуальной машины безопасности данных гибридного типа

Используйте эту процедуру для первого входа в консоль виртуальных машин узла безопасности данных гибридного типа и установки учетных данных для входа. Консоль также можно использовать для настройки сетевых параметров узла, если они не были настроены во время развертывания OVA.

1.	В клиенте VMware vSphere выберите VM узла безопасности данных гибридного типа и перейдите на вкладку Консоль . Виртуальная машина загружается, и появляется запрос на вход. Если запрос на вход не отображается, нажмите Enter.
2.	Для входа и изменения учетных данных используйте следующие логин и пароль по умолчанию. Вход: `admin` Пароль: `cisco` После первого входа в виртуальную машину необходимо изменить пароль администратора.
3.	Если параметры сети уже настроены в разделе Установка узла HDS OVA, пропустите оставшуюся часть этой процедуры. В противном случае в главном меню выберите пункт Редактировать конфигурацию .
4.	Настройте статическую конфигурацию с IP-адресом, маской, шлюзом и информацией о DNS. Ваш узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается.
5	(Необязательно) Измените имя узла, домен или серверы NTP, если это необходимо для соответствия политике сети. Вам не нужно настраивать домен в соответствии с доменом, который вы использовали для получения сертификата X.509.
6	Сохраните конфигурацию сети и перезагрузите виртуальную машину, чтобы изменения вступили в силу.

Загрузка и монтаж конфигурации HDS ISO

Используйте эту процедуру для настройки виртуальной машины из файла ISO, созданного с помощью инструмента настройки HDS.

Перед началом работы

Поскольку файл ISO содержит главный ключ, он должен быть раскрыт только на основании необходимости знать для доступа виртуальных машин безопасности данных гибридного типа и администраторов, которым может потребоваться внести изменения. Убедитесь, что доступ к хранилищу данных могут получить только эти администраторы.

Загрузите файл ISO с компьютера:

В левой панели навигации клиента VMware vSphere щелкните сервер ESXi.
В списке Аппаратное обеспечение вкладки Конфигурация щелкните Хранилище.
В списке Datastores щелкните правой кнопкой мыши хранилище данных для виртуальных машин и нажмите Browse Datastore.
Щелкните пиктограмму Загрузить файлы и нажмите Загрузить файл.
Перейдите в расположение, где вы скачали файл ISO на свой компьютер, и нажмите Открыть.
Нажмите Да , чтобы принять предупреждение операции загрузки и скачивания, и закройте диалоговое окно хранилища данных.

Подключите файл ISO:

На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.
Нажмите OK, чтобы принять предупреждение об ограниченных параметрах редактирования.
Щелкните кнопку CD/DVD Drive 1, выберите параметр для подключения из файла ISO хранилища данных и перейдите в расположение, куда загружен файл конфигурации ISO.
Установите флажки Подключено и Подключено при включении питания.
Сохраните изменения и перезагрузите виртуальную машину.

Дальнейшие действия

Если требуется ИТ-политика, можно при необходимости отменить монтирование файла ISO после того, как все узлы выберут изменения конфигурации. Подробности см. в статье (Необязательно) Отключение ISO после конфигурации HDS.

Настройка узла HDS для интеграции прокси

Если в сетевой среде необходимо использовать прокси, воспользуйтесь этой процедурой, чтобы указать тип прокси, который нужно интегрировать со службой безопасности данных гибридного типа. При выборе прозрачного прокси с проверкой или явного прокси HTTPS можно использовать интерфейс узла для загрузки и установки корневого сертификата. Кроме того, в интерфейсе можно проверять соединение с прокси и устранять неполадки.

Перед началом работы

Обзор поддерживаемых параметров прокси см. в разделе Поддержка прокси .
Требования к прокси-серверу

1.	Введите URL настройки узла HDS `https://[HDS Node IP or FQDN]/setup` в веб-браузере введите учетные данные администратора, настроенные для узла, и щелкните Войти.
2.	Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров. No Proxy (Без прокси). Этот параметр применяется по умолчанию до интеграции прокси. Обновление сертификата не требуется. Transparent Non-Inspecting Proxy (Прозрачный прокси без проверки). Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется. Transparent Inspecting Proxy (Прозрачный прокси с проверкой). Узлы не настроены для использования адреса определенного прокси-сервера. В развертывании службы безопасности данных гибридного типа не нужно вносить изменения в конфигурацию HTTPS, однако для обеспечения доверия прокси узлам HDS необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS). Explicit Proxy (Явный прокси). При использовании явного прокси необходимо указать прокси-сервер, который должен использовать клиент (узлы HDS). Этот параметр поддерживает несколько типов аутентификации. После выбора этого параметра необходимо ввести указанную далее информацию. Proxy IP/FQDN (IP-адрес или FQDN прокси). Адрес, который можно использовать для доступа к прокси-машине. Proxy Port (Порт прокси). Номер порта, который используется прокси для прослушивания трафика, передаваемого через прокси. Proxy Protocol (Протокол прокси). Выберите http (просматривает все запросы, получаемые от клиента, и управляет этими запросами) или https (обеспечивает работу канала связи с сервером; клиент получает и проверяет сертификат сервера). Выберите параметр в зависимости от того, какой протокол поддерживает используемый вами прокси-сервер. Authentication Type (Тип аутентификации). Выберите один из перечисленных ниже типов аутентификации. None (Нет). Дальнейшая аутентификация не требуется. Этот параметр доступен для прокси HTTP или HTTPS. Basic (Базовая). Используется для оператора пользователя HTTP в целях предоставления имени пользователя и пароля при совершении запроса. Использует кодировку Base64. Этот параметр доступен для прокси HTTP или HTTPS. Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль. Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети. Этот параметр доступен только для прокси HTTPS. Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль. В случае использования прозрачного прокси с проверкой, явного прокси HTTP с базовой аутентификацией или явного прокси HTTPS выполните указанные далее шаги.
3.	Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси. Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку-шеврон, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить).
4.	Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси). Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки. Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу. Такая проблема может возникнуть во многих конфигурациях явного прокси. Можно продолжить настройку, и узел будет работать в режиме блокировки разрешения внешних DNS. Если вы считаете, что это ошибка, выполните следующие действия, а затем увидите Отключить режим блокировки разрешения внешних DNS.
5	Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд.
6	Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке. Узел перезагрузится в течение нескольких минут.
7.	После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом. Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси.

Регистрация первого узла в кластере

Для выполнения этой задачи требуется общий узел, созданный в инструменте Настройка виртуальной машины безопасности данных гибридного типа, регистрирует узел в облаке Webex и превращает его в узел безопасности данных гибридного типа.

При регистрации первого узла создается кластер, которому этот узел назначен. Кластер содержит один или несколько узлов, развернутых для обеспечения избыточности.

Перед началом работы

Как только вы начнете регистрацию узла, вы должны завершить ее в течение 60 минут или начать заново.
Убедитесь, что все блокирующие всплывающие окна в браузере отключены или что для admin.webex.com разрешено исключение.

1.	Войдите в https://admin.webex.com.
2.	В меню в левой части экрана выберите Службы.
3.	В разделе служб гибридного типа найдите службу безопасности данных гибридного типа и щелкните Настройка. Откроется страница "Регистрация узла безопасности данных гибридного типа".
4.	Выберите Да , чтобы указать, что узел настроен и готов его зарегистрировать, а затем нажмите Далее.
5	В первом поле введите имя кластера, которому необходимо назначить узел безопасности данных гибридного типа. Рекомендуется присвоить кластеру имя в зависимости от географического расположения узлов кластера. Например: "Сан-Франциско", "Нью-Йорк" или "Даллас"
6	Во втором поле введите внутренний IP-адрес или полное доменное имя узла и нажмите Далее. Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем узла и доменом, которые использовались в разделе Настройка виртуальной машины безопасности данных гибридного типа. Отобразится сообщение о том, что узел можно зарегистрировать в Webex.
7.	Щелкните Перейти к узлу.
8	В предупреждающем сообщении нажмите Continue (Продолжить). Через несколько минут вы будете перенаправлены на тесты подключения узлов для служб Webex. Если все тесты прошли успешно, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Там вы подтверждаете, что хотите предоставить организации Webex полномочия на доступ к узлу.
9	Установите флажок Разрешить доступ к узлу безопасности данных гибридного типа и нажмите Продолжить. Ваша учетная запись проверена, и в сообщении "Регистрация завершена" указывается, что ваш узел теперь зарегистрирован в облаке Webex.
10	Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа Control Hub. На странице безопасности данных гибридного типа отображается новый кластер, содержащий зарегистрированный узел. Узел автоматически скачает последнюю версию программного обеспечения из облака.

Создание и регистрация дополнительных узлов

Чтобы добавить дополнительные узлы в кластер, необходимо просто создать дополнительные виртуальные машины и смонтировать тот же файл конфигурации ISO, а затем зарегистрировать узел. Рекомендуется иметь не менее 3 узлов.

В настоящее время резервные виртуальные машины, созданные в разделе Complete the Prerequisites for Data Security гибридного типа, являются резервными хостами, которые используются только в случае аварийного восстановления. До этого времени они не регистрируются в системе. Дополнительные сведения см. в разделе Аварийное восстановление с помощью резервного центра обработки данных.

Перед началом работы

Как только вы начнете регистрацию узла, вы должны завершить ее в течение 60 минут или начать заново.
Убедитесь, что все блокирующие всплывающие окна в браузере отключены или что для admin.webex.com разрешено исключение.

1.	Создайте новую виртуальную машину из OVA, повторив шаги, описанные в разделе Установка OVA узла HDS.
2.	Настройте начальную конфигурацию новой виртуальной машины, повторив шаги, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа.
3.	В новой виртуальной машине повторите шаги, описанные в разделе Загрузить и смонтировать конфигурацию HDS ISO.
4.	При настройке прокси для развертывания повторите действия, описанные в разделе Настройка узла HDS для интеграции прокси , если это необходимо для нового узла.
5	Зарегистрируйте узел. В https://admin.webex.com выберите Службы в меню в левой части экрана. В разделе служб гибридного типа найдите карточку безопасности данных гибридного типа и щелкните Ресурсы. Отобразится страница ресурсов безопасности данных гибридного типа. Щелкните Добавить ресурс. В первом поле выберите имя существующего кластера. Во втором поле введите внутренний IP-адрес или полное доменное имя узла и нажмите Далее. Отобразится сообщение о том, что узел можно зарегистрировать в облаке Webex. Щелкните Перейти к узлу. Через несколько минут вы будете перенаправлены на тесты подключения узлов для служб Webex. Если все тесты прошли успешно, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Там вы подтверждаете, что хотите предоставить вашей организации полномочия на доступ к узлу. Установите флажок Разрешить доступ к узлу безопасности данных гибридного типа и нажмите Продолжить. Ваша учетная запись проверена, и в сообщении "Регистрация завершена" указывается, что ваш узел теперь зарегистрирован в облаке Webex. Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа Control Hub. Ваш узел зарегистрирован. Обратите внимание, что до начала пробной версии узлы генерируют сигнал о том, что служба еще не активирована.

Дальнейшие действия

Запустить пробную версию и перейти к производству (следующая глава)

Запуск пробной версии и переход к производству

Процесс выполнения пробной версии производственных задач

После настройки кластера безопасности данных гибридного типа можно запустить пилотный проект, добавить в него пользователей и начать использовать его для тестирования и проверки развертывания в рамках подготовки к переходу к производству.

Перед началом работы

1.	Если применимо, синхронизируйте `HdsTrialGroup` групповой объект. Если в вашей организации используется синхронизация каталогов для пользователей, необходимо выбрать `HdsTrialGroup` группировать объект для синхронизации с облаком, прежде чем начать пробную версию. Инструкции см. в руководстве по развертыванию соединителя каталогов Cisco.
2.	Активировать пробную версию Начните пробную версию. Пока вы не выполните эту задачу, ваши узлы генерируют сигнал о том, что служба еще не активирована.
3.	Тестирование развертывания системы безопасности данных гибридного типа Убедитесь в том, что ключевые запросы передаются в развертывание службы безопасности данных гибридного типа.
4.	Мониторинг работоспособности системы безопасности данных гибридного типа Проверьте состояние и настройте электронные уведомления для сигналов тревоги.
5	Добавление или удаление пользователей из пробной версии
6	Завершите пробную фазу одним из следующих действий. Переход от пробной версии к производственной Завершение пробной версии без перехода к производству

Активировать пробную версию

Перед началом работы

Если в вашей организации используется синхронизация каталогов для пользователей, необходимо выбрать HdsTrialGroup группировать объект для синхронизации с облаком, прежде чем начать пробную версию для вашей организации. Инструкции см. в руководстве по развертыванию соединителя каталогов Cisco.

1.	Войдите в https://admin.webex.com и выберите Службы.
2.	В разделе Безопасность данных гибридного типа щелкните Настройки.
3.	В разделе "Состояние службы" щелкните Начать пробную версию. Состояние службы меняется на пробный режим.
4.	Щелкните Добавить пользователей и введите адрес электронной почты одного или нескольких пользователей для экспериментального использования узлов безопасности данных гибридного типа для служб шифрования и индексации. (Если в вашей организации используется синхронизация каталогов, используйте Active Directory для управления пробной группой, `HdsTrialGroup`.)

Тестирование развертывания системы безопасности данных гибридного типа

Используйте эту процедуру для тестирования сценариев шифрования безопасности данных гибридного типа.

Перед началом работы

Настройте развертывание службы безопасности данных гибридного типа.
Активируйте пробную версию и добавьте нескольких пользователей пробной версии.
Убедитесь, что у вас есть доступ к системному журналу, чтобы проверить, передаются ли ключевые запросы в развертывание службы безопасности данных гибридного типа.

Ключи для определенного пространства устанавливаются создателем пространства. Войдите в приложение Webex в качестве одного из пилотных пользователей, затем создайте пространство и пригласите как минимум одного пилотного пользователя и одного непилотного пользователя.

Если деактивировать развертывание службы безопасности данных гибридного типа, контент в пространствах, созданных пилотными пользователями, будет недоступен после замены кэшированных клиентом копий ключей шифрования.

Отправка сообщений в новое пространство.

Проверьте вывод системного журнала, чтобы убедиться, что ключевые запросы передаются в развертывание службы безопасности данных гибридного типа.

Чтобы проверить, устанавливает ли пользователь первый защищенный канал в KMS, отфильтруйте kms.data.method=create и kms.data.type=EPHEMERAL_KEY_COLLECTION:

Вы должны найти следующую запись (идентификаторы сокращены для читаемости):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Чтобы проверить, запрашивает ли пользователь существующий ключ от KMS, выполните фильтр kms.data.method=retrieve и kms.data.type=KEY:

Вы должны найти запись, например:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Чтобы проверить, есть ли у пользователя запрос на создание нового ключа KMS, выполните фильтр kms.data.method=create и kms.data.type=KEY_COLLECTION:

Вы должны найти запись, например:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Чтобы проверить наличие пользователя, запрашивающего создание нового объекта ресурса KMS (KRO) при создании пространства или другого защищенного ресурса, выполните фильтр kms.data.method=create и kms.data.type=RESOURCE_COLLECTION:

Вы должны найти запись, например:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Мониторинг работоспособности системы безопасности данных гибридного типа

Индикатор состояния в Control Hub показывает, насколько хорошо развертывание службы безопасности данных гибридного типа. Для более активного оповещения зарегистрируйтесь для получения уведомлений по электронной почте. Вы будете получать уведомления о наличии аварийных сигналов или модернизации программного обеспечения, влияющих на работу.

1.	В Control Hub выберите Службы в меню в левой части экрана.
2.	В разделе служб гибридного типа найдите службу безопасности данных гибридного типа и щелкните Настройки. Отобразится страница параметров безопасности данных гибридного типа.
3.	В разделе «Электронные уведомления» введите один или несколько адресов электронной почты, разделенных запятыми, и нажмите Enter.

Добавление или удаление пользователей из пробной версии

После активации пробной версии и добавления первоначального набора пользователей пробной версии можно добавить или удалить участников пробной версии в любое время, пока пробная версия активна.

При удалении пользователя из пробной версии клиент пользователя запросит ключи и создание ключей в облачной KMS вместо KMS. Если клиенту необходим ключ, который хранится в вашей KMS, облачная KMS получит его от имени пользователя.

Если в вашей организации используется синхронизация каталогов, используйте Active Directory (вместо этой процедуры) для управления пробной группой. HdsTrialGroup; вы можете просматривать участников группы в Control Hub, но не можете добавлять или удалять их.

1.	Войдите в Control Hub и выберите Службы.
2.	В разделе Безопасность данных гибридного типа щелкните Настройки.
3.	В разделе «Пробный режим» области «Состояние службы» щелкните Добавить пользователей или выберите просмотр и редактирование для удаления пользователей из пробной версии.
4.	Введите адрес электронной почты одного или нескольких пользователей, которые необходимо добавить, или щелкните X по идентификатору пользователя, чтобы удалить пользователя из пробной версии. Затем щелкните Сохранить.

Переход от пробной версии к производственной

Если вы убедитесь, что развертывание работает хорошо для пользователей пробной версии, вы можете перейти к производству. При переходе к производству все пользователи в организации будут использовать локальный домен безопасности данных гибридного типа для ключей шифрования и других служб безопасности. Вы не сможете вернуться в пробный режим с производства, пока не отключите службу в рамках аварийного восстановления. Для повторной активации службы необходимо настроить новую пробную версию.

1.	Войдите в Control Hub и выберите Службы.
2.	В разделе Безопасность данных гибридного типа щелкните Настройки.
3.	В разделе "Состояние службы" щелкните Переместить в производство.
4.	Убедитесь в том, что необходимо переместить всех пользователей в производство.

Завершение пробной версии без перехода к производству

Если во время пробной версии вы решите не продолжать развертывание службы безопасности данных гибридного типа, можно деактивировать службу безопасности данных гибридного типа, что приведет к завершению пробной версии и возврату пользователей пробной версии в облачные службы безопасности данных. Пользователи пробной версии потеряют доступ к данным, которые были зашифрованы во время пробной версии.

1.	Войдите в Control Hub и выберите Службы.
2.	В разделе Безопасность данных гибридного типа щелкните Настройки.
3.	В разделе Деактивировать нажмите Деактивировать.
4.	Подтвердите деактивацию службы и завершите пробную версию.

Управление развертыванием HDS

Используйте описанные здесь задачи для управления развертыванием службы безопасности данных гибридного типа.

Задать график модернизации кластера

Обновление программного обеспечения для безопасности данных гибридного типа выполняется автоматически на уровне кластера, что гарантирует, что все узлы всегда используют одну и ту же версию программного обеспечения. Модернизация выполняется в соответствии с графиком модернизации для кластера. Когда модернизация программного обеспечения становится доступной, вы можете вручную модернизировать кластер до запланированного времени модернизации. Вы можете задать конкретный график модернизации или использовать расписание по умолчанию в 3:00 утра по Соединенным Штатам: Америка/Лос-Анджелес При необходимости можно также отложить предстоящую модернизацию.

Чтобы задать график модернизации, выполните приведенные ниже действия.

1.	Войдите в Control Hub.
2.	На странице "Обзор" в разделе "Службы гибридного типа" выберите Безопасность данных гибридного типа.
3.	На странице "Ресурсы безопасности данных гибридного типа" выберите кластер.
4.	На панели "Обзор" справа в разделе "Настройки кластера" выберите имя кластера.
5	На странице "Настройки" в разделе "Модернизация" выберите время и часовой пояс для расписания модернизации. Примечание. В часовом поясе отображаются дата и время следующей доступной модернизации. При необходимости модернизацию можно отложить на следующий день, щелкнув Отложить.

Изменение конфигурации узла

Иногда может потребоваться изменить конфигурацию узла безопасности данных гибридного типа по одной из причин:

Изменение сертификатов x.509 по истечении срока действия или по другим причинам.

Изменение доменного имени CN сертификата не поддерживается. Домен должен совпадать с исходным доменом, использованным для регистрации кластера.

Обновление настроек базы данных для работы с копией базы данных PostgreSQL или Microsoft SQL Server.

Перенос данных с PostgreSQL на Microsoft SQL Server или в обратном направлении не поддерживается. Чтобы переключить среду базы данных, начните новое развертывание службы безопасности данных гибридного типа.

Создание новой конфигурации для подготовки нового центра обработки данных.

Из соображений безопасности для учетных записей в службе безопасности данных гибридного типа используются пароли со сроком действия 9 месяцев. После того как инструмент настройки HDS создаст эти пароли, вам нужно будет развернуть их в каждом из своих узлов HDS в файле конфигурации ISO. При приближении даты окончания срока действия пароля команда Webex пришлет вам уведомление с запросом на сброс пароля учетной записи компьютера. (В сообщении электронной почты будет текст "Использование API учетной записи компьютера для обновления пароля".) Если срок действия паролей еще не истек, средство предоставляет два варианта.

Мягкий сброс. Старые и новые пароли работают в течение не более 10 дней. Используйте этот период для постепенной замены файла ISO на узлах.
Жесткий сброс. Старые пароли перестанут работать немедленно.

Если срок действия ваших паролей истекает без сброса, это влияет на работу вашей службы HDS. В этом случае требуется немедленный жесткий сброс и замена файла ISO на всех узлах.

Используйте эту процедуру, чтобы создать новый файл конфигурации ISO и применить его к кластеру.

Перед началом работы

Если инструмент настройки HDS работает за прокси в вашей среде, укажите настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при переносе контейнера Docker в 1.e. В этой таблице указаны некоторые из возможных переменных среды.

Описание	Переменная
HTTP-прокси без аутентификации	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-прокси без аутентификации	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-прокси с аутентификацией	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-прокси с аутентификацией	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Для создания новой конфигурации потребуется копия текущего файла конфигурации ISO. Файл ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Файл ISO необходим для изменения конфигурации, в том числе учетных данных базы данных, обновления сертификатов или изменения политики авторизации.

Запустите инструмент настройки HDS, используя Docker на локальной машине.

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Чтобы войти в реестр образов Docker, введите следующее.
```
docker login -u hdscustomersro
```
Введите в запросе пароля этот хеш:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Обязательно скачайте для этой процедуры последнюю версию инструмента настройки. В версиях инструмента, созданных до 22 февраля 2018 г., нет экранов сброса пароля.

По завершении скачивания введите соответствующую команду для вашей среды.

В обычных средах без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

В обычных средах с HTTP-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В обычных средах с HTTPS-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В средах FedRAMP без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

В средах FedRAMP с HTTP-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

В средах FedRAMP с HTTPS-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

Используйте браузер для подключения к localhost, . http://127.0.0.1:8080.

При отображении соответствующего запроса введите учетные данные для входа клиента Control Hub и затем щелкните Принять для продолжения.
Импортируйте текущий файл конфигурации ISO.
Следуйте подсказкам, чтобы завершить работу с инструментом и скачать обновленный файл.

Чтобы выключить инструмент настройки, введите CTRL+C.
Создайте резервную копию обновленного файла в другом центре обработки данных.

Если у вас запущен только один узел HDS, создайте новую виртуальную машину узла безопасности данных гибридного типа и зарегистрируйте ее с помощью нового файла конфигурации ISO. Более подробные инструкции см. в разделе Создание и регистрация дополнительных узлов.

Установите OVA узла HDS.
Настройте виртуальную машину HDS.
Подключите обновленный файл конфигурации.
Зарегистрируйте новый узел в Control Hub.

Для существующих узлов HDS, в которых используется старый файл конфигурации, необходимо установить файл ISO. Выполните следующую процедуру для каждого узла по очереди, обновив каждый узел до выключения следующего узла.

Выключите виртуальную машину.
На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.
Щелкните кнопку CD/DVD Drive 1 Щелкните Дисковод компакт-дисков и DVD-дисков 1, выберите параметр подключения из файла ISO и найдите расположение, куда вы скачали новый файл конфигурации ISO.
Установите флажок Соединять при включении.
Сохраните изменения и включите виртуальную машину.

Повторите шаг 3, чтобы заменить конфигурацию на каждом оставшемся узле со старой конфигурацией.

Отключение режима блокировки разрешения внешних DNS

При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. Если DNS-сервер узла не может разрешать общедоступные имена DNS, узел автоматически переходит в режим блокировки разрешения внешних DNS.

Если узлы могут разрешать общедоступные имена DNS через внутренние DNS-серверы, можно отключить этот режим, повторно запустив тестирование подключения к прокси на каждом узле.

Перед началом работы

Убедитесь в том, что внутренние DNS-серверы могут разрешать общедоступные имена DNS и ваши узлы могут обмениваться данными с ними.

1.	В веб-браузере откройте интерфейс узла безопасности данных гибридного типа (например, IP-адрес или настройка, https://192.0.2.0/setup), введите учетные данные администратора, настроенные для узла, и щелкните Войти.
2.	Перейдите к разделу Overview (Обзор) (страница по умолчанию). Если режим включен, параметр Blocked External DNS Resolution (Блокировка разрешения внешних DNS) должен иметь значение Yes (Да).
3.	Перейдите на страницу Trust Store & Proxy (Зона доверия и прокси).
4.	Щелкните Check Proxy Connection (Проверить соединение с прокси). Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу и он останется в этом режиме. В противном случае после перезапуска узла и возврата на страницу Overview (Обзор) параметр блокировки разрешения внешних DNS должен иметь значение No (Нет).

Дальнейшие действия

Повторите тестирование соединения с прокси для каждого узла кластера безопасности данных гибридного типа.

Удаление узла

Эта процедура используется для удаления узла безопасности данных гибридного типа из облака Webex. После удаления узла из кластера удалите виртуальную машину, чтобы предотвратить дальнейший доступ к вашим данным безопасности.

Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi и выключения виртуальной машины.

Удалить узел.

Войдите в Control Hub и выберите Службы.
На карточке безопасности данных гибридного типа щелкните Просмотреть все , чтобы отобразить страницу ресурсов безопасности данных гибридного типа.
Выберите кластер, чтобы отобразить его панель обзора.
Щелкните Открыть список узлов.
На вкладке Узлы выберите узел, который необходимо удалить.
Щелкните Действия > Отменить регистрацию узла.

В клиенте vSphere удалите виртуальную машину. (В левой панели навигации щелкните правой кнопкой мыши виртуальную машину и выберите Удалить.)

Если вы не удалите виртуальную машину, не забудьте отключить файл конфигурации ISO. Без файла ISO вы не можете использовать виртуальную машину для доступа к данным безопасности.

Аварийное восстановление с помощью резервного центра обработки данных

Наиболее важной службой, предоставляемой кластером безопасности данных гибридного типа, является создание и хранение ключей, используемых для шифрования сообщений и другого контента, хранящегося в облаке Webex. Для каждого пользователя в организации, которому назначена служба безопасности данных гибридного типа, запросы на создание новых ключей направляются в кластер. Кластер также отвечает за возврат созданных им ключей всем пользователям, авторизованным для их извлечения, например участникам пространства разговора.

Поскольку кластер выполняет критически важную функцию предоставления этих ключей, необходимо, чтобы кластер продолжал работать и чтобы поддерживалось надлежащее резервное копирование. Потеря базы данных безопасности данных гибридного типа или конфигурации ISO, используемой для схемы, приведет к НЕВОСПОЛНИМОЙ ПОТЕРЕ клиентского контента. Для предотвращения таких потерь обязательны следующие действия:

Если из-за сбоя развертывание HDS в основном центре обработки данных становится недоступным, выполните эту процедуру, чтобы вручную переключиться на резервный центр обработки данных.

После настройки сервера Syslogd щелкните Расширенные настройки

На странице Расширенные настройки добавьте конфигурацию ниже или удалите passiveMode конфигурации, чтобы сделать узел активным. Узел может обрабатывать трафик после его настройки.


passiveMode: 'false'

Завершите процесс настройки и сохраните файл ISO в удобном для поиска местоположении.

Щелкните Edit Settings >CD/DVD Drive 1 и выберите Datastore ISO File.

Включите узел HDS и убедитесь в отсутствии аварийных сигналов в течение не менее 15 минут.

Повторите процесс для каждого узла в резервном центре обработки данных.

Проверьте вывод системного журнала, чтобы убедиться, что узлы резервного центра обработки данных не находятся в пассивном режиме. Параметр KMS configured in passive mode (KMS configured in passive mode) не должен отображаться в системных журналах.

Дальнейшие действия

Если после отработки отказа основной центр обработки данных снова становится активным, снова переведите резервный центр обработки данных в пассивный режим, выполнив действия, описанные в разделе Настройка резервного центра обработки данных для аварийного восстановления.

(Необязательно) Отсоедините ISO после конфигурации HDS

Стандартная конфигурация HDS работает с установленным ISO. Но некоторые клиенты предпочитают не оставлять файлы ISO постоянно монтируемые. Файл ISO можно отменить после того, как все узлы HDS получат новую конфигурацию.

Вы по-прежнему используете файлы ISO для изменения конфигурации. При создании нового ISO или обновлении ISO с помощью инструмента настройки необходимо установить обновленный ISO на всех узлах HDS. После того как все узлы подберут изменения конфигурации, с помощью этой процедуры можно снова отменить монтирование ISO.

Перед началом работы

Модернизируйте все узлы HDS до версии 2021.01.22.4720 или более поздней.

1.	Отключите один из узлов HDS.
2.	В vCenter Server Appliance выберите узел HDS.
3.	Выберите Редактировать настройки > CD/DVD привод и снимите флажок Datastore ISO File.
4.	Включите узел HDS и убедитесь в отсутствии аварийных сигналов в течение как минимум 20 минут.
5	Повторите для каждого узла HDS по очереди.

Устранение неполадок безопасности данных гибридного типа

Просмотр предупреждений и устранение неполадок

Развертывание службы безопасности данных гибридного типа считается недоступным, если все узлы в кластере недоступны или кластер работает так медленно, что запрашивает время ожидания. Если пользователи не могут подключиться к кластеру безопасности данных гибридного типа, у них появятся следующие симптомы.

Невозможно создать новые пространства (невозможно создать новые клавиши)
Не удалось расшифровать сообщения и названия пространств для:
- Новые пользователи, добавленные в пространство (невозможно получить ключи)
- Существующие пользователи в пространстве с использованием нового клиента (невозможно получить ключи)
Существующие пользователи в пространстве будут продолжать успешно работать, пока у их клиентов есть кэш ключей шифрования

Во избежание сбоев в работе службы важно надлежащим образом отслеживать кластер безопасности данных гибридного типа и оперативно реагировать на любые предупреждения.

Предупреждения

При возникновении проблем с настройкой безопасности данных гибридного типа Control Hub отображает предупреждения администратору организации и отправляет электронные сообщения на настроенный адрес электронной почты. Предупреждения охватывают многие распространенные сценарии.

Таблица 1. Общие проблемы и шаги по их решению
Сигнал	Действие
Ошибка доступа к локальной базе данных.	Проверьте наличие ошибок базы данных или проблем с локальной сетью.
Сбой подключения локальной базы данных.	Убедитесь, что сервер базы данных доступен, и в конфигурации узла использовались правильные учетные данные служебной учетной записи.
Сбой доступа к облачной службе.	Убедитесь, что узлы могут получить доступ к серверам Webex, как указано в требованиях к внешним подключениям.
Возобновление регистрации облачной службы.	Регистрация в облачных службах была отменена. Продолжается возобновление регистрации.
Регистрация в облачной службе отменена.	Регистрация в облачных службах прекращена. Сервис отключается.
Служба еще не активирована.	Активируйте пробную версию или завершите перемещение пробной версии в производство.
Настроенный домен не соответствует сертификату сервера.	Убедитесь, что сертификат сервера соответствует настроенному домену активации службы. Наиболее вероятной причиной является то, что сертификат CN был недавно изменен и теперь отличается от CN, который использовался при начальной настройке.
Не удалось выполнить аутентификацию в облачных службах.	Проверка точности и возможного истечения срока действия учетных данных учетной записи службы.
Не удалось открыть файл локального хранилища ключей.	Проверьте целостность и точность пароля в локальном файле хранилища ключей.
Недопустимый сертификат локального сервера.	Проверьте дату истечения срока действия сертификата сервера и убедитесь, что он был выпущен доверенным центром сертификации.
Не удается опубликовать метрики.	Проверьте доступ локальной сети к внешним облачным службам.
каталог /media/configdrive/hds не существует.	Проверьте конфигурацию подключения ISO на виртуальном узле. Убедитесь, что файл ISO существует, что он настроен на монтирование при перезагрузке и что он успешно монтируется.

Устранение неполадок безопасности данных гибридного типа

При устранении неполадок с безопасностью данных гибридного типа используйте приведенные ниже общие рекомендации.

1.	Просмотрите Control Hub на наличие предупреждений и исправьте все найденные в нем элементы.
2.	Проверьте вывод сервера syslog для активности из развертывания службы безопасности данных гибридного типа.
3.	Обратитесь в службу поддержки Cisco.

Другие примечания

Известные проблемы безопасности данных гибридного типа

При отключении кластера безопасности данных гибридного типа (удалении его в Control Hub или отключении всех узлов), потере файла конфигурации ISO или потере доступа к базе данных хранилища ключей пользователи приложения Webex больше не смогут использовать пространства в списке пользователей, созданные с помощью клавиш KMS. Это применимо как к пробному, так и к производственному развертыванию. В настоящее время у нас нет решения или решения этой проблемы. Мы настоятельно рекомендуем вам не закрывать службы HDS после обработки учетных записей активных пользователей.
Клиент, имеющий существующее подключение ECDH к KMS, поддерживает это подключение в течение определенного периода времени (вероятно, одного часа). Когда пользователь становится участником пробной версии безопасности данных гибридного типа, клиент пользователя продолжает использовать существующее соединение ECDH до истечения времени его истечения. Кроме того, пользователь может выйти из приложения Webex и вернуться в него, чтобы обновить местоположение, в котором приложение связывается с ключами шифрования.

Аналогичное поведение происходит при перемещении пробной версии в производство для организации. Все пользователи, не являющиеся пробными версиями, с существующими подключениями ECDH к предыдущим службам безопасности данных, будут продолжать использовать эти службы до тех пор, пока соединение ECDH не будет пересогласовано (через тайм-аут или путем выхода и повторного входа).

Использование OpenSSL для создания файла PKCS12

Перед началом работы

OpenSSL является одним из инструментов, который может быть использован для создания файла PKCS12 в надлежащем формате для загрузки в инструмент установки HDS. Есть и другие способы сделать это, и мы не поддерживаем и не продвигаем одну сторону.
Если вы решите использовать OpenSSL, мы предоставим эту процедуру в качестве руководства для создания файла, соответствующего требованиям сертификата X.509 в требованиях к сертификатам X.509. Прежде чем продолжить, ознакомьтесь с этими требованиями.
Установите OpenSSL в поддерживаемой среде. См. https://www.openssl.org программное обеспечение и документацию.
Создайте закрытый ключ.
Начните эту процедуру при получении сертификата сервера от центра сертификации (ЦС).

1.	При получении сертификата сервера из ЦС сохраните его как `hdsnode.pem`.
2.	Отобразите сертификат в виде текста и проверьте сведения. `openssl x509 -text -noout -in hdsnode.pem`
3.	Используйте текстовый редактор для создания файла пакета сертификатов, который называется `hdsnode-bundle.pem`. Файл пакета должен содержать сертификат сервера, все промежуточные сертификаты ЦС и корневые сертификаты ЦС в следующем формате: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4.	Создайте файл .p12 с дружественным именем `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Проверьте сведения о сертификате сервера. `openssl pkcs12 -in hdsnode.p12` Введите пароль при запросе, чтобы зашифровать закрытый ключ так, чтобы он отображался в выходном окне. Затем убедитесь, что закрытый ключ и первый сертификат содержат строки `friendlyName: kms-private-key`. Пример. bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Дальнейшие действия

Вернитесь к разделу "Завершить предварительные требования для безопасности данных гибридного типа". Вы будете использовать hdsnode.p12 и пароль, заданный для него, в разделе Создание конфигурации ISO для узлов HDS.

Эти файлы можно использовать повторно для запроса нового сертификата по истечении срока действия оригинального сертификата.

Трафик между узлами HDS и облаком

Трафик коллекции исходящих метрик

Узлы безопасности данных гибридного типа отправляют определенные метрики в облако Webex. К ним относятся системные метрики для максимальных значений кучи, используемой кучи, загрузки ЦП и количества потоков; метрики синхронных и асинхронных потоков; метрики предупреждений, включающие пороговое значение соединений шифрования, задержку или длину очереди запросов; метрики хранилища данных; и метрики подключения шифрования. Узлы отправляют зашифрованный ключ по каналу за пределами потока (отдельно от запроса).

Входящий Трафик

Узлы безопасности данных гибридного типа получают следующие типы входящего трафика из облака Webex.

Запросы на шифрование от клиентов, маршрутизируемые службой шифрования
Модернизация программного обеспечения узла

Настройка прокси Squid для безопасности данных гибридного типа

Невозможно выполнить подключение веб-сокетов через прокси Squid

Прокси-серверы Squid, проверяющие трафик HTTPS, могут препятствовать созданию веб-сокета ( wss:) соединений, требуемых службой безопасности данных гибридного типа. В этих разделах содержится руководство по настройке различных версий Squid на игнорирование wss: для обеспечения надлежащей работы служб.

Squid 4 и 5

Добавить on_unsupported_protocol директива к squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

Безопасность данных гибридного типа успешно протестирована с добавлением приведенных ниже правил. squid.conf. Эти правила могут изменяться по мере разработки функций и обновления облака Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Предисловие

Новая и измененная информация

Дата

Внесенные изменения

20 октября 2023 г.

Обновлена информация в требованиях к серверу базы данных.
Добавлена настройка резервного центра обработки данных для аварийного восстановления.
Обновлена информация в резервном центре обработки данных для аварийного восстановления и аварийного восстановления с помощью резервного центра обработки данных.

07 августа 2023 г.

Добавлено примечание в разделе Скачивание файлов установки.
Добавлено примечание в Create a Configuration ISO for the HDS Hosts and Change the Node Configuration.

23 мая 2023 г.

Удалена информация из требований к серверу базы данных с просьбой включить функцию, обратившись в команду по работе с учетными записями.
Обновлена информация в разделе Требования к внешним подключениям и добавлена Канада в таблицу узлов CI.
Добавлено примечание в разделе Ожидания развертывания службы безопасности данных гибридного типа относительно недоступности механизмов для перемещения ключей обратно в облако.

06 декабря 2022 г.

Изображения инструмента настройки HDS теперь размещаются в ciscocitg репозиторий dockerhub.
Обновлен раздел Создание ISO конфигурации для узлов HDS и Изменение разделов конфигурации узла для рефлексии изменений команд.

23 ноября 2022 г.

Узлы HDS теперь могут использовать аутентификацию Windows для Microsoft SQL Server.

Обновлен раздел Требования к серверу базы данных с дополнительными требованиями для этого режима аутентификации.

Обновлен параметр Создание конфигурации ISO для узлов HDS с процедурой настройки аутентификации Windows на узлах.
Обновлен раздел Требования к серверу базы данных новыми минимальными требуемыми версиями (PostgreSQL 10).

13 октября 2021 г.

24 июня 2021 г.

30 апреля 2021 г.

24 февраля 2021 г.

2 февраля 2021 г.

11 января 2021 г.

Добавлена информация о инструменте настройки HDS и прокси для создания конфигурации ISO для узлов HDS.

13 октября 2020 г.

8 октября 2020 г.

14 августа 2020 г.

5 августа 2020 г.

Обновлены требования к виртуальному организатору для удаления максимального количества организаторов.

16 июня 2020 г.

Обновлено удаление узла для внесения изменений в пользовательский интерфейс Control Hub.

4 июня 2020 г.

29 мая 2020 г.

5 мая 2020 г.

Обновлены требования к виртуальному организатору для отображения новых требований ESXi 6.5.

21 апреля 2020 г.

Обновлены требования к внешним подключениям с новыми хостами CI в Америке.

1 апреля 2020 г.

Обновлены требования к внешним подключениям с информацией о региональных узлах CI.

4 февраля 2020 г. Обновлены требования к прокси-серверу.

19 ноября 2019 г.

Добавлена информация о режиме блокировки разрешения внешних DNS в следующих разделах:

Поддержка прокси
Настройка узла HDS для интеграции прокси
Отключение режима блокировки разрешения внешних DNS

8 ноября 2019 г.

Теперь можно настроить параметры сети для узла во время развертывания OVA, а не после.

Соответствующим образом обновлены следующие разделы:

Процесс выполнения задач по развертыванию системы безопасности данных гибридного типа
Установка OVA узла HDS
Настройка виртуальной машины безопасности данных гибридного типа

6 сентября 2019 г.

Добавлен стандарт SQL Server в требования к серверу базы данных.

20 августа 2019 г.

Поддержка прокси
Требования к прокси-серверу
Настройка узла HDS для интеграции прокси

6 марта 2019 г.

Требования и предварительные условия перемещены в отдельную главу Подготовка среды.
Добавлено Процесс выполнения задач по развертыванию системы безопасности данных гибридного типа обзор в главе Настройка кластера безопасности данных гибридного типа.

Отмечается, что до начала пробной версии (с помощью инструкций, приведенных в следующей главе) узлы генерируют сигнал о том, что служба еще не активирована.
Добавлена пробная версия для производственной задачи в главе Запуск пробной версии и переход к производственной.

28 февраля 2019 г.

Исправлено количество локального места на жестком диске на сервере, которое следует выделить при подготовке виртуальных узлов, которые становятся узлами безопасности данных гибридного типа, с 50 ГБ до 20 ГБ, чтобы отразить размер диска, создаваемого OVA.

26 февраля 2019 г.

Узлы безопасности данных гибридного типа теперь поддерживают зашифрованные соединения с серверами баз данных PostgreSQL и зашифрованные соединения для ведения журналов к серверу системного журнала с поддержкой TLS. Обновлен раздел Создание конфигурации ISO для узлов HDS с инструкциями.
Удалены URL-адреса назначения из таблицы "Требования к подключению к Интернету для виртуальных машин узлов безопасности данных гибридного типа". Теперь таблица ссылается на список, который хранится в таблице "Дополнительные URL-адреса для служб гибридного типа Webex Teams" в разделе Требования к сети для служб Webex Teams.

24 января 2019 г.

5 ноября 2018 г.

Добавлен предварительный шаг по очистке всех существующих экземпляров docker hds в разделе Create a Configuration ISO for the HDS Hosts and Change the Node Configuration.
Обновлен шаг уровня доступа ключа в разделе Создание конфигурации ISO для узлов HDS для соответствия интерфейсу.

19 октября 2018 г.

Разделите информацию о подключении брандмауэра на требования узла и требования к машине конфигурации ISO в разделе Выполнение предварительных требований для безопасности данных гибридного типа.

31 июля 2018 г.

Добавлен порт 22 (доступ SSH) и информация о соединениях NAT и брандмауэра для выполнения предварительных требований для безопасности данных гибридного типа.

21 мая 2018 г.

Изменена терминология для отражения ребрендинга Cisco Spark.

Служба безопасности данных гибридного типа Cisco Spark теперь является службой безопасности данных гибридного типа.
Приложение Cisco Spark теперь является приложением Webex.
Облако Cisco Collaboraton теперь является облаком Webex.

11 апреля 2018 г.

Добавлен резервный центр обработки данных для аварийного восстановления.
Обновлено Complete the Prerequisites for Data Security гибридного типа, чтобы указать, что среда резервного копирования должна находиться в другом центре обработки данных.
Обновлено аварийное восстановление с помощью резервного центра обработки данных.

22 февраля 2018 г.

Добавлена информация о пароле учетной записи службы за 9 месяцев и использовании инструмента настройки HDS для сброса паролей учетной записи службы в разделе Создание конфигурации ISO для узлов HDS и Изменение конфигурации узла.

15 февраля 2018 г.

В таблице требований к сертификатам X.509 указано, что сертификат не может быть групповым сертификатом и что KMS использует домен CN, а не любой домен, определенный в полях SAN x.509v3.

18 января 2018 г.

Добавлено приложение Трафик между узлами HDS и облаком.
Устранена проблема из раздела Известные проблемы безопасности данных гибридного типа.
Изменен index.docker.io на *.docker.io и добавлен *.cloudfront.net в список требований к подключению TCP для узлов HDS в разделе Complete the Prerequisites for Hybrid Data Security.
Обновлено Create a Configuration ISO for the HDS Hosts (Создать конфигурацию ISO для узлов HDS), чтобы указать, что если хост базы данных и сервер системного журнала не разрешаются DNS из узлов HDS, их необходимо настроить с помощью IP-адресов.

2 ноября 2017 г.

Уточнена синхронизация каталогов HdsTrialGroup.
Исправлены инструкции по загрузке файла конфигурации ISO для установки на узлы виртуальной машины.

18 августа 2017 г.

Впервые опубликовано

Начало работы с безопасностью данных гибридного типа

Обзор безопасности данных гибридного типа

Архитектура сферы безопасности

Клиент устанавливает безопасное соединение со службой управления ключами (KMS), затем запрашивает ключ для шифрования сообщения. Безопасное соединение использует ECDH, а KMS шифрует ключ с помощью главного ключа AES-256.
Сообщение зашифровано перед выходом из клиента. Клиент отправляет его в службу индексирования, которая создает зашифрованные индексы поиска для облегчения будущих поисков контента.
Зашифрованное сообщение отправляется в службу соответствия для проверки соответствия.
Зашифрованное сообщение хранится в области хранилища.

Сотрудничество с другими организациями

Ожидания развертывания системы безопасности данных гибридного типа

Для развертывания службы безопасности данных гибридного типа необходимо предоставить:

Безопасный центр обработки данных в стране, являющейся поддерживаемым местоположением для планов Cisco Webex Teams.
Оборудование, программное обеспечение и доступ к сети описаны в разделе Подготовка среды.

Управление резервным копированием и восстановлением базы данных и конфигурации ISO.
Будьте готовы выполнить быстрое аварийное восстановление при возникновении катастрофы, например сбой диска базы данных или аварийное завершение работы центра обработки данных.

Механизм возврата ключей в облако после развертывания HDS отсутствует.

Процесс настройки высокого уровня

Настройка безопасности данных гибридного типа. Это включает подготовку необходимой инфраструктуры и установку программного обеспечения безопасности данных гибридного типа, тестирование развертывания с помощью подмножества пользователей в пробном режиме и, по завершении тестирования, переход к производству. Это преобразует всю организацию для использования кластера безопасности данных гибридного типа для функций безопасности.
Этапы установки, тестирования и производства подробно описаны в следующих трех главах.
Поддерживайте развертывание службы безопасности данных гибридного типа: облако Webex автоматически обеспечивает текущую модернизацию. Ваш ИТ-отдел может предоставить поддержку первого уровня для этого развертывания и при необходимости задействовать службу поддержки Cisco. В Control Hub можно использовать экранные уведомления и настроить предупреждения на основе электронной почты.
Понимание общих предупреждений, шагов по устранению неполадок и известных проблем. При возникновении проблем при развертывании или использовании службы безопасности данных гибридного типа последняя глава этого руководства и приложение «Известные проблемы» могут помочь вам определить и устранить проблему.

Модель развертывания системы безопасности данных гибридного типа

Модель развертывания системы безопасности данных гибридного типа

Для каждой организации поддерживается только один кластер.

Пробный режим безопасности данных гибридного типа

Резервный центр обработки данных для аварийного восстановления

Настройка резервного центра обработки данных для аварийного восстановления

Чтобы настроить файл ISO резервного центра обработки данных, выполните приведенные ниже действия.

Перед началом работы

Резервный центр обработки данных должен отражать рабочую среду виртуальных машин и резервную базу данных PostgreSQL или Microsoft SQL Server. Например, если в производстве имеется 3 ВМ с узлами HDS, резервная среда должна иметь 3 ВМ. (Обзор этой модели отработки отказа см. в разделе Standby Data Center for Disaster Recovery .)
Убедитесь, что синхронизация базы данных включена между базой данных активных и пассивных узлов кластера.

После настройки сервера Syslogd щелкните Расширенные настройки


passiveMode: 'true'

Завершите процесс настройки и сохраните файл ISO в удобном для поиска местоположении.

Щелкните Edit Settings >CD/DVD Drive 1 и выберите Datastore ISO File.

Включите узел HDS и убедитесь в отсутствии аварийных сигналов в течение не менее 15 минут.

Повторите процесс для каждого узла в резервном центре обработки данных.

Дальнейшие действия

Поддержка прокси

Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.

No proxy (Без прокси). Этот параметр применяется по умолчанию, если для интеграции прокси не используется конфигурация прокси и зоны доверия настройки узла HDS. Обновление сертификата не требуется.
Transparent non-inspecting proxy (Прозрачный прокси без проверки). Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.
Transparent tunneling or inspecting proxy (Прозрачный туннельный прокси или прокси с проверкой). Узлы не настроены для использования адреса определенного прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
Explicit proxy (Явный прокси). При использовании явного прокси необходимо указать прокси-сервер и схему аутентификации, которые должны использовать узлы HDS. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.
1. Proxy IP/FQDN (IP-адрес или FQDN прокси). Адрес, который можно использовать для доступа к прокси-машине.
2. Proxy Port (Порт прокси). Номер порта, который используется прокси для прослушивания трафика, передаваемого через прокси.
3. Proxy Protocol (Протокол прокси). Выберите протокол, поддерживаемый прокси-сервером. Доступные протоколы указаны ниже.
  - HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.
  - HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.
4. Authentication Type (Тип аутентификации). Выберите один из перечисленных ниже типов аутентификации.
  - None (Нет). Дальнейшая аутентификация не требуется.
    
    Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
  - Basic (Базовая). Используется для оператора пользователя HTTP в целях предоставления имени пользователя и пароля при совершении запроса. Использует кодировку Base64.
    
    Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
    
    Требует ввода имени пользователя и пароля на каждом узле.
  - Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.
    
    Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.
    
    Требует ввода имени пользователя и пароля на каждом узле.

Пример узлов безопасности данных гибридного типа и прокси

Режим блокировки разрешения внешних DNS (конфигурации явного прокси)

Подготовка среды

Требования к безопасности данных гибридного типа

Требования к лицензии Cisco Webex

Развертывание службы безопасности данных гибридного типа.

У вас должен быть профессиональный пакет Cisco Webex Control Hub. (См. https://www.cisco.com/go/pro-pack.)

Требования к рабочему столу Docker

Требования к сертификату X.509

Цепочка сертификатов должна отвечать следующим требованиям:

Таблица 1. Требования к сертификату X.509 для развертывания системы безопасности данных гибридного типа
Требование	Сведения
Подписано доверенным центром сертификации (CA)	По умолчанию мы доверяем ЦС в списке Mozilla (за исключением WoSign и StartCom) по адресу https://wiki.mozilla.org/CA:IncludedCAs.
Имеет имя домена общего имени (CN), которое идентифицирует развертывание службы безопасности данных гибридного типа Не является групповым сертификатом	CN не должен быть доступным или быть в режиме реального времени организатором. Рекомендуется использовать название, которое отражает вашу организацию, например `hds.company.com`. CN не должен содержать * (подстановочный знак). CN используется для проверки узлов безопасности данных гибридного типа для клиентов приложения Webex. Все узлы безопасности данных гибридного типа в кластере используют один и тот же сертификат. Ваш KMS идентифицирует себя с помощью домена CN, а не какого-либо домена, определенного в полях SAN x.509v3. После регистрации узла с этим сертификатом изменение имени домена CN не поддерживается. Выберите домен, который может применяться как к пробному, так и к производственному развертыванию.
Подпись без SHA1	Программное обеспечение KMS не поддерживает подписи SHA1 для проверки подключений к KMS других организаций.
Отформатирован как защищенный паролем файл PKCS #12 Используйте дружественное имя `kms-private-key` чтобы пометить сертификат, закрытый ключ и все промежуточные сертификаты для загрузки.	Для изменения формата сертификата можно использовать конвертер, например OpenSSL. При запуске инструмента настройки HDS необходимо будет ввести пароль.

Требования к виртуальному организатору

Не менее двух отдельных узлов (рекомендуется 3), расположенных в одном защищенном центре обработки данных

Установлен и запущен VMware ESXi 6.5 (или более поздняя версия).

Если у вас есть более ранняя версия ESXi, необходимо выполнить модернизацию.

Минимум 4 vCPU, 8 ГБ основной памяти, 30 ГБ локального дискового пространства на сервере

Требования к серверу базы данных

Существует два варианта для сервера базы данных. Требования к каждому из них следующие:

Таблица 2. Требования к серверу базы данных по типу базы данных

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 или 16, установлен и запущен.

Установлен SQL Server 2016, 2017 или 2019 (корпоративный или стандартный).

Для SQL Server 2016 требуется пакет обновления 2 и кумулятивное обновление 2 или более поздние версии.

PostgreSQL

Microsoft SQL Server

Драйвер JDBC Postgres 42.2.5

Драйвер JDBC SQL Server 4.6

Эта версия драйвера поддерживает SQL Server Always On ( Always On Failover Cluster Instances и Always On Availability groups).

Дополнительные требования к аутентификации Windows в Microsoft SQL Server

Узлы HDS, инфраструктура Active Directory и MS SQL Server должны синхронизироваться с NTP.
Учетная запись Windows, предоставленная узлам HDS, должна иметь доступ на чтение/запись к базе данных.
Серверы DNS, которые вы предоставляете узлам HDS, должны иметь возможность разрешить работу центра распределения ключей (KDC).
Экземпляр базы данных HDS можно зарегистрировать на сервере Microsoft SQL в качестве главного имени службы (SPN) в Active Directory. См. раздел Регистрация имени главного поставщика услуг для соединений Kerberos.

Инструмент настройки HDS, средство запуска HDS и локальный KMS должны использовать аутентификацию Windows для доступа к базе данных хранилища ключей. Они используют сведения из конфигурации ISO для создания SPN при запросе доступа с аутентификацией Kerberos.

Требования к внешним подключениям

Настройте брандмауэр таким образом, чтобы разрешить следующее подключение для приложений HDS.

Приложение	Protocol	Port (Порт)	Направление из приложения	Адресат
Узлы безопасности данных гибридного типа	TCP	443	Исходящие HTTPS и WSS	Серверы Webex: .wbx2.com .ciscospark.com Все узлы общих параметров идентификации Другие URL-адреса, перечисленные для безопасности данных гибридного типа в таблице Дополнительные URL-адреса для служб гибридного типа Webex Требования к сети для служб Webex
инструмент настройки HDS	TCP	443	Исходящий HTTPS	*.wbx2.com Все узлы общих параметров идентификации hub.docker.com

URL-адреса узлов общих параметров идентификации (CI) зависят от региона. Это текущие хосты CI:

Регион	URL-адреса общих узлов удостоверений
Северная и Южная Америка	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Европейский союз	https://idbroker-eu.webex.com https://identity-eu.webex.com
Канада	https://idbroker-ca.webex.com https://identity-ca.webex.com

Требования к прокси-серверу

для прозрачных прокси – Cisco Web Security Appliance (WSA);

для явных прокси – Squid.

Поддерживаются следующие комбинации типов аутентификации для явных прокси:
- без аутентификации при использовании HTTP или HTTPS;
- базовая аутентификация при использовании HTTP или HTTPS;
- дайджест-аутентификация только при использовании HTTPS;
При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.
Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.
Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. При возникновении этой проблемы обход (без проверки) трафика на wbx2.com и ciscospark.com решит проблему.

Выполнение предварительных требований для безопасности данных гибридного типа

Создайте базу данных для хранения ключей. (Необходимо создать эту базу данных — не используйте базу данных по умолчанию. При установке приложения HDS создайте схему базы данных.)
Соберите сведения, которые узлы будут использовать для связи с сервером базы данных.
- имя хоста или IP-адрес (хост) и порт
- имя базы данных (dbname) для хранения ключей
- имя пользователя и пароль пользователя со всеми правами в базе данных хранилища ключей

Настройка кластера безопасности данных гибридного типа

Процесс выполнения задач по развертыванию системы безопасности данных гибридного типа

Перед началом работы

Скачайте файл OVA на локальный компьютер для последующего использования.

Настройка виртуальной машины безопасности данных гибридного типа

Создайте виртуальную машину из файла OVA и выполните начальную конфигурацию, например сетевые настройки.

Настройте виртуальную машину из файла конфигурации ISO, созданного с помощью инструмента настройки HDS.

Зарегистрируйте виртуальную машину в облаке Cisco Webex в качестве узла безопасности данных гибридного типа.

Настройка кластера безопасности данных гибридного типа

Завершите настройку кластера.

Запустить пробную версию и перейти к производству (следующая глава)

Скачивание файлов установки

Войдите в https://admin.webex.com и щелкните Службы.

В разделе служб гибридного типа найдите карточку безопасности данных гибридного типа и щелкните Настройка.

Выберите Нет , чтобы указать, что узел еще не настроен, и нажмите Далее.

Файл OVA автоматически начинает скачиваться. Сохраните файл в местоположении на компьютере.

Создание ISO конфигурации для узлов HDS

Перед началом работы

Описание	Переменная
HTTP-прокси без аутентификации	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-прокси без аутентификации	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-прокси с аутентификацией	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-прокси с аутентификацией	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Созданный файл конфигурации ISO содержит главный ключ, шифрующий базу данных PostgreSQL или Microsoft SQL Server. Вам потребуется последняя копия этого файла при внесении изменений в конфигурацию, например:
- учетные данные базы данных
- Обновления сертификата
- Изменения политики авторизации
Если вы планируете шифровать соединения с базой данных, настройте развертывание PostgreSQL или SQL Server для TLS.

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

По завершении скачивания введите соответствующую команду для вашей среды.

В обычных средах без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

В обычных средах с HTTP-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В обычных средах с HTTPS-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В средах FedRAMP без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

В средах FedRAMP с HTTP-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

В средах FedRAMP с HTTPS-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

На странице обзора инструмента настройки щелкните Начало работы.

На странице импорта ISO доступны следующие параметры:

Нет. При создании первого узла HDS у вас нет файла ISO для загрузки.
Да. Если вы уже создали узлы HDS, выберите файл ISO в окне просмотра и загрузите его.

Убедитесь, что сертификат X.509 соответствует требованиям, изложенным в требованиях к сертификатам X.509.

Если сертификат ранее не загружался, загрузите сертификат X.509, введите пароль и нажмите Продолжить.
Если сертификат ОК, нажмите Продолжить.
Если срок действия сертификата истек или необходимо заменить его, выберите Нет для продолжения использования цепочки сертификатов HDS и закрытого ключа из предыдущего ISO?. Загрузите новый сертификат X.509, введите пароль и нажмите Продолжить.

Введите адрес базы данных и учетную запись HDS для доступа к хранилищу данных ключа:

Выберите тип базы данных (PostgreSQL или Microsoft SQL Server).

Если выбран Microsoft SQL Server, появится поле Authentication Type (Тип аутентификации).
(Только Microsoft SQL Server) Выберите тип аутентификации:
- Базовая аутентификация: В поле Имя пользователя необходимо указать имя учетной записи SQL Server.
- Аутентификация Windows: Вам нужна учетная запись Windows в формате username@DOMAIN в поле Имя пользователя .
Введите адрес сервера базы данных в форме <hostname>:<port> или <IP-address>:<port>.

Пример.
dbhost.example.org:1433 или 198.51.100.17:1433

Для базовой аутентификации можно использовать IP-адрес, если узлы не могут использовать DNS для разрешения имени узла.

При использовании аутентификации Windows необходимо ввести полное доменное имя в формате dbhost.example.org:1433
Введите имя базы данных.
Введите имя пользователя и пароль пользователя со всеми правами в базе данных хранилища ключей.

Выберите режим подключения к базе данных TLS:

Mode

Описание

Предпочтительно использование TLS (параметр по умолчанию)

Обязательное использование TLS

Обязательное использование TLS и проверка источника подписи сертификата

Этот режим не применим к базам данных SQL Server.

Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.
После установления соединения TLS узел сравнивает отправителя подписи сертификата от сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение.

Обязательное использование TLS и проверка источника подписи сертификата и имени узла

Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.
После установления соединения TLS узел сравнивает отправителя подписи сертификата от сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение.
Узлы также проверяют, соответствует ли имя хоста в сертификате сервера имени хоста в поле Хост базы данных и порт . Необходимо точное совпадение имен. Иначе узел разорвет соединение.

На странице «Системные журналы» настройте сервер Syslogd:

Введите URL-адрес сервера системного журнала.

Если сервер не разрешается DNS из узлов кластера HDS, используйте IP-адрес в URL.

Пример.
udp://10.92.43.23:514 указывает на вход в хост Syslogd 10.92.43.23 на порту UDP 514.
Если вы настроили на сервере использование шифрования TLS, проверьте, настроен ли ваш сервер системного журнала для шифрования SSL?.

Установив этот флажок, убедитесь, что введен URL-адрес TCP, например tcp://10.92.43.23:514.
В раскрывающемся списке Выбор завершения записи системного журнала выберите соответствующую настройку для файла ISO. Выберите или Newline используется для Graylog и Rsyslog TCP
- Null byte -- \x00
- Newline -- \n — выберите этот параметр для TCP Graylog и Rsyslog.
Щелкните Продолжить.

app_datasource_connection_pool_maxSize: 10

Щелкните Продолжить на экране Сброс пароля учетных записей службы .

Щелкните Скачать файл ISO. Сохраните файл в удобном для поиска местоположении.

Сделайте резервную копию файла ISO в локальной системе.

Чтобы выключить инструмент настройки, введите CTRL+C.

Дальнейшие действия

У нас никогда нет копии этого ключа, и мы не можем помочь, если вы его потеряете.

Установка OVA узла HDS

Используйте эту процедуру для создания виртуальной машины из файла OVA.

Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi.

Выберите Файл > Развертывание шаблона OVF.

В мастере укажите расположение скачанного ранее файла OVA и щелкните Далее.

На Выберите вычислительный ресурс выберите целевой вычислительный ресурс, а затем щелкните Далее.

Выполняется проверка. После завершения отображаются сведения о шаблоне.

Проверьте сведения о шаблоне и щелкните Далее.

На странице Настройка шаблона настройте следующие сетевые параметры.

Имя узла. Введите полное доменное имя (имя узла и домен) или одно имя узла для узла.

Вам не нужно настраивать домен в соответствии с доменом, который вы использовали для получения сертификата X.509.
Чтобы обеспечить успешную регистрацию в облаке, используйте только символы нижнего регистра в доменном имени или имени узла, заданном для узла. В настоящее время заглавные буквы не поддерживаются.
Общая длина FQDN не должна превышать 64 символов.

IP-адрес — введите IP-адрес для внутреннего интерфейса узла.

Ваш узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается.
Маска — введите адрес маски подсети в десятичной нотации. Например, 255.255.255.0.
Шлюз — введите IP-адрес шлюза. Шлюз — это сетевой узел, который служит точкой доступа к другой сети.
DNS-серверы — введите список DNS-серверов с разделителями-запятыми, которые обрабатывают перевод доменных имен на числовые IP-адреса. (Допускается до 4 записей DNS.)
Серверы NTP. Введите сервер NTP вашей организации или другой внешний сервер NTP, который может использоваться в вашей организации. Серверы NTP по умолчанию могут работать не для всех предприятий. Также можно использовать список с разделителями-запятыми для ввода нескольких серверов NTP.

Разверните все узлы в одной подсети или VLAN, чтобы все узлы в кластере были доступны клиентам в вашей сети в целях администрирования.

Щелкните правой кнопкой мыши виртуальную машину узла и выберите Питание > Питание включено.

Рекомендации по устранению неисправностей

Настройка виртуальной машины безопасности данных гибридного типа

1.	В клиенте VMware vSphere выберите VM узла безопасности данных гибридного типа и перейдите на вкладку Консоль . Виртуальная машина загружается, и появляется запрос на вход. Если запрос на вход не отображается, нажмите Enter.
2.	Для входа и изменения учетных данных используйте следующие логин и пароль по умолчанию. Вход: `admin` Пароль: `cisco` После первого входа в виртуальную машину необходимо изменить пароль администратора.
3.	Если параметры сети уже настроены в разделе Установка узла HDS OVA, пропустите оставшуюся часть этой процедуры. В противном случае в главном меню выберите пункт Редактировать конфигурацию .
4.	Настройте статическую конфигурацию с IP-адресом, маской, шлюзом и информацией о DNS. Ваш узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается.
5	(Необязательно) Измените имя узла, домен или серверы NTP, если это необходимо для соответствия политике сети. Вам не нужно настраивать домен в соответствии с доменом, который вы использовали для получения сертификата X.509.
6	Сохраните конфигурацию сети и перезагрузите виртуальную машину, чтобы изменения вступили в силу.

Загрузка и монтаж конфигурации HDS ISO

Перед началом работы

Загрузите файл ISO с компьютера:

В левой панели навигации клиента VMware vSphere щелкните сервер ESXi.
В списке Аппаратное обеспечение вкладки Конфигурация щелкните Хранилище.
В списке Datastores щелкните правой кнопкой мыши хранилище данных для виртуальных машин и нажмите Browse Datastore.
Щелкните пиктограмму Загрузить файлы и нажмите Загрузить файл.
Перейдите в расположение, где вы скачали файл ISO на свой компьютер, и нажмите Открыть.
Нажмите Да , чтобы принять предупреждение операции загрузки и скачивания, и закройте диалоговое окно хранилища данных.

Подключите файл ISO:

На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.
Нажмите OK, чтобы принять предупреждение об ограниченных параметрах редактирования.
Щелкните кнопку CD/DVD Drive 1, выберите параметр для подключения из файла ISO хранилища данных и перейдите в расположение, куда загружен файл конфигурации ISO.
Установите флажки Подключено и Подключено при включении питания.
Сохраните изменения и перезагрузите виртуальную машину.

Дальнейшие действия

Настройка узла HDS для интеграции прокси

Перед началом работы

Обзор поддерживаемых параметров прокси см. в разделе Поддержка прокси .
Требования к прокси-серверу

1.	Введите URL настройки узла HDS `https://[HDS Node IP or FQDN]/setup` в веб-браузере введите учетные данные администратора, настроенные для узла, и щелкните Войти.
2.	Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров. No Proxy (Без прокси). Этот параметр применяется по умолчанию до интеграции прокси. Обновление сертификата не требуется. Transparent Non-Inspecting Proxy (Прозрачный прокси без проверки). Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется. Transparent Inspecting Proxy (Прозрачный прокси с проверкой). Узлы не настроены для использования адреса определенного прокси-сервера. В развертывании службы безопасности данных гибридного типа не нужно вносить изменения в конфигурацию HTTPS, однако для обеспечения доверия прокси узлам HDS необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS). Explicit Proxy (Явный прокси). При использовании явного прокси необходимо указать прокси-сервер, который должен использовать клиент (узлы HDS). Этот параметр поддерживает несколько типов аутентификации. После выбора этого параметра необходимо ввести указанную далее информацию. Proxy IP/FQDN (IP-адрес или FQDN прокси). Адрес, который можно использовать для доступа к прокси-машине. Proxy Port (Порт прокси). Номер порта, который используется прокси для прослушивания трафика, передаваемого через прокси. Proxy Protocol (Протокол прокси). Выберите http (просматривает все запросы, получаемые от клиента, и управляет этими запросами) или https (обеспечивает работу канала связи с сервером; клиент получает и проверяет сертификат сервера). Выберите параметр в зависимости от того, какой протокол поддерживает используемый вами прокси-сервер. Authentication Type (Тип аутентификации). Выберите один из перечисленных ниже типов аутентификации. None (Нет). Дальнейшая аутентификация не требуется. Этот параметр доступен для прокси HTTP или HTTPS. Basic (Базовая). Используется для оператора пользователя HTTP в целях предоставления имени пользователя и пароля при совершении запроса. Использует кодировку Base64. Этот параметр доступен для прокси HTTP или HTTPS. Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль. Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети. Этот параметр доступен только для прокси HTTPS. Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль. В случае использования прозрачного прокси с проверкой, явного прокси HTTP с базовой аутентификацией или явного прокси HTTPS выполните указанные далее шаги.
3.	Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси. Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку-шеврон, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить).
4.	Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси). Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки. Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу. Такая проблема может возникнуть во многих конфигурациях явного прокси. Можно продолжить настройку, и узел будет работать в режиме блокировки разрешения внешних DNS. Если вы считаете, что это ошибка, выполните следующие действия, а затем увидите Отключить режим блокировки разрешения внешних DNS.
5	Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд.
6	Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке. Узел перезагрузится в течение нескольких минут.
7.	После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом. Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси.

Регистрация первого узла в кластере

Перед началом работы

Как только вы начнете регистрацию узла, вы должны завершить ее в течение 60 минут или начать заново.
Убедитесь, что все блокирующие всплывающие окна в браузере отключены или что для admin.webex.com разрешено исключение.

1.	Войдите в https://admin.webex.com.
2.	В меню в левой части экрана выберите Службы.
3.	В разделе служб гибридного типа найдите службу безопасности данных гибридного типа и щелкните Настройка. Откроется страница "Регистрация узла безопасности данных гибридного типа".
4.	Выберите Да , чтобы указать, что узел настроен и готов его зарегистрировать, а затем нажмите Далее.
5	В первом поле введите имя кластера, которому необходимо назначить узел безопасности данных гибридного типа. Рекомендуется присвоить кластеру имя в зависимости от географического расположения узлов кластера. Например: "Сан-Франциско", "Нью-Йорк" или "Даллас"
6	Во втором поле введите внутренний IP-адрес или полное доменное имя узла и нажмите Далее. Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем узла и доменом, которые использовались в разделе Настройка виртуальной машины безопасности данных гибридного типа. Отобразится сообщение о том, что узел можно зарегистрировать в Webex.
7.	Щелкните Перейти к узлу.
8	В предупреждающем сообщении нажмите Continue (Продолжить). Через несколько минут вы будете перенаправлены на тесты подключения узлов для служб Webex. Если все тесты прошли успешно, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Там вы подтверждаете, что хотите предоставить организации Webex полномочия на доступ к узлу.
9	Установите флажок Разрешить доступ к узлу безопасности данных гибридного типа и нажмите Продолжить. Ваша учетная запись проверена, и в сообщении "Регистрация завершена" указывается, что ваш узел теперь зарегистрирован в облаке Webex.
10	Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа Control Hub. На странице безопасности данных гибридного типа отображается новый кластер, содержащий зарегистрированный узел. Узел автоматически скачает последнюю версию программного обеспечения из облака.

Создание и регистрация дополнительных узлов

Перед началом работы

Как только вы начнете регистрацию узла, вы должны завершить ее в течение 60 минут или начать заново.
Убедитесь, что все блокирующие всплывающие окна в браузере отключены или что для admin.webex.com разрешено исключение.

1.	Создайте новую виртуальную машину из OVA, повторив шаги, описанные в разделе Установка OVA узла HDS.
2.	Настройте начальную конфигурацию новой виртуальной машины, повторив шаги, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа.
3.	В новой виртуальной машине повторите шаги, описанные в разделе Загрузить и смонтировать конфигурацию HDS ISO.
4.	При настройке прокси для развертывания повторите действия, описанные в разделе Настройка узла HDS для интеграции прокси , если это необходимо для нового узла.
5	Зарегистрируйте узел. В https://admin.webex.com выберите Службы в меню в левой части экрана. В разделе служб гибридного типа найдите карточку безопасности данных гибридного типа и щелкните Ресурсы. Отобразится страница ресурсов безопасности данных гибридного типа. Щелкните Добавить ресурс. В первом поле выберите имя существующего кластера. Во втором поле введите внутренний IP-адрес или полное доменное имя узла и нажмите Далее. Отобразится сообщение о том, что узел можно зарегистрировать в облаке Webex. Щелкните Перейти к узлу. Через несколько минут вы будете перенаправлены на тесты подключения узлов для служб Webex. Если все тесты прошли успешно, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Там вы подтверждаете, что хотите предоставить вашей организации полномочия на доступ к узлу. Установите флажок Разрешить доступ к узлу безопасности данных гибридного типа и нажмите Продолжить. Ваша учетная запись проверена, и в сообщении "Регистрация завершена" указывается, что ваш узел теперь зарегистрирован в облаке Webex. Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа Control Hub. Ваш узел зарегистрирован. Обратите внимание, что до начала пробной версии узлы генерируют сигнал о том, что служба еще не активирована.

Дальнейшие действия

Запустить пробную версию и перейти к производству (следующая глава)

Запуск пробной версии и переход к производству

Процесс выполнения пробной версии производственных задач

Перед началом работы

1.	Если применимо, синхронизируйте `HdsTrialGroup` групповой объект. Если в вашей организации используется синхронизация каталогов для пользователей, необходимо выбрать `HdsTrialGroup` группировать объект для синхронизации с облаком, прежде чем начать пробную версию. Инструкции см. в руководстве по развертыванию соединителя каталогов Cisco.
2.	Активировать пробную версию Начните пробную версию. Пока вы не выполните эту задачу, ваши узлы генерируют сигнал о том, что служба еще не активирована.
3.	Тестирование развертывания системы безопасности данных гибридного типа Убедитесь в том, что ключевые запросы передаются в развертывание службы безопасности данных гибридного типа.
4.	Мониторинг работоспособности системы безопасности данных гибридного типа Проверьте состояние и настройте электронные уведомления для сигналов тревоги.
5	Добавление или удаление пользователей из пробной версии
6	Завершите пробную фазу одним из следующих действий. Переход от пробной версии к производственной Завершение пробной версии без перехода к производству

Активировать пробную версию

Перед началом работы

1.	Войдите в https://admin.webex.com и выберите Службы.
2.	В разделе Безопасность данных гибридного типа щелкните Настройки.
3.	В разделе "Состояние службы" щелкните Начать пробную версию. Состояние службы меняется на пробный режим.
4.	Щелкните Добавить пользователей и введите адрес электронной почты одного или нескольких пользователей для экспериментального использования узлов безопасности данных гибридного типа для служб шифрования и индексации. (Если в вашей организации используется синхронизация каталогов, используйте Active Directory для управления пробной группой, `HdsTrialGroup`.)

Тестирование развертывания системы безопасности данных гибридного типа

Используйте эту процедуру для тестирования сценариев шифрования безопасности данных гибридного типа.

Перед началом работы

Настройте развертывание службы безопасности данных гибридного типа.
Активируйте пробную версию и добавьте нескольких пользователей пробной версии.
Убедитесь, что у вас есть доступ к системному журналу, чтобы проверить, передаются ли ключевые запросы в развертывание службы безопасности данных гибридного типа.

Отправка сообщений в новое пространство.

Вы должны найти следующую запись (идентификаторы сокращены для читаемости):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Вы должны найти запись, например:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Вы должны найти запись, например:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Вы должны найти запись, например:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Мониторинг работоспособности системы безопасности данных гибридного типа

1.	В Control Hub выберите Службы в меню в левой части экрана.
2.	В разделе служб гибридного типа найдите службу безопасности данных гибридного типа и щелкните Настройки. Отобразится страница параметров безопасности данных гибридного типа.
3.	В разделе «Электронные уведомления» введите один или несколько адресов электронной почты, разделенных запятыми, и нажмите Enter.

Добавление или удаление пользователей из пробной версии

1.	Войдите в Control Hub и выберите Службы.
2.	В разделе Безопасность данных гибридного типа щелкните Настройки.
3.	В разделе «Пробный режим» области «Состояние службы» щелкните Добавить пользователей или выберите просмотр и редактирование для удаления пользователей из пробной версии.
4.	Введите адрес электронной почты одного или нескольких пользователей, которые необходимо добавить, или щелкните X по идентификатору пользователя, чтобы удалить пользователя из пробной версии. Затем щелкните Сохранить.

Переход от пробной версии к производственной

1.	Войдите в Control Hub и выберите Службы.
2.	В разделе Безопасность данных гибридного типа щелкните Настройки.
3.	В разделе "Состояние службы" щелкните Переместить в производство.
4.	Убедитесь в том, что необходимо переместить всех пользователей в производство.

Завершение пробной версии без перехода к производству

1.	Войдите в Control Hub и выберите Службы.
2.	В разделе Безопасность данных гибридного типа щелкните Настройки.
3.	В разделе Деактивировать нажмите Деактивировать.
4.	Подтвердите деактивацию службы и завершите пробную версию.

Управление развертыванием HDS

Задать график модернизации кластера

Чтобы задать график модернизации, выполните приведенные ниже действия.

1.	Войдите в Control Hub.
2.	На странице "Обзор" в разделе "Службы гибридного типа" выберите Безопасность данных гибридного типа.
3.	На странице "Ресурсы безопасности данных гибридного типа" выберите кластер.
4.	На панели "Обзор" справа в разделе "Настройки кластера" выберите имя кластера.
5	На странице "Настройки" в разделе "Модернизация" выберите время и часовой пояс для расписания модернизации. Примечание. В часовом поясе отображаются дата и время следующей доступной модернизации. При необходимости модернизацию можно отложить на следующий день, щелкнув Отложить.

Изменение конфигурации узла

Изменение сертификатов x.509 по истечении срока действия или по другим причинам.

Обновление настроек базы данных для работы с копией базы данных PostgreSQL или Microsoft SQL Server.

Создание новой конфигурации для подготовки нового центра обработки данных.

Мягкий сброс. Старые и новые пароли работают в течение не более 10 дней. Используйте этот период для постепенной замены файла ISO на узлах.
Жесткий сброс. Старые пароли перестанут работать немедленно.

Используйте эту процедуру, чтобы создать новый файл конфигурации ISO и применить его к кластеру.

Перед началом работы

Если инструмент настройки HDS работает за прокси в вашей среде, укажите настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при переносе контейнера Docker в 1.e. В этой таблице указаны некоторые из возможных переменных среды.

Описание	Переменная
HTTP-прокси без аутентификации	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-прокси без аутентификации	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-прокси с аутентификацией	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-прокси с аутентификацией	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Для создания новой конфигурации потребуется копия текущего файла конфигурации ISO. Файл ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Файл ISO необходим для изменения конфигурации, в том числе учетных данных базы данных, обновления сертификатов или изменения политики авторизации.

Запустите инструмент настройки HDS, используя Docker на локальной машине.

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Чтобы войти в реестр образов Docker, введите следующее.
```
docker login -u hdscustomersro
```
Введите в запросе пароля этот хеш:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

По завершении скачивания введите соответствующую команду для вашей среды.

В обычных средах без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

В обычных средах с HTTP-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В обычных средах с HTTPS-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В средах FedRAMP без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

В средах FedRAMP с HTTP-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

В средах FedRAMP с HTTPS-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

Используйте браузер для подключения к localhost, . http://127.0.0.1:8080.

При отображении соответствующего запроса введите учетные данные для входа клиента Control Hub и затем щелкните Принять для продолжения.
Импортируйте текущий файл конфигурации ISO.
Следуйте подсказкам, чтобы завершить работу с инструментом и скачать обновленный файл.

Чтобы выключить инструмент настройки, введите CTRL+C.
Создайте резервную копию обновленного файла в другом центре обработки данных.

Установите OVA узла HDS.
Настройте виртуальную машину HDS.
Подключите обновленный файл конфигурации.
Зарегистрируйте новый узел в Control Hub.

Выключите виртуальную машину.
На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.
Щелкните кнопку CD/DVD Drive 1 Щелкните Дисковод компакт-дисков и DVD-дисков 1, выберите параметр подключения из файла ISO и найдите расположение, куда вы скачали новый файл конфигурации ISO.
Установите флажок Соединять при включении.
Сохраните изменения и включите виртуальную машину.

Повторите шаг 3, чтобы заменить конфигурацию на каждом оставшемся узле со старой конфигурацией.

Отключение режима блокировки разрешения внешних DNS

Перед началом работы

1.	В веб-браузере откройте интерфейс узла безопасности данных гибридного типа (например, IP-адрес или настройка, https://192.0.2.0/setup), введите учетные данные администратора, настроенные для узла, и щелкните Войти.
2.	Перейдите к разделу Overview (Обзор) (страница по умолчанию). Если режим включен, параметр Blocked External DNS Resolution (Блокировка разрешения внешних DNS) должен иметь значение Yes (Да).
3.	Перейдите на страницу Trust Store & Proxy (Зона доверия и прокси).
4.	Щелкните Check Proxy Connection (Проверить соединение с прокси). Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу и он останется в этом режиме. В противном случае после перезапуска узла и возврата на страницу Overview (Обзор) параметр блокировки разрешения внешних DNS должен иметь значение No (Нет).

Дальнейшие действия

Повторите тестирование соединения с прокси для каждого узла кластера безопасности данных гибридного типа.

Удаление узла

Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi и выключения виртуальной машины.

Удалить узел.

Войдите в Control Hub и выберите Службы.
На карточке безопасности данных гибридного типа щелкните Просмотреть все , чтобы отобразить страницу ресурсов безопасности данных гибридного типа.
Выберите кластер, чтобы отобразить его панель обзора.
Щелкните Открыть список узлов.
На вкладке Узлы выберите узел, который необходимо удалить.
Щелкните Действия > Отменить регистрацию узла.

Аварийное восстановление с помощью резервного центра обработки данных

После настройки сервера Syslogd щелкните Расширенные настройки


passiveMode: 'false'

Завершите процесс настройки и сохраните файл ISO в удобном для поиска местоположении.

Щелкните Edit Settings >CD/DVD Drive 1 и выберите Datastore ISO File.

Включите узел HDS и убедитесь в отсутствии аварийных сигналов в течение не менее 15 минут.

Повторите процесс для каждого узла в резервном центре обработки данных.

Дальнейшие действия

(Необязательно) Отсоедините ISO после конфигурации HDS

Перед началом работы

Модернизируйте все узлы HDS до версии 2021.01.22.4720 или более поздней.

1.	Отключите один из узлов HDS.
2.	В vCenter Server Appliance выберите узел HDS.
3.	Выберите Редактировать настройки > CD/DVD привод и снимите флажок Datastore ISO File.
4.	Включите узел HDS и убедитесь в отсутствии аварийных сигналов в течение как минимум 20 минут.
5	Повторите для каждого узла HDS по очереди.

Устранение неполадок безопасности данных гибридного типа

Просмотр предупреждений и устранение неполадок

Невозможно создать новые пространства (невозможно создать новые клавиши)
Не удалось расшифровать сообщения и названия пространств для:
- Новые пользователи, добавленные в пространство (невозможно получить ключи)
- Существующие пользователи в пространстве с использованием нового клиента (невозможно получить ключи)
Существующие пользователи в пространстве будут продолжать успешно работать, пока у их клиентов есть кэш ключей шифрования

Предупреждения

Таблица 1. Общие проблемы и шаги по их решению
Сигнал	Действие
Ошибка доступа к локальной базе данных.	Проверьте наличие ошибок базы данных или проблем с локальной сетью.
Сбой подключения локальной базы данных.	Убедитесь, что сервер базы данных доступен, и в конфигурации узла использовались правильные учетные данные служебной учетной записи.
Сбой доступа к облачной службе.	Убедитесь, что узлы могут получить доступ к серверам Webex, как указано в требованиях к внешним подключениям.
Возобновление регистрации облачной службы.	Регистрация в облачных службах была отменена. Продолжается возобновление регистрации.
Регистрация в облачной службе отменена.	Регистрация в облачных службах прекращена. Сервис отключается.
Служба еще не активирована.	Активируйте пробную версию или завершите перемещение пробной версии в производство.
Настроенный домен не соответствует сертификату сервера.	Убедитесь, что сертификат сервера соответствует настроенному домену активации службы. Наиболее вероятной причиной является то, что сертификат CN был недавно изменен и теперь отличается от CN, который использовался при начальной настройке.
Не удалось выполнить аутентификацию в облачных службах.	Проверка точности и возможного истечения срока действия учетных данных учетной записи службы.
Не удалось открыть файл локального хранилища ключей.	Проверьте целостность и точность пароля в локальном файле хранилища ключей.
Недопустимый сертификат локального сервера.	Проверьте дату истечения срока действия сертификата сервера и убедитесь, что он был выпущен доверенным центром сертификации.
Не удается опубликовать метрики.	Проверьте доступ локальной сети к внешним облачным службам.
каталог /media/configdrive/hds не существует.	Проверьте конфигурацию подключения ISO на виртуальном узле. Убедитесь, что файл ISO существует, что он настроен на монтирование при перезагрузке и что он успешно монтируется.

Устранение неполадок безопасности данных гибридного типа

1.	Просмотрите Control Hub на наличие предупреждений и исправьте все найденные в нем элементы.
2.	Проверьте вывод сервера syslog для активности из развертывания службы безопасности данных гибридного типа.
3.	Обратитесь в службу поддержки Cisco.

Другие примечания

Известные проблемы безопасности данных гибридного типа

При отключении кластера безопасности данных гибридного типа (удалении его в Control Hub или отключении всех узлов), потере файла конфигурации ISO или потере доступа к базе данных хранилища ключей пользователи приложения Webex больше не смогут использовать пространства в списке пользователей, созданные с помощью клавиш KMS. Это применимо как к пробному, так и к производственному развертыванию. В настоящее время у нас нет решения или решения этой проблемы. Мы настоятельно рекомендуем вам не закрывать службы HDS после обработки учетных записей активных пользователей.
Клиент, имеющий существующее подключение ECDH к KMS, поддерживает это подключение в течение определенного периода времени (вероятно, одного часа). Когда пользователь становится участником пробной версии безопасности данных гибридного типа, клиент пользователя продолжает использовать существующее соединение ECDH до истечения времени его истечения. Кроме того, пользователь может выйти из приложения Webex и вернуться в него, чтобы обновить местоположение, в котором приложение связывается с ключами шифрования.

Аналогичное поведение происходит при перемещении пробной версии в производство для организации. Все пользователи, не являющиеся пробными версиями, с существующими подключениями ECDH к предыдущим службам безопасности данных, будут продолжать использовать эти службы до тех пор, пока соединение ECDH не будет пересогласовано (через тайм-аут или путем выхода и повторного входа).

Использование OpenSSL для создания файла PKCS12

Перед началом работы

OpenSSL является одним из инструментов, который может быть использован для создания файла PKCS12 в надлежащем формате для загрузки в инструмент установки HDS. Есть и другие способы сделать это, и мы не поддерживаем и не продвигаем одну сторону.
Если вы решите использовать OpenSSL, мы предоставим эту процедуру в качестве руководства для создания файла, соответствующего требованиям сертификата X.509 в требованиях к сертификатам X.509. Прежде чем продолжить, ознакомьтесь с этими требованиями.
Установите OpenSSL в поддерживаемой среде. См. https://www.openssl.org программное обеспечение и документацию.
Создайте закрытый ключ.
Начните эту процедуру при получении сертификата сервера от центра сертификации (ЦС).

1.	При получении сертификата сервера из ЦС сохраните его как `hdsnode.pem`.
2.	Отобразите сертификат в виде текста и проверьте сведения. `openssl x509 -text -noout -in hdsnode.pem`
3.	Используйте текстовый редактор для создания файла пакета сертификатов, который называется `hdsnode-bundle.pem`. Файл пакета должен содержать сертификат сервера, все промежуточные сертификаты ЦС и корневые сертификаты ЦС в следующем формате: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4.	Создайте файл .p12 с дружественным именем `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Проверьте сведения о сертификате сервера. `openssl pkcs12 -in hdsnode.p12` Введите пароль при запросе, чтобы зашифровать закрытый ключ так, чтобы он отображался в выходном окне. Затем убедитесь, что закрытый ключ и первый сертификат содержат строки `friendlyName: kms-private-key`. Пример. bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Дальнейшие действия

Трафик между узлами HDS и облаком

Трафик коллекции исходящих метрик

Входящий Трафик

Узлы безопасности данных гибридного типа получают следующие типы входящего трафика из облака Webex.

Запросы на шифрование от клиентов, маршрутизируемые службой шифрования
Модернизация программного обеспечения узла

Настройка прокси Squid для безопасности данных гибридного типа

Невозможно выполнить подключение веб-сокетов через прокси Squid

Squid 4 и 5

Добавить on_unsupported_protocol директива к squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Предисловие

Новая и измененная информация

Дата

Внесенные изменения

20 октября 2023 г.

Обновлена информация в требованиях к серверу базы данных.
Добавлена настройка резервного центра обработки данных для аварийного восстановления.
Обновлена информация в резервном центре обработки данных для аварийного восстановления и аварийного восстановления с помощью резервного центра обработки данных.

07 августа 2023 г.

Добавлено примечание в разделе Скачивание файлов установки.
Добавлено примечание в Create a Configuration ISO for the HDS Hosts and Change the Node Configuration.

23 мая 2023 г.

Удалена информация из требований к серверу базы данных с просьбой включить функцию, обратившись в команду по работе с учетными записями.
Обновлена информация в разделе Требования к внешним подключениям и добавлена Канада в таблицу узлов CI.
Добавлено примечание в разделе Ожидания развертывания службы безопасности данных гибридного типа относительно недоступности механизмов для перемещения ключей обратно в облако.

06 декабря 2022 г.

Изображения инструмента настройки HDS теперь размещаются в ciscocitg репозиторий dockerhub.
Обновлен раздел Создание ISO конфигурации для узлов HDS и Изменение разделов конфигурации узла для рефлексии изменений команд.

23 ноября 2022 г.

Узлы HDS теперь могут использовать аутентификацию Windows для Microsoft SQL Server.

Обновлен раздел Требования к серверу базы данных с дополнительными требованиями для этого режима аутентификации.

Обновлен параметр Создание конфигурации ISO для узлов HDS с процедурой настройки аутентификации Windows на узлах.
Обновлен раздел Требования к серверу базы данных новыми минимальными требуемыми версиями (PostgreSQL 10).

13 октября 2021 г.

24 июня 2021 г.

30 апреля 2021 г.

24 февраля 2021 г.

2 февраля 2021 г.

11 января 2021 г.

Добавлена информация о инструменте настройки HDS и прокси для создания конфигурации ISO для узлов HDS.

13 октября 2020 г.

8 октября 2020 г.

14 августа 2020 г.

5 августа 2020 г.

Обновлены требования к виртуальному организатору для удаления максимального количества организаторов.

16 июня 2020 г.

Обновлено удаление узла для внесения изменений в пользовательский интерфейс Control Hub.

4 июня 2020 г.

29 мая 2020 г.

5 мая 2020 г.

Обновлены требования к виртуальному организатору для отображения новых требований ESXi 6.5.

21 апреля 2020 г.

Обновлены требования к внешним подключениям с новыми хостами CI в Америке.

1 апреля 2020 г.

Обновлены требования к внешним подключениям с информацией о региональных узлах CI.

4 февраля 2020 г. Обновлены требования к прокси-серверу.

19 ноября 2019 г.

Добавлена информация о режиме блокировки разрешения внешних DNS в следующих разделах:

Поддержка прокси
Настройка узла HDS для интеграции прокси
Отключение режима блокировки разрешения внешних DNS

8 ноября 2019 г.

Теперь можно настроить параметры сети для узла во время развертывания OVA, а не после.

Соответствующим образом обновлены следующие разделы:

Процесс выполнения задач по развертыванию системы безопасности данных гибридного типа
Установка OVA узла HDS
Настройка виртуальной машины безопасности данных гибридного типа

6 сентября 2019 г.

Добавлен стандарт SQL Server в требования к серверу базы данных.

20 августа 2019 г.

Поддержка прокси
Требования к прокси-серверу
Настройка узла HDS для интеграции прокси

6 марта 2019 г.

Требования и предварительные условия перемещены в отдельную главу Подготовка среды.
Добавлено Процесс выполнения задач по развертыванию системы безопасности данных гибридного типа обзор в главе Настройка кластера безопасности данных гибридного типа.

Отмечается, что до начала пробной версии (с помощью инструкций, приведенных в следующей главе) узлы генерируют сигнал о том, что служба еще не активирована.
Добавлена пробная версия для производственной задачи в главе Запуск пробной версии и переход к производственной.

28 февраля 2019 г.

Исправлено количество локального места на жестком диске на сервере, которое следует выделить при подготовке виртуальных узлов, которые становятся узлами безопасности данных гибридного типа, с 50 ГБ до 20 ГБ, чтобы отразить размер диска, создаваемого OVA.

26 февраля 2019 г.

Узлы безопасности данных гибридного типа теперь поддерживают зашифрованные соединения с серверами баз данных PostgreSQL и зашифрованные соединения для ведения журналов к серверу системного журнала с поддержкой TLS. Обновлен раздел Создание конфигурации ISO для узлов HDS с инструкциями.
Удалены URL-адреса назначения из таблицы "Требования к подключению к Интернету для виртуальных машин узлов безопасности данных гибридного типа". Теперь таблица ссылается на список, который хранится в таблице "Дополнительные URL-адреса для служб гибридного типа Webex Teams" в разделе Требования к сети для служб Webex Teams.

24 января 2019 г.

5 ноября 2018 г.

Добавлен предварительный шаг по очистке всех существующих экземпляров docker hds в разделе Create a Configuration ISO for the HDS Hosts and Change the Node Configuration.
Обновлен шаг уровня доступа ключа в разделе Создание конфигурации ISO для узлов HDS для соответствия интерфейсу.

19 октября 2018 г.

Разделите информацию о подключении брандмауэра на требования узла и требования к машине конфигурации ISO в разделе Выполнение предварительных требований для безопасности данных гибридного типа.

31 июля 2018 г.

Добавлен порт 22 (доступ SSH) и информация о соединениях NAT и брандмауэра для выполнения предварительных требований для безопасности данных гибридного типа.

21 мая 2018 г.

Изменена терминология для отражения ребрендинга Cisco Spark.

Служба безопасности данных гибридного типа Cisco Spark теперь является службой безопасности данных гибридного типа.
Приложение Cisco Spark теперь является приложением Webex.
Облако Cisco Collaboraton теперь является облаком Webex.

11 апреля 2018 г.

Добавлен резервный центр обработки данных для аварийного восстановления.
Обновлено Complete the Prerequisites for Data Security гибридного типа, чтобы указать, что среда резервного копирования должна находиться в другом центре обработки данных.
Обновлено аварийное восстановление с помощью резервного центра обработки данных.

22 февраля 2018 г.

Добавлена информация о пароле учетной записи службы за 9 месяцев и использовании инструмента настройки HDS для сброса паролей учетной записи службы в разделе Создание конфигурации ISO для узлов HDS и Изменение конфигурации узла.

15 февраля 2018 г.

В таблице требований к сертификатам X.509 указано, что сертификат не может быть групповым сертификатом и что KMS использует домен CN, а не любой домен, определенный в полях SAN x.509v3.

18 января 2018 г.

Добавлено приложение Трафик между узлами HDS и облаком.
Устранена проблема из раздела Известные проблемы безопасности данных гибридного типа.
Изменен index.docker.io на *.docker.io и добавлен *.cloudfront.net в список требований к подключению TCP для узлов HDS в разделе Complete the Prerequisites for Hybrid Data Security.
Обновлено Create a Configuration ISO for the HDS Hosts (Создать конфигурацию ISO для узлов HDS), чтобы указать, что если хост базы данных и сервер системного журнала не разрешаются DNS из узлов HDS, их необходимо настроить с помощью IP-адресов.

2 ноября 2017 г.

Уточнена синхронизация каталогов HdsTrialGroup.
Исправлены инструкции по загрузке файла конфигурации ISO для установки на узлы виртуальной машины.

18 августа 2017 г.

Впервые опубликовано

Начало работы с безопасностью данных гибридного типа

Обзор безопасности данных гибридного типа

Архитектура сферы безопасности

Клиент устанавливает безопасное соединение со службой управления ключами (KMS), затем запрашивает ключ для шифрования сообщения. Безопасное соединение использует ECDH, а KMS шифрует ключ с помощью главного ключа AES-256.
Сообщение зашифровано перед выходом из клиента. Клиент отправляет его в службу индексирования, которая создает зашифрованные индексы поиска для облегчения будущих поисков контента.
Зашифрованное сообщение отправляется в службу соответствия для проверки соответствия.
Зашифрованное сообщение хранится в области хранилища.

Сотрудничество с другими организациями

Ожидания развертывания системы безопасности данных гибридного типа

Для развертывания службы безопасности данных гибридного типа необходимо предоставить:

Безопасный центр обработки данных в стране, являющейся поддерживаемым местоположением для планов Cisco Webex Teams.
Оборудование, программное обеспечение и доступ к сети описаны в разделе Подготовка среды.

Управление резервным копированием и восстановлением базы данных и конфигурации ISO.
Будьте готовы выполнить быстрое аварийное восстановление при возникновении катастрофы, например сбой диска базы данных или аварийное завершение работы центра обработки данных.

Механизм возврата ключей в облако после развертывания HDS отсутствует.

Процесс настройки высокого уровня

Настройка безопасности данных гибридного типа. Это включает подготовку необходимой инфраструктуры и установку программного обеспечения безопасности данных гибридного типа, тестирование развертывания с помощью подмножества пользователей в пробном режиме и, по завершении тестирования, переход к производству. Это преобразует всю организацию для использования кластера безопасности данных гибридного типа для функций безопасности.
Этапы установки, тестирования и производства подробно описаны в следующих трех главах.
Поддерживайте развертывание службы безопасности данных гибридного типа: облако Webex автоматически обеспечивает текущую модернизацию. Ваш ИТ-отдел может предоставить поддержку первого уровня для этого развертывания и при необходимости задействовать службу поддержки Cisco. В Control Hub можно использовать экранные уведомления и настроить предупреждения на основе электронной почты.
Понимание общих предупреждений, шагов по устранению неполадок и известных проблем. При возникновении проблем при развертывании или использовании службы безопасности данных гибридного типа последняя глава этого руководства и приложение «Известные проблемы» могут помочь вам определить и устранить проблему.

Модель развертывания системы безопасности данных гибридного типа

Модель развертывания системы безопасности данных гибридного типа

Для каждой организации поддерживается только один кластер.

Пробный режим безопасности данных гибридного типа

Резервный центр обработки данных для аварийного восстановления

Настройка резервного центра обработки данных для аварийного восстановления

Чтобы настроить файл ISO резервного центра обработки данных, выполните приведенные ниже действия.

Перед началом работы

Резервный центр обработки данных должен отражать рабочую среду виртуальных машин и резервную базу данных PostgreSQL или Microsoft SQL Server. Например, если в производстве имеется 3 ВМ с узлами HDS, резервная среда должна иметь 3 ВМ. (Обзор этой модели отработки отказа см. в разделе Standby Data Center for Disaster Recovery .)
Убедитесь, что синхронизация базы данных включена между базой данных активных и пассивных узлов кластера.

После настройки сервера Syslogd щелкните Расширенные настройки


passiveMode: 'true'

Завершите процесс настройки и сохраните файл ISO в удобном для поиска местоположении.

Щелкните Edit Settings >CD/DVD Drive 1 и выберите Datastore ISO File.

Включите узел HDS и убедитесь в отсутствии аварийных сигналов в течение не менее 15 минут.

Повторите процесс для каждого узла в резервном центре обработки данных.

Дальнейшие действия

Поддержка прокси

Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.

No proxy (Без прокси). Этот параметр применяется по умолчанию, если для интеграции прокси не используется конфигурация прокси и зоны доверия настройки узла HDS. Обновление сертификата не требуется.
Transparent non-inspecting proxy (Прозрачный прокси без проверки). Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.
Transparent tunneling or inspecting proxy (Прозрачный туннельный прокси или прокси с проверкой). Узлы не настроены для использования адреса определенного прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
Explicit proxy (Явный прокси). При использовании явного прокси необходимо указать прокси-сервер и схему аутентификации, которые должны использовать узлы HDS. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.
1. Proxy IP/FQDN (IP-адрес или FQDN прокси). Адрес, который можно использовать для доступа к прокси-машине.
2. Proxy Port (Порт прокси). Номер порта, который используется прокси для прослушивания трафика, передаваемого через прокси.
3. Proxy Protocol (Протокол прокси). Выберите протокол, поддерживаемый прокси-сервером. Доступные протоколы указаны ниже.
  - HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.
  - HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.
4. Authentication Type (Тип аутентификации). Выберите один из перечисленных ниже типов аутентификации.
  - None (Нет). Дальнейшая аутентификация не требуется.
    
    Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
  - Basic (Базовая). Используется для оператора пользователя HTTP в целях предоставления имени пользователя и пароля при совершении запроса. Использует кодировку Base64.
    
    Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
    
    Требует ввода имени пользователя и пароля на каждом узле.
  - Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.
    
    Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.
    
    Требует ввода имени пользователя и пароля на каждом узле.

Пример узлов безопасности данных гибридного типа и прокси

Режим блокировки разрешения внешних DNS (конфигурации явного прокси)

Подготовка среды

Требования к безопасности данных гибридного типа

Требования к лицензии Cisco Webex

Развертывание службы безопасности данных гибридного типа.

У вас должен быть профессиональный пакет Cisco Webex Control Hub. (См. https://www.cisco.com/go/pro-pack.)

Требования к рабочему столу Docker

Требования к сертификату X.509

Цепочка сертификатов должна отвечать следующим требованиям:

Таблица 1. Требования к сертификату X.509 для развертывания системы безопасности данных гибридного типа
Требование	Сведения
Подписано доверенным центром сертификации (CA)	По умолчанию мы доверяем ЦС в списке Mozilla (за исключением WoSign и StartCom) по адресу https://wiki.mozilla.org/CA:IncludedCAs.
Имеет имя домена общего имени (CN), которое идентифицирует развертывание службы безопасности данных гибридного типа Не является групповым сертификатом	CN не должен быть доступным или быть в режиме реального времени организатором. Рекомендуется использовать название, которое отражает вашу организацию, например `hds.company.com`. CN не должен содержать * (подстановочный знак). CN используется для проверки узлов безопасности данных гибридного типа для клиентов приложения Webex. Все узлы безопасности данных гибридного типа в кластере используют один и тот же сертификат. Ваш KMS идентифицирует себя с помощью домена CN, а не какого-либо домена, определенного в полях SAN x.509v3. После регистрации узла с этим сертификатом изменение имени домена CN не поддерживается. Выберите домен, который может применяться как к пробному, так и к производственному развертыванию.
Подпись без SHA1	Программное обеспечение KMS не поддерживает подписи SHA1 для проверки подключений к KMS других организаций.
Отформатирован как защищенный паролем файл PKCS #12 Используйте дружественное имя `kms-private-key` чтобы пометить сертификат, закрытый ключ и все промежуточные сертификаты для загрузки.	Для изменения формата сертификата можно использовать конвертер, например OpenSSL. При запуске инструмента настройки HDS необходимо будет ввести пароль.

Требования к виртуальному организатору

Не менее двух отдельных узлов (рекомендуется 3), расположенных в одном защищенном центре обработки данных

Установлен и запущен VMware ESXi 6.5 (или более поздняя версия).

Если у вас есть более ранняя версия ESXi, необходимо выполнить модернизацию.

Минимум 4 vCPU, 8 ГБ основной памяти, 30 ГБ локального дискового пространства на сервере

Требования к серверу базы данных

Существует два варианта для сервера базы данных. Требования к каждому из них следующие:

Таблица 2. Требования к серверу базы данных по типу базы данных

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 или 16, установлен и запущен.

Установлен SQL Server 2016, 2017 или 2019 (корпоративный или стандартный).

Для SQL Server 2016 требуется пакет обновления 2 и кумулятивное обновление 2 или более поздние версии.

PostgreSQL

Microsoft SQL Server

Драйвер JDBC Postgres 42.2.5

Драйвер JDBC SQL Server 4.6

Эта версия драйвера поддерживает SQL Server Always On ( Always On Failover Cluster Instances и Always On Availability groups).

Дополнительные требования к аутентификации Windows в Microsoft SQL Server

Узлы HDS, инфраструктура Active Directory и MS SQL Server должны синхронизироваться с NTP.
Учетная запись Windows, предоставленная узлам HDS, должна иметь доступ на чтение/запись к базе данных.
Серверы DNS, которые вы предоставляете узлам HDS, должны иметь возможность разрешить работу центра распределения ключей (KDC).
Экземпляр базы данных HDS можно зарегистрировать на сервере Microsoft SQL в качестве главного имени службы (SPN) в Active Directory. См. раздел Регистрация имени главного поставщика услуг для соединений Kerberos.

Инструмент настройки HDS, средство запуска HDS и локальный KMS должны использовать аутентификацию Windows для доступа к базе данных хранилища ключей. Они используют сведения из конфигурации ISO для создания SPN при запросе доступа с аутентификацией Kerberos.

Требования к внешним подключениям

Настройте брандмауэр таким образом, чтобы разрешить следующее подключение для приложений HDS.

Приложение	Protocol	Port (Порт)	Направление из приложения	Адресат
Узлы безопасности данных гибридного типа	TCP	443	Исходящие HTTPS и WSS	Серверы Webex: .wbx2.com .ciscospark.com Все узлы общих параметров идентификации Другие URL-адреса, перечисленные для безопасности данных гибридного типа в таблице Дополнительные URL-адреса для служб гибридного типа Webex Требования к сети для служб Webex
инструмент настройки HDS	TCP	443	Исходящий HTTPS	*.wbx2.com Все узлы общих параметров идентификации hub.docker.com

URL-адреса узлов общих параметров идентификации (CI) зависят от региона. Это текущие хосты CI:

Регион	URL-адреса общих узлов удостоверений
Северная и Южная Америка	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Европейский союз	https://idbroker-eu.webex.com https://identity-eu.webex.com
Канада	https://idbroker-ca.webex.com https://identity-ca.webex.com

Требования к прокси-серверу

для прозрачных прокси – Cisco Web Security Appliance (WSA);

для явных прокси – Squid.

Поддерживаются следующие комбинации типов аутентификации для явных прокси:
- без аутентификации при использовании HTTP или HTTPS;
- базовая аутентификация при использовании HTTP или HTTPS;
- дайджест-аутентификация только при использовании HTTPS;
При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.
Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.
Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. При возникновении этой проблемы обход (без проверки) трафика на wbx2.com и ciscospark.com решит проблему.

Выполнение предварительных требований для безопасности данных гибридного типа

Создайте базу данных для хранения ключей. (Необходимо создать эту базу данных — не используйте базу данных по умолчанию. При установке приложения HDS создайте схему базы данных.)
Соберите сведения, которые узлы будут использовать для связи с сервером базы данных.
- имя хоста или IP-адрес (хост) и порт
- имя базы данных (dbname) для хранения ключей
- имя пользователя и пароль пользователя со всеми правами в базе данных хранилища ключей

Настройка кластера безопасности данных гибридного типа

Процесс выполнения задач по развертыванию системы безопасности данных гибридного типа

Перед началом работы

Скачайте файл OVA на локальный компьютер для последующего использования.

Настройка виртуальной машины безопасности данных гибридного типа

Создайте виртуальную машину из файла OVA и выполните начальную конфигурацию, например сетевые настройки.

Настройте виртуальную машину из файла конфигурации ISO, созданного с помощью инструмента настройки HDS.

Зарегистрируйте виртуальную машину в облаке Cisco Webex в качестве узла безопасности данных гибридного типа.

Настройка кластера безопасности данных гибридного типа

Завершите настройку кластера.

Запустить пробную версию и перейти к производству (следующая глава)

Скачивание файлов установки

Войдите в https://admin.webex.com и щелкните Службы.

В разделе служб гибридного типа найдите карточку безопасности данных гибридного типа и щелкните Настройка.

Выберите Нет , чтобы указать, что узел еще не настроен, и нажмите Далее.

Файл OVA автоматически начинает скачиваться. Сохраните файл в местоположении на компьютере.

Создание ISO конфигурации для узлов HDS

Перед началом работы

Описание	Переменная
HTTP-прокси без аутентификации	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-прокси без аутентификации	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-прокси с аутентификацией	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-прокси с аутентификацией	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Созданный файл конфигурации ISO содержит главный ключ, шифрующий базу данных PostgreSQL или Microsoft SQL Server. Вам потребуется последняя копия этого файла при внесении изменений в конфигурацию, например:
- учетные данные базы данных
- Обновления сертификата
- Изменения политики авторизации
Если вы планируете шифровать соединения с базой данных, настройте развертывание PostgreSQL или SQL Server для TLS.

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

По завершении скачивания введите соответствующую команду для вашей среды.

В обычных средах без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

В обычных средах с HTTP-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В обычных средах с HTTPS-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В средах FedRAMP без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

В средах FedRAMP с HTTP-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

В средах FedRAMP с HTTPS-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

На странице обзора инструмента настройки щелкните Начало работы.

На странице импорта ISO доступны следующие параметры:

Нет. При создании первого узла HDS у вас нет файла ISO для загрузки.
Да. Если вы уже создали узлы HDS, выберите файл ISO в окне просмотра и загрузите его.

Убедитесь, что сертификат X.509 соответствует требованиям, изложенным в требованиях к сертификатам X.509.

Если сертификат ранее не загружался, загрузите сертификат X.509, введите пароль и нажмите Продолжить.
Если сертификат ОК, нажмите Продолжить.
Если срок действия сертификата истек или необходимо заменить его, выберите Нет для продолжения использования цепочки сертификатов HDS и закрытого ключа из предыдущего ISO?. Загрузите новый сертификат X.509, введите пароль и нажмите Продолжить.

Введите адрес базы данных и учетную запись HDS для доступа к хранилищу данных ключа:

Выберите тип базы данных (PostgreSQL или Microsoft SQL Server).

Если выбран Microsoft SQL Server, появится поле Authentication Type (Тип аутентификации).
(Только Microsoft SQL Server) Выберите тип аутентификации:
- Базовая аутентификация: В поле Имя пользователя необходимо указать имя учетной записи SQL Server.
- Аутентификация Windows: Вам нужна учетная запись Windows в формате username@DOMAIN в поле Имя пользователя .
Введите адрес сервера базы данных в форме <hostname>:<port> или <IP-address>:<port>.

Пример.
dbhost.example.org:1433 или 198.51.100.17:1433

Для базовой аутентификации можно использовать IP-адрес, если узлы не могут использовать DNS для разрешения имени узла.

При использовании аутентификации Windows необходимо ввести полное доменное имя в формате dbhost.example.org:1433
Введите имя базы данных.
Введите имя пользователя и пароль пользователя со всеми правами в базе данных хранилища ключей.

Выберите режим подключения к базе данных TLS:

Mode

Описание

Предпочтительно использование TLS (параметр по умолчанию)

Обязательное использование TLS

Обязательное использование TLS и проверка источника подписи сертификата

Этот режим не применим к базам данных SQL Server.

Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.
После установления соединения TLS узел сравнивает отправителя подписи сертификата от сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение.

Обязательное использование TLS и проверка источника подписи сертификата и имени узла

Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.
После установления соединения TLS узел сравнивает отправителя подписи сертификата от сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение.
Узлы также проверяют, соответствует ли имя хоста в сертификате сервера имени хоста в поле Хост базы данных и порт . Необходимо точное совпадение имен. Иначе узел разорвет соединение.

На странице «Системные журналы» настройте сервер Syslogd:

Введите URL-адрес сервера системного журнала.

Если сервер не разрешается DNS из узлов кластера HDS, используйте IP-адрес в URL.

Пример.
udp://10.92.43.23:514 указывает на вход в хост Syslogd 10.92.43.23 на порту UDP 514.
Если вы настроили на сервере использование шифрования TLS, проверьте, настроен ли ваш сервер системного журнала для шифрования SSL?.

Установив этот флажок, убедитесь, что введен URL-адрес TCP, например tcp://10.92.43.23:514.
В раскрывающемся списке Выбор завершения записи системного журнала выберите соответствующую настройку для файла ISO. Выберите или Newline используется для Graylog и Rsyslog TCP
- Null byte -- \x00
- Newline -- \n — выберите этот параметр для TCP Graylog и Rsyslog.
Щелкните Продолжить.

app_datasource_connection_pool_maxSize: 10

Щелкните Продолжить на экране Сброс пароля учетных записей службы .

Щелкните Скачать файл ISO. Сохраните файл в удобном для поиска местоположении.

Сделайте резервную копию файла ISO в локальной системе.

Чтобы выключить инструмент настройки, введите CTRL+C.

Дальнейшие действия

У нас никогда нет копии этого ключа, и мы не можем помочь, если вы его потеряете.

Установка OVA узла HDS

Используйте эту процедуру для создания виртуальной машины из файла OVA.

Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi.

Выберите Файл > Развертывание шаблона OVF.

В мастере укажите расположение скачанного ранее файла OVA и щелкните Далее.

На Выберите вычислительный ресурс выберите целевой вычислительный ресурс, а затем щелкните Далее.

Выполняется проверка. После завершения отображаются сведения о шаблоне.

Проверьте сведения о шаблоне и щелкните Далее.

На странице Настройка шаблона настройте следующие сетевые параметры.

Имя узла. Введите полное доменное имя (имя узла и домен) или одно имя узла для узла.

Вам не нужно настраивать домен в соответствии с доменом, который вы использовали для получения сертификата X.509.
Чтобы обеспечить успешную регистрацию в облаке, используйте только символы нижнего регистра в доменном имени или имени узла, заданном для узла. В настоящее время заглавные буквы не поддерживаются.
Общая длина FQDN не должна превышать 64 символов.

IP-адрес — введите IP-адрес для внутреннего интерфейса узла.

Ваш узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается.
Маска — введите адрес маски подсети в десятичной нотации. Например, 255.255.255.0.
Шлюз — введите IP-адрес шлюза. Шлюз — это сетевой узел, который служит точкой доступа к другой сети.
DNS-серверы — введите список DNS-серверов с разделителями-запятыми, которые обрабатывают перевод доменных имен на числовые IP-адреса. (Допускается до 4 записей DNS.)
Серверы NTP. Введите сервер NTP вашей организации или другой внешний сервер NTP, который может использоваться в вашей организации. Серверы NTP по умолчанию могут работать не для всех предприятий. Также можно использовать список с разделителями-запятыми для ввода нескольких серверов NTP.

Разверните все узлы в одной подсети или VLAN, чтобы все узлы в кластере были доступны клиентам в вашей сети в целях администрирования.

Щелкните правой кнопкой мыши виртуальную машину узла и выберите Питание > Питание включено.

Рекомендации по устранению неисправностей

Настройка виртуальной машины безопасности данных гибридного типа

1.	В клиенте VMware vSphere выберите VM узла безопасности данных гибридного типа и перейдите на вкладку Консоль . Виртуальная машина загружается, и появляется запрос на вход. Если запрос на вход не отображается, нажмите Enter.
2.	Для входа и изменения учетных данных используйте следующие логин и пароль по умолчанию. Вход: `admin` Пароль: `cisco` После первого входа в виртуальную машину необходимо изменить пароль администратора.
3.	Если параметры сети уже настроены в разделе Установка узла HDS OVA, пропустите оставшуюся часть этой процедуры. В противном случае в главном меню выберите пункт Редактировать конфигурацию .
4.	Настройте статическую конфигурацию с IP-адресом, маской, шлюзом и информацией о DNS. Ваш узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается.
5	(Необязательно) Измените имя узла, домен или серверы NTP, если это необходимо для соответствия политике сети. Вам не нужно настраивать домен в соответствии с доменом, который вы использовали для получения сертификата X.509.
6	Сохраните конфигурацию сети и перезагрузите виртуальную машину, чтобы изменения вступили в силу.

Загрузка и монтаж конфигурации HDS ISO

Перед началом работы

Загрузите файл ISO с компьютера:

В левой панели навигации клиента VMware vSphere щелкните сервер ESXi.
В списке Аппаратное обеспечение вкладки Конфигурация щелкните Хранилище.
В списке Datastores щелкните правой кнопкой мыши хранилище данных для виртуальных машин и нажмите Browse Datastore.
Щелкните пиктограмму Загрузить файлы и нажмите Загрузить файл.
Перейдите в расположение, где вы скачали файл ISO на свой компьютер, и нажмите Открыть.
Нажмите Да , чтобы принять предупреждение операции загрузки и скачивания, и закройте диалоговое окно хранилища данных.

Подключите файл ISO:

На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.
Нажмите OK, чтобы принять предупреждение об ограниченных параметрах редактирования.
Щелкните кнопку CD/DVD Drive 1, выберите параметр для подключения из файла ISO хранилища данных и перейдите в расположение, куда загружен файл конфигурации ISO.
Установите флажки Подключено и Подключено при включении питания.
Сохраните изменения и перезагрузите виртуальную машину.

Дальнейшие действия

Настройка узла HDS для интеграции прокси

Перед началом работы

Обзор поддерживаемых параметров прокси см. в разделе Поддержка прокси .
Требования к прокси-серверу

1.	Введите URL настройки узла HDS `https://[HDS Node IP or FQDN]/setup` в веб-браузере введите учетные данные администратора, настроенные для узла, и щелкните Войти.
2.	Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров. No Proxy (Без прокси). Этот параметр применяется по умолчанию до интеграции прокси. Обновление сертификата не требуется. Transparent Non-Inspecting Proxy (Прозрачный прокси без проверки). Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется. Transparent Inspecting Proxy (Прозрачный прокси с проверкой). Узлы не настроены для использования адреса определенного прокси-сервера. В развертывании службы безопасности данных гибридного типа не нужно вносить изменения в конфигурацию HTTPS, однако для обеспечения доверия прокси узлам HDS необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS). Explicit Proxy (Явный прокси). При использовании явного прокси необходимо указать прокси-сервер, который должен использовать клиент (узлы HDS). Этот параметр поддерживает несколько типов аутентификации. После выбора этого параметра необходимо ввести указанную далее информацию. Proxy IP/FQDN (IP-адрес или FQDN прокси). Адрес, который можно использовать для доступа к прокси-машине. Proxy Port (Порт прокси). Номер порта, который используется прокси для прослушивания трафика, передаваемого через прокси. Proxy Protocol (Протокол прокси). Выберите http (просматривает все запросы, получаемые от клиента, и управляет этими запросами) или https (обеспечивает работу канала связи с сервером; клиент получает и проверяет сертификат сервера). Выберите параметр в зависимости от того, какой протокол поддерживает используемый вами прокси-сервер. Authentication Type (Тип аутентификации). Выберите один из перечисленных ниже типов аутентификации. None (Нет). Дальнейшая аутентификация не требуется. Этот параметр доступен для прокси HTTP или HTTPS. Basic (Базовая). Используется для оператора пользователя HTTP в целях предоставления имени пользователя и пароля при совершении запроса. Использует кодировку Base64. Этот параметр доступен для прокси HTTP или HTTPS. Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль. Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети. Этот параметр доступен только для прокси HTTPS. Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль. В случае использования прозрачного прокси с проверкой, явного прокси HTTP с базовой аутентификацией или явного прокси HTTPS выполните указанные далее шаги.
3.	Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси. Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку-шеврон, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить).
4.	Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси). Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки. Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу. Такая проблема может возникнуть во многих конфигурациях явного прокси. Можно продолжить настройку, и узел будет работать в режиме блокировки разрешения внешних DNS. Если вы считаете, что это ошибка, выполните следующие действия, а затем увидите Отключить режим блокировки разрешения внешних DNS.
5	Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд.
6	Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке. Узел перезагрузится в течение нескольких минут.
7.	После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом. Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси.

Регистрация первого узла в кластере

Перед началом работы

Как только вы начнете регистрацию узла, вы должны завершить ее в течение 60 минут или начать заново.
Убедитесь, что все блокирующие всплывающие окна в браузере отключены или что для admin.webex.com разрешено исключение.

1.	Войдите в https://admin.webex.com.
2.	В меню в левой части экрана выберите Службы.
3.	В разделе служб гибридного типа найдите службу безопасности данных гибридного типа и щелкните Настройка. Откроется страница "Регистрация узла безопасности данных гибридного типа".
4.	Выберите Да , чтобы указать, что узел настроен и готов его зарегистрировать, а затем нажмите Далее.
5	В первом поле введите имя кластера, которому необходимо назначить узел безопасности данных гибридного типа. Рекомендуется присвоить кластеру имя в зависимости от географического расположения узлов кластера. Например: "Сан-Франциско", "Нью-Йорк" или "Даллас"
6	Во втором поле введите внутренний IP-адрес или полное доменное имя узла и нажмите Далее. Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем узла и доменом, которые использовались в разделе Настройка виртуальной машины безопасности данных гибридного типа. Отобразится сообщение о том, что узел можно зарегистрировать в Webex.
7.	Щелкните Перейти к узлу.
8	В предупреждающем сообщении нажмите Continue (Продолжить). Через несколько минут вы будете перенаправлены на тесты подключения узлов для служб Webex. Если все тесты прошли успешно, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Там вы подтверждаете, что хотите предоставить организации Webex полномочия на доступ к узлу.
9	Установите флажок Разрешить доступ к узлу безопасности данных гибридного типа и нажмите Продолжить. Ваша учетная запись проверена, и в сообщении "Регистрация завершена" указывается, что ваш узел теперь зарегистрирован в облаке Webex.
10	Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа Control Hub. На странице безопасности данных гибридного типа отображается новый кластер, содержащий зарегистрированный узел. Узел автоматически скачает последнюю версию программного обеспечения из облака.

Создание и регистрация дополнительных узлов

Перед началом работы

Как только вы начнете регистрацию узла, вы должны завершить ее в течение 60 минут или начать заново.
Убедитесь, что все блокирующие всплывающие окна в браузере отключены или что для admin.webex.com разрешено исключение.

1.	Создайте новую виртуальную машину из OVA, повторив шаги, описанные в разделе Установка OVA узла HDS.
2.	Настройте начальную конфигурацию новой виртуальной машины, повторив шаги, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа.
3.	В новой виртуальной машине повторите шаги, описанные в разделе Загрузить и смонтировать конфигурацию HDS ISO.
4.	При настройке прокси для развертывания повторите действия, описанные в разделе Настройка узла HDS для интеграции прокси , если это необходимо для нового узла.
5	Зарегистрируйте узел. В https://admin.webex.com выберите Службы в меню в левой части экрана. В разделе служб гибридного типа найдите карточку безопасности данных гибридного типа и щелкните Ресурсы. Отобразится страница ресурсов безопасности данных гибридного типа. Щелкните Добавить ресурс. В первом поле выберите имя существующего кластера. Во втором поле введите внутренний IP-адрес или полное доменное имя узла и нажмите Далее. Отобразится сообщение о том, что узел можно зарегистрировать в облаке Webex. Щелкните Перейти к узлу. Через несколько минут вы будете перенаправлены на тесты подключения узлов для служб Webex. Если все тесты прошли успешно, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Там вы подтверждаете, что хотите предоставить вашей организации полномочия на доступ к узлу. Установите флажок Разрешить доступ к узлу безопасности данных гибридного типа и нажмите Продолжить. Ваша учетная запись проверена, и в сообщении "Регистрация завершена" указывается, что ваш узел теперь зарегистрирован в облаке Webex. Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа Control Hub. Ваш узел зарегистрирован. Обратите внимание, что до начала пробной версии узлы генерируют сигнал о том, что служба еще не активирована.

Дальнейшие действия

Запустить пробную версию и перейти к производству (следующая глава)

Запуск пробной версии и переход к производству

Процесс выполнения пробной версии производственных задач

Перед началом работы

1.	Если применимо, синхронизируйте `HdsTrialGroup` групповой объект. Если в вашей организации используется синхронизация каталогов для пользователей, необходимо выбрать `HdsTrialGroup` группировать объект для синхронизации с облаком, прежде чем начать пробную версию. Инструкции см. в руководстве по развертыванию соединителя каталогов Cisco.
2.	Активировать пробную версию Начните пробную версию. Пока вы не выполните эту задачу, ваши узлы генерируют сигнал о том, что служба еще не активирована.
3.	Тестирование развертывания системы безопасности данных гибридного типа Убедитесь в том, что ключевые запросы передаются в развертывание службы безопасности данных гибридного типа.
4.	Мониторинг работоспособности системы безопасности данных гибридного типа Проверьте состояние и настройте электронные уведомления для сигналов тревоги.
5	Добавление или удаление пользователей из пробной версии
6	Завершите пробную фазу одним из следующих действий. Переход от пробной версии к производственной Завершение пробной версии без перехода к производству

Активировать пробную версию

Перед началом работы

1.	Войдите в https://admin.webex.com и выберите Службы.
2.	В разделе Безопасность данных гибридного типа щелкните Настройки.
3.	В разделе "Состояние службы" щелкните Начать пробную версию. Состояние службы меняется на пробный режим.
4.	Щелкните Добавить пользователей и введите адрес электронной почты одного или нескольких пользователей для экспериментального использования узлов безопасности данных гибридного типа для служб шифрования и индексации. (Если в вашей организации используется синхронизация каталогов, используйте Active Directory для управления пробной группой, `HdsTrialGroup`.)

Тестирование развертывания системы безопасности данных гибридного типа

Используйте эту процедуру для тестирования сценариев шифрования безопасности данных гибридного типа.

Перед началом работы

Настройте развертывание службы безопасности данных гибридного типа.
Активируйте пробную версию и добавьте нескольких пользователей пробной версии.
Убедитесь, что у вас есть доступ к системному журналу, чтобы проверить, передаются ли ключевые запросы в развертывание службы безопасности данных гибридного типа.

Отправка сообщений в новое пространство.

Вы должны найти следующую запись (идентификаторы сокращены для читаемости):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Вы должны найти запись, например:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Вы должны найти запись, например:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Вы должны найти запись, например:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Мониторинг работоспособности системы безопасности данных гибридного типа

1.	В Control Hub выберите Службы в меню в левой части экрана.
2.	В разделе служб гибридного типа найдите службу безопасности данных гибридного типа и щелкните Настройки. Отобразится страница параметров безопасности данных гибридного типа.
3.	В разделе «Электронные уведомления» введите один или несколько адресов электронной почты, разделенных запятыми, и нажмите Enter.

Добавление или удаление пользователей из пробной версии

1.	Войдите в Control Hub и выберите Службы.
2.	В разделе Безопасность данных гибридного типа щелкните Настройки.
3.	В разделе «Пробный режим» области «Состояние службы» щелкните Добавить пользователей или выберите просмотр и редактирование для удаления пользователей из пробной версии.
4.	Введите адрес электронной почты одного или нескольких пользователей, которые необходимо добавить, или щелкните X по идентификатору пользователя, чтобы удалить пользователя из пробной версии. Затем щелкните Сохранить.

Переход от пробной версии к производственной

1.	Войдите в Control Hub и выберите Службы.
2.	В разделе Безопасность данных гибридного типа щелкните Настройки.
3.	В разделе "Состояние службы" щелкните Переместить в производство.
4.	Убедитесь в том, что необходимо переместить всех пользователей в производство.

Завершение пробной версии без перехода к производству

1.	Войдите в Control Hub и выберите Службы.
2.	В разделе Безопасность данных гибридного типа щелкните Настройки.
3.	В разделе Деактивировать нажмите Деактивировать.
4.	Подтвердите деактивацию службы и завершите пробную версию.

Управление развертыванием HDS

Задать график модернизации кластера

Чтобы задать график модернизации, выполните приведенные ниже действия.

1.	Войдите в Control Hub.
2.	На странице "Обзор" в разделе "Службы гибридного типа" выберите Безопасность данных гибридного типа.
3.	На странице "Ресурсы безопасности данных гибридного типа" выберите кластер.
4.	На панели "Обзор" справа в разделе "Настройки кластера" выберите имя кластера.
5	На странице "Настройки" в разделе "Модернизация" выберите время и часовой пояс для расписания модернизации. Примечание. В часовом поясе отображаются дата и время следующей доступной модернизации. При необходимости модернизацию можно отложить на следующий день, щелкнув Отложить.

Изменение конфигурации узла

Изменение сертификатов x.509 по истечении срока действия или по другим причинам.

Обновление настроек базы данных для работы с копией базы данных PostgreSQL или Microsoft SQL Server.

Создание новой конфигурации для подготовки нового центра обработки данных.

Мягкий сброс. Старые и новые пароли работают в течение не более 10 дней. Используйте этот период для постепенной замены файла ISO на узлах.
Жесткий сброс. Старые пароли перестанут работать немедленно.

Используйте эту процедуру, чтобы создать новый файл конфигурации ISO и применить его к кластеру.

Перед началом работы

Если инструмент настройки HDS работает за прокси в вашей среде, укажите настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при переносе контейнера Docker в 1.e. В этой таблице указаны некоторые из возможных переменных среды.

Описание	Переменная
HTTP-прокси без аутентификации	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-прокси без аутентификации	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-прокси с аутентификацией	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-прокси с аутентификацией	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Для создания новой конфигурации потребуется копия текущего файла конфигурации ISO. Файл ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Файл ISO необходим для изменения конфигурации, в том числе учетных данных базы данных, обновления сертификатов или изменения политики авторизации.

Запустите инструмент настройки HDS, используя Docker на локальной машине.

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Чтобы войти в реестр образов Docker, введите следующее.
```
docker login -u hdscustomersro
```
Введите в запросе пароля этот хеш:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

По завершении скачивания введите соответствующую команду для вашей среды.

В обычных средах без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

В обычных средах с HTTP-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В обычных средах с HTTPS-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В средах FedRAMP без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

В средах FedRAMP с HTTP-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

В средах FedRAMP с HTTPS-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

Используйте браузер для подключения к localhost, . http://127.0.0.1:8080.

При отображении соответствующего запроса введите учетные данные для входа клиента Control Hub и затем щелкните Принять для продолжения.
Импортируйте текущий файл конфигурации ISO.
Следуйте подсказкам, чтобы завершить работу с инструментом и скачать обновленный файл.

Чтобы выключить инструмент настройки, введите CTRL+C.
Создайте резервную копию обновленного файла в другом центре обработки данных.

Установите OVA узла HDS.
Настройте виртуальную машину HDS.
Подключите обновленный файл конфигурации.
Зарегистрируйте новый узел в Control Hub.

Выключите виртуальную машину.
На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.
Щелкните кнопку CD/DVD Drive 1 Щелкните Дисковод компакт-дисков и DVD-дисков 1, выберите параметр подключения из файла ISO и найдите расположение, куда вы скачали новый файл конфигурации ISO.
Установите флажок Соединять при включении.
Сохраните изменения и включите виртуальную машину.

Повторите шаг 3, чтобы заменить конфигурацию на каждом оставшемся узле со старой конфигурацией.

Отключение режима блокировки разрешения внешних DNS

Перед началом работы

1.	В веб-браузере откройте интерфейс узла безопасности данных гибридного типа (например, IP-адрес или настройка, https://192.0.2.0/setup), введите учетные данные администратора, настроенные для узла, и щелкните Войти.
2.	Перейдите к разделу Overview (Обзор) (страница по умолчанию). Если режим включен, параметр Blocked External DNS Resolution (Блокировка разрешения внешних DNS) должен иметь значение Yes (Да).
3.	Перейдите на страницу Trust Store & Proxy (Зона доверия и прокси).
4.	Щелкните Check Proxy Connection (Проверить соединение с прокси). Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу и он останется в этом режиме. В противном случае после перезапуска узла и возврата на страницу Overview (Обзор) параметр блокировки разрешения внешних DNS должен иметь значение No (Нет).

Дальнейшие действия

Повторите тестирование соединения с прокси для каждого узла кластера безопасности данных гибридного типа.

Удаление узла

Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi и выключения виртуальной машины.

Удалить узел.

Войдите в Control Hub и выберите Службы.
На карточке безопасности данных гибридного типа щелкните Просмотреть все , чтобы отобразить страницу ресурсов безопасности данных гибридного типа.
Выберите кластер, чтобы отобразить его панель обзора.
Щелкните Открыть список узлов.
На вкладке Узлы выберите узел, который необходимо удалить.
Щелкните Действия > Отменить регистрацию узла.

Аварийное восстановление с помощью резервного центра обработки данных

После настройки сервера Syslogd щелкните Расширенные настройки


passiveMode: 'false'

Завершите процесс настройки и сохраните файл ISO в удобном для поиска местоположении.

Щелкните Edit Settings >CD/DVD Drive 1 и выберите Datastore ISO File.

Включите узел HDS и убедитесь в отсутствии аварийных сигналов в течение не менее 15 минут.

Повторите процесс для каждого узла в резервном центре обработки данных.

Дальнейшие действия

(Необязательно) Отсоедините ISO после конфигурации HDS

Перед началом работы

Модернизируйте все узлы HDS до версии 2021.01.22.4720 или более поздней.

1.	Отключите один из узлов HDS.
2.	В vCenter Server Appliance выберите узел HDS.
3.	Выберите Редактировать настройки > CD/DVD привод и снимите флажок Datastore ISO File.
4.	Включите узел HDS и убедитесь в отсутствии аварийных сигналов в течение как минимум 20 минут.
5	Повторите для каждого узла HDS по очереди.

Устранение неполадок безопасности данных гибридного типа

Просмотр предупреждений и устранение неполадок

Невозможно создать новые пространства (невозможно создать новые клавиши)
Не удалось расшифровать сообщения и названия пространств для:
- Новые пользователи, добавленные в пространство (невозможно получить ключи)
- Существующие пользователи в пространстве с использованием нового клиента (невозможно получить ключи)
Существующие пользователи в пространстве будут продолжать успешно работать, пока у их клиентов есть кэш ключей шифрования

Предупреждения

Таблица 1. Общие проблемы и шаги по их решению
Сигнал	Действие
Ошибка доступа к локальной базе данных.	Проверьте наличие ошибок базы данных или проблем с локальной сетью.
Сбой подключения локальной базы данных.	Убедитесь, что сервер базы данных доступен, и в конфигурации узла использовались правильные учетные данные служебной учетной записи.
Сбой доступа к облачной службе.	Убедитесь, что узлы могут получить доступ к серверам Webex, как указано в требованиях к внешним подключениям.
Возобновление регистрации облачной службы.	Регистрация в облачных службах была отменена. Продолжается возобновление регистрации.
Регистрация в облачной службе отменена.	Регистрация в облачных службах прекращена. Сервис отключается.
Служба еще не активирована.	Активируйте пробную версию или завершите перемещение пробной версии в производство.
Настроенный домен не соответствует сертификату сервера.	Убедитесь, что сертификат сервера соответствует настроенному домену активации службы. Наиболее вероятной причиной является то, что сертификат CN был недавно изменен и теперь отличается от CN, который использовался при начальной настройке.
Не удалось выполнить аутентификацию в облачных службах.	Проверка точности и возможного истечения срока действия учетных данных учетной записи службы.
Не удалось открыть файл локального хранилища ключей.	Проверьте целостность и точность пароля в локальном файле хранилища ключей.
Недопустимый сертификат локального сервера.	Проверьте дату истечения срока действия сертификата сервера и убедитесь, что он был выпущен доверенным центром сертификации.
Не удается опубликовать метрики.	Проверьте доступ локальной сети к внешним облачным службам.
каталог /media/configdrive/hds не существует.	Проверьте конфигурацию подключения ISO на виртуальном узле. Убедитесь, что файл ISO существует, что он настроен на монтирование при перезагрузке и что он успешно монтируется.

Устранение неполадок безопасности данных гибридного типа

1.	Просмотрите Control Hub на наличие предупреждений и исправьте все найденные в нем элементы.
2.	Проверьте вывод сервера syslog для активности из развертывания службы безопасности данных гибридного типа.
3.	Обратитесь в службу поддержки Cisco.

Другие примечания

Известные проблемы безопасности данных гибридного типа

При отключении кластера безопасности данных гибридного типа (удалении его в Control Hub или отключении всех узлов), потере файла конфигурации ISO или потере доступа к базе данных хранилища ключей пользователи приложения Webex больше не смогут использовать пространства в списке пользователей, созданные с помощью клавиш KMS. Это применимо как к пробному, так и к производственному развертыванию. В настоящее время у нас нет решения или решения этой проблемы. Мы настоятельно рекомендуем вам не закрывать службы HDS после обработки учетных записей активных пользователей.
Клиент, имеющий существующее подключение ECDH к KMS, поддерживает это подключение в течение определенного периода времени (вероятно, одного часа). Когда пользователь становится участником пробной версии безопасности данных гибридного типа, клиент пользователя продолжает использовать существующее соединение ECDH до истечения времени его истечения. Кроме того, пользователь может выйти из приложения Webex и вернуться в него, чтобы обновить местоположение, в котором приложение связывается с ключами шифрования.

Аналогичное поведение происходит при перемещении пробной версии в производство для организации. Все пользователи, не являющиеся пробными версиями, с существующими подключениями ECDH к предыдущим службам безопасности данных, будут продолжать использовать эти службы до тех пор, пока соединение ECDH не будет пересогласовано (через тайм-аут или путем выхода и повторного входа).

Использование OpenSSL для создания файла PKCS12

Перед началом работы

OpenSSL является одним из инструментов, который может быть использован для создания файла PKCS12 в надлежащем формате для загрузки в инструмент установки HDS. Есть и другие способы сделать это, и мы не поддерживаем и не продвигаем одну сторону.
Если вы решите использовать OpenSSL, мы предоставим эту процедуру в качестве руководства для создания файла, соответствующего требованиям сертификата X.509 в требованиях к сертификатам X.509. Прежде чем продолжить, ознакомьтесь с этими требованиями.
Установите OpenSSL в поддерживаемой среде. См. https://www.openssl.org программное обеспечение и документацию.
Создайте закрытый ключ.
Начните эту процедуру при получении сертификата сервера от центра сертификации (ЦС).

1.	При получении сертификата сервера из ЦС сохраните его как `hdsnode.pem`.
2.	Отобразите сертификат в виде текста и проверьте сведения. `openssl x509 -text -noout -in hdsnode.pem`
3.	Используйте текстовый редактор для создания файла пакета сертификатов, который называется `hdsnode-bundle.pem`. Файл пакета должен содержать сертификат сервера, все промежуточные сертификаты ЦС и корневые сертификаты ЦС в следующем формате: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4.	Создайте файл .p12 с дружественным именем `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Проверьте сведения о сертификате сервера. `openssl pkcs12 -in hdsnode.p12` Введите пароль при запросе, чтобы зашифровать закрытый ключ так, чтобы он отображался в выходном окне. Затем убедитесь, что закрытый ключ и первый сертификат содержат строки `friendlyName: kms-private-key`. Пример. bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Дальнейшие действия

Трафик между узлами HDS и облаком

Трафик коллекции исходящих метрик

Входящий Трафик

Узлы безопасности данных гибридного типа получают следующие типы входящего трафика из облака Webex.

Запросы на шифрование от клиентов, маршрутизируемые службой шифрования
Модернизация программного обеспечения узла

Настройка прокси Squid для безопасности данных гибридного типа

Невозможно выполнить подключение веб-сокетов через прокси Squid

Squid 4 и 5

Добавить on_unsupported_protocol директива к squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Предисловие

Новая и измененная информация

Дата

Внесенные изменения

20 октября 2023 г.

Обновлена информация в требованиях к серверу базы данных.
Добавлена настройка резервного центра обработки данных для аварийного восстановления.
Обновлена информация в резервном центре обработки данных для аварийного восстановления и аварийного восстановления с помощью резервного центра обработки данных.

07 августа 2023 г.

Добавлено примечание в разделе Скачивание файлов установки.
Добавлено примечание в Create a Configuration ISO for the HDS Hosts and Change the Node Configuration.

23 мая 2023 г.

Удалена информация из требований к серверу базы данных с просьбой включить функцию, обратившись в команду по работе с учетными записями.
Обновлена информация в разделе Требования к внешним подключениям и добавлена Канада в таблицу узлов CI.
Добавлено примечание в разделе Ожидания развертывания службы безопасности данных гибридного типа относительно недоступности механизмов для перемещения ключей обратно в облако.

06 декабря 2022 г.

Изображения инструмента настройки HDS теперь размещаются в ciscocitg репозиторий dockerhub.
Обновлен раздел Создание ISO конфигурации для узлов HDS и Изменение разделов конфигурации узла для рефлексии изменений команд.

23 ноября 2022 г.

Узлы HDS теперь могут использовать аутентификацию Windows для Microsoft SQL Server.

Обновлен раздел Требования к серверу базы данных с дополнительными требованиями для этого режима аутентификации.

Обновлен параметр Создание конфигурации ISO для узлов HDS с процедурой настройки аутентификации Windows на узлах.
Обновлен раздел Требования к серверу базы данных новыми минимальными требуемыми версиями (PostgreSQL 10).

13 октября 2021 г.

24 июня 2021 г.

30 апреля 2021 г.

24 февраля 2021 г.

2 февраля 2021 г.

11 января 2021 г.

Добавлена информация о инструменте настройки HDS и прокси для создания конфигурации ISO для узлов HDS.

13 октября 2020 г.

8 октября 2020 г.

14 августа 2020 г.

5 августа 2020 г.

Обновлены требования к виртуальному организатору для удаления максимального количества организаторов.

16 июня 2020 г.

Обновлено удаление узла для внесения изменений в пользовательский интерфейс Control Hub.

4 июня 2020 г.

29 мая 2020 г.

5 мая 2020 г.

Обновлены требования к виртуальному организатору для отображения новых требований ESXi 6.5.

21 апреля 2020 г.

Обновлены требования к внешним подключениям с новыми хостами CI в Америке.

1 апреля 2020 г.

Обновлены требования к внешним подключениям с информацией о региональных узлах CI.

4 февраля 2020 г. Обновлены требования к прокси-серверу.

19 ноября 2019 г.

Добавлена информация о режиме блокировки разрешения внешних DNS в следующих разделах:

Поддержка прокси
Настройка узла HDS для интеграции прокси
Отключение режима блокировки разрешения внешних DNS

8 ноября 2019 г.

Теперь можно настроить параметры сети для узла во время развертывания OVA, а не после.

Соответствующим образом обновлены следующие разделы:

Процесс выполнения задач по развертыванию системы безопасности данных гибридного типа
Установка OVA узла HDS
Настройка виртуальной машины безопасности данных гибридного типа

6 сентября 2019 г.

Добавлен стандарт SQL Server в требования к серверу базы данных.

20 августа 2019 г.

Поддержка прокси
Требования к прокси-серверу
Настройка узла HDS для интеграции прокси

6 марта 2019 г.

Требования и предварительные условия перемещены в отдельную главу Подготовка среды.
Добавлено Процесс выполнения задач по развертыванию системы безопасности данных гибридного типа обзор в главе Настройка кластера безопасности данных гибридного типа.

Отмечается, что до начала пробной версии (с помощью инструкций, приведенных в следующей главе) узлы генерируют сигнал о том, что служба еще не активирована.
Добавлена пробная версия для производственной задачи в главе Запуск пробной версии и переход к производственной.

28 февраля 2019 г.

Исправлено количество локального места на жестком диске на сервере, которое следует выделить при подготовке виртуальных узлов, которые становятся узлами безопасности данных гибридного типа, с 50 ГБ до 20 ГБ, чтобы отразить размер диска, создаваемого OVA.

26 февраля 2019 г.

Узлы безопасности данных гибридного типа теперь поддерживают зашифрованные соединения с серверами баз данных PostgreSQL и зашифрованные соединения для ведения журналов к серверу системного журнала с поддержкой TLS. Обновлен раздел Создание конфигурации ISO для узлов HDS с инструкциями.
Удалены URL-адреса назначения из таблицы "Требования к подключению к Интернету для виртуальных машин узлов безопасности данных гибридного типа". Теперь таблица ссылается на список, который хранится в таблице "Дополнительные URL-адреса для служб гибридного типа Webex Teams" в разделе Требования к сети для служб Webex Teams.

24 января 2019 г.

5 ноября 2018 г.

Добавлен предварительный шаг по очистке всех существующих экземпляров docker hds в разделе Create a Configuration ISO for the HDS Hosts and Change the Node Configuration.
Обновлен шаг уровня доступа ключа в разделе Создание конфигурации ISO для узлов HDS для соответствия интерфейсу.

19 октября 2018 г.

Разделите информацию о подключении брандмауэра на требования узла и требования к машине конфигурации ISO в разделе Выполнение предварительных требований для безопасности данных гибридного типа.

31 июля 2018 г.

Добавлен порт 22 (доступ SSH) и информация о соединениях NAT и брандмауэра для выполнения предварительных требований для безопасности данных гибридного типа.

21 мая 2018 г.

Изменена терминология для отражения ребрендинга Cisco Spark.

Служба безопасности данных гибридного типа Cisco Spark теперь является службой безопасности данных гибридного типа.
Приложение Cisco Spark теперь является приложением Webex.
Облако Cisco Collaboraton теперь является облаком Webex.

11 апреля 2018 г.

Добавлен резервный центр обработки данных для аварийного восстановления.
Обновлено Complete the Prerequisites for Data Security гибридного типа, чтобы указать, что среда резервного копирования должна находиться в другом центре обработки данных.
Обновлено аварийное восстановление с помощью резервного центра обработки данных.

22 февраля 2018 г.

Добавлена информация о пароле учетной записи службы за 9 месяцев и использовании инструмента настройки HDS для сброса паролей учетной записи службы в разделе Создание конфигурации ISO для узлов HDS и Изменение конфигурации узла.

15 февраля 2018 г.

В таблице требований к сертификатам X.509 указано, что сертификат не может быть групповым сертификатом и что KMS использует домен CN, а не любой домен, определенный в полях SAN x.509v3.

18 января 2018 г.

Добавлено приложение Трафик между узлами HDS и облаком.
Устранена проблема из раздела Известные проблемы безопасности данных гибридного типа.
Изменен index.docker.io на *.docker.io и добавлен *.cloudfront.net в список требований к подключению TCP для узлов HDS в разделе Complete the Prerequisites for Hybrid Data Security.
Обновлено Create a Configuration ISO for the HDS Hosts (Создать конфигурацию ISO для узлов HDS), чтобы указать, что если хост базы данных и сервер системного журнала не разрешаются DNS из узлов HDS, их необходимо настроить с помощью IP-адресов.

2 ноября 2017 г.

Уточнена синхронизация каталогов HdsTrialGroup.
Исправлены инструкции по загрузке файла конфигурации ISO для установки на узлы виртуальной машины.

18 августа 2017 г.

Впервые опубликовано

Начало работы с безопасностью данных гибридного типа

Обзор безопасности данных гибридного типа

Архитектура сферы безопасности

Клиент устанавливает безопасное соединение со службой управления ключами (KMS), затем запрашивает ключ для шифрования сообщения. Безопасное соединение использует ECDH, а KMS шифрует ключ с помощью главного ключа AES-256.
Сообщение зашифровано перед выходом из клиента. Клиент отправляет его в службу индексирования, которая создает зашифрованные индексы поиска для облегчения будущих поисков контента.
Зашифрованное сообщение отправляется в службу соответствия для проверки соответствия.
Зашифрованное сообщение хранится в области хранилища.

Сотрудничество с другими организациями

Ожидания развертывания системы безопасности данных гибридного типа

Для развертывания службы безопасности данных гибридного типа необходимо предоставить:

Безопасный центр обработки данных в стране, являющейся поддерживаемым местоположением для планов Cisco Webex Teams.
Оборудование, программное обеспечение и доступ к сети описаны в разделе Подготовка среды.

Управление резервным копированием и восстановлением базы данных и конфигурации ISO.
Будьте готовы выполнить быстрое аварийное восстановление при возникновении катастрофы, например сбой диска базы данных или аварийное завершение работы центра обработки данных.

Механизм возврата ключей в облако после развертывания HDS отсутствует.

Процесс настройки высокого уровня

Настройка безопасности данных гибридного типа. Это включает подготовку необходимой инфраструктуры и установку программного обеспечения безопасности данных гибридного типа, тестирование развертывания с помощью подмножества пользователей в пробном режиме и, по завершении тестирования, переход к производству. Это преобразует всю организацию для использования кластера безопасности данных гибридного типа для функций безопасности.
Этапы установки, тестирования и производства подробно описаны в следующих трех главах.
Поддерживайте развертывание службы безопасности данных гибридного типа: облако Webex автоматически обеспечивает текущую модернизацию. Ваш ИТ-отдел может предоставить поддержку первого уровня для этого развертывания и при необходимости задействовать службу поддержки Cisco. В Control Hub можно использовать экранные уведомления и настроить предупреждения на основе электронной почты.
Понимание общих предупреждений, шагов по устранению неполадок и известных проблем. При возникновении проблем при развертывании или использовании службы безопасности данных гибридного типа последняя глава этого руководства и приложение «Известные проблемы» могут помочь вам определить и устранить проблему.

Модель развертывания системы безопасности данных гибридного типа

Модель развертывания системы безопасности данных гибридного типа

Для каждой организации поддерживается только один кластер.

Пробный режим безопасности данных гибридного типа

Резервный центр обработки данных для аварийного восстановления

Настройка резервного центра обработки данных для аварийного восстановления

Чтобы настроить файл ISO резервного центра обработки данных, выполните приведенные ниже действия.

Перед началом работы

Резервный центр обработки данных должен отражать рабочую среду виртуальных машин и резервную базу данных PostgreSQL или Microsoft SQL Server. Например, если в производстве имеется 3 ВМ с узлами HDS, резервная среда должна иметь 3 ВМ. (Обзор этой модели отработки отказа см. в разделе Standby Data Center for Disaster Recovery .)
Убедитесь, что синхронизация базы данных включена между базой данных активных и пассивных узлов кластера.

После настройки сервера Syslogd щелкните Расширенные настройки


passiveMode: 'true'

Завершите процесс настройки и сохраните файл ISO в удобном для поиска местоположении.

Щелкните Edit Settings >CD/DVD Drive 1 и выберите Datastore ISO File.

Включите узел HDS и убедитесь в отсутствии аварийных сигналов в течение не менее 15 минут.

Повторите процесс для каждого узла в резервном центре обработки данных.

Дальнейшие действия

Поддержка прокси

Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.

No proxy (Без прокси). Этот параметр применяется по умолчанию, если для интеграции прокси не используется конфигурация прокси и зоны доверия настройки узла HDS. Обновление сертификата не требуется.
Transparent non-inspecting proxy (Прозрачный прокси без проверки). Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.
Transparent tunneling or inspecting proxy (Прозрачный туннельный прокси или прокси с проверкой). Узлы не настроены для использования адреса определенного прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
Explicit proxy (Явный прокси). При использовании явного прокси необходимо указать прокси-сервер и схему аутентификации, которые должны использовать узлы HDS. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.
1. Proxy IP/FQDN (IP-адрес или FQDN прокси). Адрес, который можно использовать для доступа к прокси-машине.
2. Proxy Port (Порт прокси). Номер порта, который используется прокси для прослушивания трафика, передаваемого через прокси.
3. Proxy Protocol (Протокол прокси). Выберите протокол, поддерживаемый прокси-сервером. Доступные протоколы указаны ниже.
  - HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.
  - HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.
4. Authentication Type (Тип аутентификации). Выберите один из перечисленных ниже типов аутентификации.
  - None (Нет). Дальнейшая аутентификация не требуется.
    
    Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
  - Basic (Базовая). Используется для оператора пользователя HTTP в целях предоставления имени пользователя и пароля при совершении запроса. Использует кодировку Base64.
    
    Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
    
    Требует ввода имени пользователя и пароля на каждом узле.
  - Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.
    
    Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.
    
    Требует ввода имени пользователя и пароля на каждом узле.

Пример узлов безопасности данных гибридного типа и прокси

Режим блокировки разрешения внешних DNS (конфигурации явного прокси)

Подготовка среды

Требования к безопасности данных гибридного типа

Требования к лицензии Cisco Webex

Развертывание службы безопасности данных гибридного типа.

У вас должен быть профессиональный пакет Cisco Webex Control Hub. (См. https://www.cisco.com/go/pro-pack.)

Требования к рабочему столу Docker

Требования к сертификату X.509

Цепочка сертификатов должна отвечать следующим требованиям:

Таблица 1. Требования к сертификату X.509 для развертывания системы безопасности данных гибридного типа
Требование	Сведения
Подписано доверенным центром сертификации (CA)	По умолчанию мы доверяем ЦС в списке Mozilla (за исключением WoSign и StartCom) по адресу https://wiki.mozilla.org/CA:IncludedCAs.
Имеет имя домена общего имени (CN), которое идентифицирует развертывание службы безопасности данных гибридного типа Не является групповым сертификатом	CN не должен быть доступным или быть в режиме реального времени организатором. Рекомендуется использовать название, которое отражает вашу организацию, например `hds.company.com`. CN не должен содержать * (подстановочный знак). CN используется для проверки узлов безопасности данных гибридного типа для клиентов приложения Webex. Все узлы безопасности данных гибридного типа в кластере используют один и тот же сертификат. Ваш KMS идентифицирует себя с помощью домена CN, а не какого-либо домена, определенного в полях SAN x.509v3. После регистрации узла с этим сертификатом изменение имени домена CN не поддерживается. Выберите домен, который может применяться как к пробному, так и к производственному развертыванию.
Подпись без SHA1	Программное обеспечение KMS не поддерживает подписи SHA1 для проверки подключений к KMS других организаций.
Отформатирован как защищенный паролем файл PKCS #12 Используйте дружественное имя `kms-private-key` чтобы пометить сертификат, закрытый ключ и все промежуточные сертификаты для загрузки.	Для изменения формата сертификата можно использовать конвертер, например OpenSSL. При запуске инструмента настройки HDS необходимо будет ввести пароль.

Требования к виртуальному организатору

Не менее двух отдельных узлов (рекомендуется 3), расположенных в одном защищенном центре обработки данных

Установлен и запущен VMware ESXi 6.5 (или более поздняя версия).

Если у вас есть более ранняя версия ESXi, необходимо выполнить модернизацию.

Минимум 4 vCPU, 8 ГБ основной памяти, 30 ГБ локального дискового пространства на сервере

Требования к серверу базы данных

Существует два варианта для сервера базы данных. Требования к каждому из них следующие:

Таблица 2. Требования к серверу базы данных по типу базы данных

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 или 16, установлен и запущен.

Установлен SQL Server 2016, 2017 или 2019 (корпоративный или стандартный).

Для SQL Server 2016 требуется пакет обновления 2 и кумулятивное обновление 2 или более поздние версии.

PostgreSQL

Microsoft SQL Server

Драйвер JDBC Postgres 42.2.5

Драйвер JDBC SQL Server 4.6

Эта версия драйвера поддерживает SQL Server Always On ( Always On Failover Cluster Instances и Always On Availability groups).

Дополнительные требования к аутентификации Windows в Microsoft SQL Server

Узлы HDS, инфраструктура Active Directory и MS SQL Server должны синхронизироваться с NTP.
Учетная запись Windows, предоставленная узлам HDS, должна иметь доступ на чтение/запись к базе данных.
Серверы DNS, которые вы предоставляете узлам HDS, должны иметь возможность разрешить работу центра распределения ключей (KDC).
Экземпляр базы данных HDS можно зарегистрировать на сервере Microsoft SQL в качестве главного имени службы (SPN) в Active Directory. См. раздел Регистрация имени главного поставщика услуг для соединений Kerberos.

Инструмент настройки HDS, средство запуска HDS и локальный KMS должны использовать аутентификацию Windows для доступа к базе данных хранилища ключей. Они используют сведения из конфигурации ISO для создания SPN при запросе доступа с аутентификацией Kerberos.

Требования к внешним подключениям

Настройте брандмауэр таким образом, чтобы разрешить следующее подключение для приложений HDS.

Приложение	Protocol	Port (Порт)	Направление из приложения	Адресат
Узлы безопасности данных гибридного типа	TCP	443	Исходящие HTTPS и WSS	Серверы Webex: .wbx2.com .ciscospark.com Все узлы общих параметров идентификации Другие URL-адреса, перечисленные для безопасности данных гибридного типа в таблице Дополнительные URL-адреса для служб гибридного типа Webex Требования к сети для служб Webex
инструмент настройки HDS	TCP	443	Исходящий HTTPS	*.wbx2.com Все узлы общих параметров идентификации hub.docker.com

URL-адреса узлов общих параметров идентификации (CI) зависят от региона. Это текущие хосты CI:

Регион	URL-адреса общих узлов удостоверений
Северная и Южная Америка	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Европейский союз	https://idbroker-eu.webex.com https://identity-eu.webex.com
Канада	https://idbroker-ca.webex.com https://identity-ca.webex.com

Требования к прокси-серверу

для прозрачных прокси – Cisco Web Security Appliance (WSA);

для явных прокси – Squid.

Поддерживаются следующие комбинации типов аутентификации для явных прокси:
- без аутентификации при использовании HTTP или HTTPS;
- базовая аутентификация при использовании HTTP или HTTPS;
- дайджест-аутентификация только при использовании HTTPS;
При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.
Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.
Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. При возникновении этой проблемы обход (без проверки) трафика на wbx2.com и ciscospark.com решит проблему.

Выполнение предварительных требований для безопасности данных гибридного типа

Создайте базу данных для хранения ключей. (Необходимо создать эту базу данных — не используйте базу данных по умолчанию. При установке приложения HDS создайте схему базы данных.)
Соберите сведения, которые узлы будут использовать для связи с сервером базы данных.
- имя хоста или IP-адрес (хост) и порт
- имя базы данных (dbname) для хранения ключей
- имя пользователя и пароль пользователя со всеми правами в базе данных хранилища ключей

Настройка кластера безопасности данных гибридного типа

Процесс выполнения задач по развертыванию системы безопасности данных гибридного типа

Перед началом работы

Скачайте файл OVA на локальный компьютер для последующего использования.

Настройка виртуальной машины безопасности данных гибридного типа

Создайте виртуальную машину из файла OVA и выполните начальную конфигурацию, например сетевые настройки.

Настройте виртуальную машину из файла конфигурации ISO, созданного с помощью инструмента настройки HDS.

Зарегистрируйте виртуальную машину в облаке Cisco Webex в качестве узла безопасности данных гибридного типа.

Настройка кластера безопасности данных гибридного типа

Завершите настройку кластера.

Запустить пробную версию и перейти к производству (следующая глава)

Скачивание файлов установки

Войдите в https://admin.webex.com и щелкните Службы.

В разделе служб гибридного типа найдите карточку безопасности данных гибридного типа и щелкните Настройка.

Выберите Нет , чтобы указать, что узел еще не настроен, и нажмите Далее.

Файл OVA автоматически начинает скачиваться. Сохраните файл в местоположении на компьютере.

Создание ISO конфигурации для узлов HDS

Перед началом работы

Описание	Переменная
HTTP-прокси без аутентификации	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-прокси без аутентификации	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-прокси с аутентификацией	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-прокси с аутентификацией	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Созданный файл конфигурации ISO содержит главный ключ, шифрующий базу данных PostgreSQL или Microsoft SQL Server. Вам потребуется последняя копия этого файла при внесении изменений в конфигурацию, например:
- учетные данные базы данных
- Обновления сертификата
- Изменения политики авторизации
Если вы планируете шифровать соединения с базой данных, настройте развертывание PostgreSQL или SQL Server для TLS.

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

По завершении скачивания введите соответствующую команду для вашей среды.

В обычных средах без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

В обычных средах с HTTP-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В обычных средах с HTTPS-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В средах FedRAMP без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

В средах FedRAMP с HTTP-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

В средах FedRAMP с HTTPS-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

На странице обзора инструмента настройки щелкните Начало работы.

На странице импорта ISO доступны следующие параметры:

Нет. При создании первого узла HDS у вас нет файла ISO для загрузки.
Да. Если вы уже создали узлы HDS, выберите файл ISO в окне просмотра и загрузите его.

Убедитесь, что сертификат X.509 соответствует требованиям, изложенным в требованиях к сертификатам X.509.

Если сертификат ранее не загружался, загрузите сертификат X.509, введите пароль и нажмите Продолжить.
Если сертификат ОК, нажмите Продолжить.
Если срок действия сертификата истек или необходимо заменить его, выберите Нет для продолжения использования цепочки сертификатов HDS и закрытого ключа из предыдущего ISO?. Загрузите новый сертификат X.509, введите пароль и нажмите Продолжить.

Введите адрес базы данных и учетную запись HDS для доступа к хранилищу данных ключа:

Выберите тип базы данных (PostgreSQL или Microsoft SQL Server).

Если выбран Microsoft SQL Server, появится поле Authentication Type (Тип аутентификации).
(Только Microsoft SQL Server) Выберите тип аутентификации:
- Базовая аутентификация: В поле Имя пользователя необходимо указать имя учетной записи SQL Server.
- Аутентификация Windows: Вам нужна учетная запись Windows в формате username@DOMAIN в поле Имя пользователя .
Введите адрес сервера базы данных в форме <hostname>:<port> или <IP-address>:<port>.

Пример.
dbhost.example.org:1433 или 198.51.100.17:1433

Для базовой аутентификации можно использовать IP-адрес, если узлы не могут использовать DNS для разрешения имени узла.

При использовании аутентификации Windows необходимо ввести полное доменное имя в формате dbhost.example.org:1433
Введите имя базы данных.
Введите имя пользователя и пароль пользователя со всеми правами в базе данных хранилища ключей.

Выберите режим подключения к базе данных TLS:

Mode

Описание

Предпочтительно использование TLS (параметр по умолчанию)

Обязательное использование TLS

Обязательное использование TLS и проверка источника подписи сертификата

Этот режим не применим к базам данных SQL Server.

Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.
После установления соединения TLS узел сравнивает отправителя подписи сертификата от сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение.

Обязательное использование TLS и проверка источника подписи сертификата и имени узла

Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.
После установления соединения TLS узел сравнивает отправителя подписи сертификата от сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение.
Узлы также проверяют, соответствует ли имя хоста в сертификате сервера имени хоста в поле Хост базы данных и порт . Необходимо точное совпадение имен. Иначе узел разорвет соединение.

На странице «Системные журналы» настройте сервер Syslogd:

Введите URL-адрес сервера системного журнала.

Если сервер не разрешается DNS из узлов кластера HDS, используйте IP-адрес в URL.

Пример.
udp://10.92.43.23:514 указывает на вход в хост Syslogd 10.92.43.23 на порту UDP 514.
Если вы настроили на сервере использование шифрования TLS, проверьте, настроен ли ваш сервер системного журнала для шифрования SSL?.

Установив этот флажок, убедитесь, что введен URL-адрес TCP, например tcp://10.92.43.23:514.
В раскрывающемся списке Выбор завершения записи системного журнала выберите соответствующую настройку для файла ISO. Выберите или Newline используется для Graylog и Rsyslog TCP
- Null byte -- \x00
- Newline -- \n — выберите этот параметр для TCP Graylog и Rsyslog.
Щелкните Продолжить.

app_datasource_connection_pool_maxSize: 10

Щелкните Продолжить на экране Сброс пароля учетных записей службы .

Щелкните Скачать файл ISO. Сохраните файл в удобном для поиска местоположении.

Сделайте резервную копию файла ISO в локальной системе.

Чтобы выключить инструмент настройки, введите CTRL+C.

Дальнейшие действия

У нас никогда нет копии этого ключа, и мы не можем помочь, если вы его потеряете.

Установка OVA узла HDS

Используйте эту процедуру для создания виртуальной машины из файла OVA.

Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi.

Выберите Файл > Развертывание шаблона OVF.

В мастере укажите расположение скачанного ранее файла OVA и щелкните Далее.

На Выберите вычислительный ресурс выберите целевой вычислительный ресурс, а затем щелкните Далее.

Выполняется проверка. После завершения отображаются сведения о шаблоне.

Проверьте сведения о шаблоне и щелкните Далее.

На странице Настройка шаблона настройте следующие сетевые параметры.

Имя узла. Введите полное доменное имя (имя узла и домен) или одно имя узла для узла.

Вам не нужно настраивать домен в соответствии с доменом, который вы использовали для получения сертификата X.509.
Чтобы обеспечить успешную регистрацию в облаке, используйте только символы нижнего регистра в доменном имени или имени узла, заданном для узла. В настоящее время заглавные буквы не поддерживаются.
Общая длина FQDN не должна превышать 64 символов.

IP-адрес — введите IP-адрес для внутреннего интерфейса узла.

Ваш узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается.
Маска — введите адрес маски подсети в десятичной нотации. Например, 255.255.255.0.
Шлюз — введите IP-адрес шлюза. Шлюз — это сетевой узел, который служит точкой доступа к другой сети.
DNS-серверы — введите список DNS-серверов с разделителями-запятыми, которые обрабатывают перевод доменных имен на числовые IP-адреса. (Допускается до 4 записей DNS.)
Серверы NTP. Введите сервер NTP вашей организации или другой внешний сервер NTP, который может использоваться в вашей организации. Серверы NTP по умолчанию могут работать не для всех предприятий. Также можно использовать список с разделителями-запятыми для ввода нескольких серверов NTP.

Разверните все узлы в одной подсети или VLAN, чтобы все узлы в кластере были доступны клиентам в вашей сети в целях администрирования.

Щелкните правой кнопкой мыши виртуальную машину узла и выберите Питание > Питание включено.

Рекомендации по устранению неисправностей

Настройка виртуальной машины безопасности данных гибридного типа

1.	В клиенте VMware vSphere выберите VM узла безопасности данных гибридного типа и перейдите на вкладку Консоль . Виртуальная машина загружается, и появляется запрос на вход. Если запрос на вход не отображается, нажмите Enter.
2.	Для входа и изменения учетных данных используйте следующие логин и пароль по умолчанию. Вход: `admin` Пароль: `cisco` После первого входа в виртуальную машину необходимо изменить пароль администратора.
3.	Если параметры сети уже настроены в разделе Установка узла HDS OVA, пропустите оставшуюся часть этой процедуры. В противном случае в главном меню выберите пункт Редактировать конфигурацию .
4.	Настройте статическую конфигурацию с IP-адресом, маской, шлюзом и информацией о DNS. Ваш узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается.
5	(Необязательно) Измените имя узла, домен или серверы NTP, если это необходимо для соответствия политике сети. Вам не нужно настраивать домен в соответствии с доменом, который вы использовали для получения сертификата X.509.
6	Сохраните конфигурацию сети и перезагрузите виртуальную машину, чтобы изменения вступили в силу.

Загрузка и монтаж конфигурации HDS ISO

Перед началом работы

Загрузите файл ISO с компьютера:

В левой панели навигации клиента VMware vSphere щелкните сервер ESXi.
В списке Аппаратное обеспечение вкладки Конфигурация щелкните Хранилище.
В списке Datastores щелкните правой кнопкой мыши хранилище данных для виртуальных машин и нажмите Browse Datastore.
Щелкните пиктограмму Загрузить файлы и нажмите Загрузить файл.
Перейдите в расположение, где вы скачали файл ISO на свой компьютер, и нажмите Открыть.
Нажмите Да , чтобы принять предупреждение операции загрузки и скачивания, и закройте диалоговое окно хранилища данных.

Подключите файл ISO:

На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.
Нажмите OK, чтобы принять предупреждение об ограниченных параметрах редактирования.
Щелкните кнопку CD/DVD Drive 1, выберите параметр для подключения из файла ISO хранилища данных и перейдите в расположение, куда загружен файл конфигурации ISO.
Установите флажки Подключено и Подключено при включении питания.
Сохраните изменения и перезагрузите виртуальную машину.

Дальнейшие действия

Настройка узла HDS для интеграции прокси

Перед началом работы

Обзор поддерживаемых параметров прокси см. в разделе Поддержка прокси .
Требования к прокси-серверу

1.	Введите URL настройки узла HDS `https://[HDS Node IP or FQDN]/setup` в веб-браузере введите учетные данные администратора, настроенные для узла, и щелкните Войти.
2.	Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров. No Proxy (Без прокси). Этот параметр применяется по умолчанию до интеграции прокси. Обновление сертификата не требуется. Transparent Non-Inspecting Proxy (Прозрачный прокси без проверки). Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется. Transparent Inspecting Proxy (Прозрачный прокси с проверкой). Узлы не настроены для использования адреса определенного прокси-сервера. В развертывании службы безопасности данных гибридного типа не нужно вносить изменения в конфигурацию HTTPS, однако для обеспечения доверия прокси узлам HDS необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS). Explicit Proxy (Явный прокси). При использовании явного прокси необходимо указать прокси-сервер, который должен использовать клиент (узлы HDS). Этот параметр поддерживает несколько типов аутентификации. После выбора этого параметра необходимо ввести указанную далее информацию. Proxy IP/FQDN (IP-адрес или FQDN прокси). Адрес, который можно использовать для доступа к прокси-машине. Proxy Port (Порт прокси). Номер порта, который используется прокси для прослушивания трафика, передаваемого через прокси. Proxy Protocol (Протокол прокси). Выберите http (просматривает все запросы, получаемые от клиента, и управляет этими запросами) или https (обеспечивает работу канала связи с сервером; клиент получает и проверяет сертификат сервера). Выберите параметр в зависимости от того, какой протокол поддерживает используемый вами прокси-сервер. Authentication Type (Тип аутентификации). Выберите один из перечисленных ниже типов аутентификации. None (Нет). Дальнейшая аутентификация не требуется. Этот параметр доступен для прокси HTTP или HTTPS. Basic (Базовая). Используется для оператора пользователя HTTP в целях предоставления имени пользователя и пароля при совершении запроса. Использует кодировку Base64. Этот параметр доступен для прокси HTTP или HTTPS. Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль. Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети. Этот параметр доступен только для прокси HTTPS. Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль. В случае использования прозрачного прокси с проверкой, явного прокси HTTP с базовой аутентификацией или явного прокси HTTPS выполните указанные далее шаги.
3.	Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси. Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку-шеврон, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить).
4.	Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси). Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки. Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу. Такая проблема может возникнуть во многих конфигурациях явного прокси. Можно продолжить настройку, и узел будет работать в режиме блокировки разрешения внешних DNS. Если вы считаете, что это ошибка, выполните следующие действия, а затем увидите Отключить режим блокировки разрешения внешних DNS.
5	Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд.
6	Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке. Узел перезагрузится в течение нескольких минут.
7.	После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом. Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси.

Регистрация первого узла в кластере

Перед началом работы

Как только вы начнете регистрацию узла, вы должны завершить ее в течение 60 минут или начать заново.
Убедитесь, что все блокирующие всплывающие окна в браузере отключены или что для admin.webex.com разрешено исключение.

1.	Войдите в https://admin.webex.com.
2.	В меню в левой части экрана выберите Службы.
3.	В разделе служб гибридного типа найдите службу безопасности данных гибридного типа и щелкните Настройка. Откроется страница "Регистрация узла безопасности данных гибридного типа".
4.	Выберите Да , чтобы указать, что узел настроен и готов его зарегистрировать, а затем нажмите Далее.
5	В первом поле введите имя кластера, которому необходимо назначить узел безопасности данных гибридного типа. Рекомендуется присвоить кластеру имя в зависимости от географического расположения узлов кластера. Например: "Сан-Франциско", "Нью-Йорк" или "Даллас"
6	Во втором поле введите внутренний IP-адрес или полное доменное имя узла и нажмите Далее. Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем узла и доменом, которые использовались в разделе Настройка виртуальной машины безопасности данных гибридного типа. Отобразится сообщение о том, что узел можно зарегистрировать в Webex.
7.	Щелкните Перейти к узлу.
8	В предупреждающем сообщении нажмите Continue (Продолжить). Через несколько минут вы будете перенаправлены на тесты подключения узлов для служб Webex. Если все тесты прошли успешно, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Там вы подтверждаете, что хотите предоставить организации Webex полномочия на доступ к узлу.
9	Установите флажок Разрешить доступ к узлу безопасности данных гибридного типа и нажмите Продолжить. Ваша учетная запись проверена, и в сообщении "Регистрация завершена" указывается, что ваш узел теперь зарегистрирован в облаке Webex.
10	Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа Control Hub. На странице безопасности данных гибридного типа отображается новый кластер, содержащий зарегистрированный узел. Узел автоматически скачает последнюю версию программного обеспечения из облака.

Создание и регистрация дополнительных узлов

Перед началом работы

Как только вы начнете регистрацию узла, вы должны завершить ее в течение 60 минут или начать заново.
Убедитесь, что все блокирующие всплывающие окна в браузере отключены или что для admin.webex.com разрешено исключение.

1.	Создайте новую виртуальную машину из OVA, повторив шаги, описанные в разделе Установка OVA узла HDS.
2.	Настройте начальную конфигурацию новой виртуальной машины, повторив шаги, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа.
3.	В новой виртуальной машине повторите шаги, описанные в разделе Загрузить и смонтировать конфигурацию HDS ISO.
4.	При настройке прокси для развертывания повторите действия, описанные в разделе Настройка узла HDS для интеграции прокси , если это необходимо для нового узла.
5	Зарегистрируйте узел. В https://admin.webex.com выберите Службы в меню в левой части экрана. В разделе служб гибридного типа найдите карточку безопасности данных гибридного типа и щелкните Ресурсы. Отобразится страница ресурсов безопасности данных гибридного типа. Щелкните Добавить ресурс. В первом поле выберите имя существующего кластера. Во втором поле введите внутренний IP-адрес или полное доменное имя узла и нажмите Далее. Отобразится сообщение о том, что узел можно зарегистрировать в облаке Webex. Щелкните Перейти к узлу. Через несколько минут вы будете перенаправлены на тесты подключения узлов для служб Webex. Если все тесты прошли успешно, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Там вы подтверждаете, что хотите предоставить вашей организации полномочия на доступ к узлу. Установите флажок Разрешить доступ к узлу безопасности данных гибридного типа и нажмите Продолжить. Ваша учетная запись проверена, и в сообщении "Регистрация завершена" указывается, что ваш узел теперь зарегистрирован в облаке Webex. Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа Control Hub. Ваш узел зарегистрирован. Обратите внимание, что до начала пробной версии узлы генерируют сигнал о том, что служба еще не активирована.

Дальнейшие действия

Запустить пробную версию и перейти к производству (следующая глава)

Запуск пробной версии и переход к производству

Процесс выполнения пробной версии производственных задач

Перед началом работы

1.	Если применимо, синхронизируйте `HdsTrialGroup` групповой объект. Если в вашей организации используется синхронизация каталогов для пользователей, необходимо выбрать `HdsTrialGroup` группировать объект для синхронизации с облаком, прежде чем начать пробную версию. Инструкции см. в руководстве по развертыванию соединителя каталогов Cisco.
2.	Активировать пробную версию Начните пробную версию. Пока вы не выполните эту задачу, ваши узлы генерируют сигнал о том, что служба еще не активирована.
3.	Тестирование развертывания системы безопасности данных гибридного типа Убедитесь в том, что ключевые запросы передаются в развертывание службы безопасности данных гибридного типа.
4.	Мониторинг работоспособности системы безопасности данных гибридного типа Проверьте состояние и настройте электронные уведомления для сигналов тревоги.
5	Добавление или удаление пользователей из пробной версии
6	Завершите пробную фазу одним из следующих действий. Переход от пробной версии к производственной Завершение пробной версии без перехода к производству

Активировать пробную версию

Перед началом работы

1.	Войдите в https://admin.webex.com и выберите Службы.
2.	В разделе Безопасность данных гибридного типа щелкните Настройки.
3.	В разделе "Состояние службы" щелкните Начать пробную версию. Состояние службы меняется на пробный режим.
4.	Щелкните Добавить пользователей и введите адрес электронной почты одного или нескольких пользователей для экспериментального использования узлов безопасности данных гибридного типа для служб шифрования и индексации. (Если в вашей организации используется синхронизация каталогов, используйте Active Directory для управления пробной группой, `HdsTrialGroup`.)

Тестирование развертывания системы безопасности данных гибридного типа

Используйте эту процедуру для тестирования сценариев шифрования безопасности данных гибридного типа.

Перед началом работы

Настройте развертывание службы безопасности данных гибридного типа.
Активируйте пробную версию и добавьте нескольких пользователей пробной версии.
Убедитесь, что у вас есть доступ к системному журналу, чтобы проверить, передаются ли ключевые запросы в развертывание службы безопасности данных гибридного типа.

Отправка сообщений в новое пространство.

Вы должны найти следующую запись (идентификаторы сокращены для читаемости):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Вы должны найти запись, например:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Вы должны найти запись, например:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Вы должны найти запись, например:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Мониторинг работоспособности системы безопасности данных гибридного типа

1.	В Control Hub выберите Службы в меню в левой части экрана.
2.	В разделе служб гибридного типа найдите службу безопасности данных гибридного типа и щелкните Настройки. Отобразится страница параметров безопасности данных гибридного типа.
3.	В разделе «Электронные уведомления» введите один или несколько адресов электронной почты, разделенных запятыми, и нажмите Enter.

Добавление или удаление пользователей из пробной версии

1.	Войдите в Control Hub и выберите Службы.
2.	В разделе Безопасность данных гибридного типа щелкните Настройки.
3.	В разделе «Пробный режим» области «Состояние службы» щелкните Добавить пользователей или выберите просмотр и редактирование для удаления пользователей из пробной версии.
4.	Введите адрес электронной почты одного или нескольких пользователей, которые необходимо добавить, или щелкните X по идентификатору пользователя, чтобы удалить пользователя из пробной версии. Затем щелкните Сохранить.

Переход от пробной версии к производственной

1.	Войдите в Control Hub и выберите Службы.
2.	В разделе Безопасность данных гибридного типа щелкните Настройки.
3.	В разделе "Состояние службы" щелкните Переместить в производство.
4.	Убедитесь в том, что необходимо переместить всех пользователей в производство.

Завершение пробной версии без перехода к производству

1.	Войдите в Control Hub и выберите Службы.
2.	В разделе Безопасность данных гибридного типа щелкните Настройки.
3.	В разделе Деактивировать нажмите Деактивировать.
4.	Подтвердите деактивацию службы и завершите пробную версию.

Управление развертыванием HDS

Задать график модернизации кластера

Чтобы задать график модернизации, выполните приведенные ниже действия.

1.	Войдите в Control Hub.
2.	На странице "Обзор" в разделе "Службы гибридного типа" выберите Безопасность данных гибридного типа.
3.	На странице "Ресурсы безопасности данных гибридного типа" выберите кластер.
4.	На панели "Обзор" справа в разделе "Настройки кластера" выберите имя кластера.
5	На странице "Настройки" в разделе "Модернизация" выберите время и часовой пояс для расписания модернизации. Примечание. В часовом поясе отображаются дата и время следующей доступной модернизации. При необходимости модернизацию можно отложить на следующий день, щелкнув Отложить.

Изменение конфигурации узла

Изменение сертификатов x.509 по истечении срока действия или по другим причинам.

Обновление настроек базы данных для работы с копией базы данных PostgreSQL или Microsoft SQL Server.

Создание новой конфигурации для подготовки нового центра обработки данных.

Мягкий сброс. Старые и новые пароли работают в течение не более 10 дней. Используйте этот период для постепенной замены файла ISO на узлах.
Жесткий сброс. Старые пароли перестанут работать немедленно.

Используйте эту процедуру, чтобы создать новый файл конфигурации ISO и применить его к кластеру.

Перед началом работы

Если инструмент настройки HDS работает за прокси в вашей среде, укажите настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при переносе контейнера Docker в 1.e. В этой таблице указаны некоторые из возможных переменных среды.

Описание	Переменная
HTTP-прокси без аутентификации	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-прокси без аутентификации	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-прокси с аутентификацией	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-прокси с аутентификацией	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Для создания новой конфигурации потребуется копия текущего файла конфигурации ISO. Файл ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Файл ISO необходим для изменения конфигурации, в том числе учетных данных базы данных, обновления сертификатов или изменения политики авторизации.

Запустите инструмент настройки HDS, используя Docker на локальной машине.

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Чтобы войти в реестр образов Docker, введите следующее.
```
docker login -u hdscustomersro
```
Введите в запросе пароля этот хеш:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

По завершении скачивания введите соответствующую команду для вашей среды.

В обычных средах без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

В обычных средах с HTTP-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В обычных средах с HTTPS-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В средах FedRAMP без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

В средах FedRAMP с HTTP-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

В средах FedRAMP с HTTPS-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

Используйте браузер для подключения к localhost, . http://127.0.0.1:8080.

При отображении соответствующего запроса введите учетные данные для входа клиента Control Hub и затем щелкните Принять для продолжения.
Импортируйте текущий файл конфигурации ISO.
Следуйте подсказкам, чтобы завершить работу с инструментом и скачать обновленный файл.

Чтобы выключить инструмент настройки, введите CTRL+C.
Создайте резервную копию обновленного файла в другом центре обработки данных.

Установите OVA узла HDS.
Настройте виртуальную машину HDS.
Подключите обновленный файл конфигурации.
Зарегистрируйте новый узел в Control Hub.

Выключите виртуальную машину.
На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.
Щелкните кнопку CD/DVD Drive 1 Щелкните Дисковод компакт-дисков и DVD-дисков 1, выберите параметр подключения из файла ISO и найдите расположение, куда вы скачали новый файл конфигурации ISO.
Установите флажок Соединять при включении.
Сохраните изменения и включите виртуальную машину.

Повторите шаг 3, чтобы заменить конфигурацию на каждом оставшемся узле со старой конфигурацией.

Отключение режима блокировки разрешения внешних DNS

Перед началом работы

1.	В веб-браузере откройте интерфейс узла безопасности данных гибридного типа (например, IP-адрес или настройка, https://192.0.2.0/setup), введите учетные данные администратора, настроенные для узла, и щелкните Войти.
2.	Перейдите к разделу Overview (Обзор) (страница по умолчанию). Если режим включен, параметр Blocked External DNS Resolution (Блокировка разрешения внешних DNS) должен иметь значение Yes (Да).
3.	Перейдите на страницу Trust Store & Proxy (Зона доверия и прокси).
4.	Щелкните Check Proxy Connection (Проверить соединение с прокси). Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу и он останется в этом режиме. В противном случае после перезапуска узла и возврата на страницу Overview (Обзор) параметр блокировки разрешения внешних DNS должен иметь значение No (Нет).

Дальнейшие действия

Повторите тестирование соединения с прокси для каждого узла кластера безопасности данных гибридного типа.

Удаление узла

Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi и выключения виртуальной машины.

Удалить узел.

Войдите в Control Hub и выберите Службы.
На карточке безопасности данных гибридного типа щелкните Просмотреть все , чтобы отобразить страницу ресурсов безопасности данных гибридного типа.
Выберите кластер, чтобы отобразить его панель обзора.
Щелкните Открыть список узлов.
На вкладке Узлы выберите узел, который необходимо удалить.
Щелкните Действия > Отменить регистрацию узла.

Аварийное восстановление с помощью резервного центра обработки данных

После настройки сервера Syslogd щелкните Расширенные настройки


passiveMode: 'false'

Завершите процесс настройки и сохраните файл ISO в удобном для поиска местоположении.

Щелкните Edit Settings >CD/DVD Drive 1 и выберите Datastore ISO File.

Включите узел HDS и убедитесь в отсутствии аварийных сигналов в течение не менее 15 минут.

Повторите процесс для каждого узла в резервном центре обработки данных.

Дальнейшие действия

(Необязательно) Отсоедините ISO после конфигурации HDS

Перед началом работы

Модернизируйте все узлы HDS до версии 2021.01.22.4720 или более поздней.

1.	Отключите один из узлов HDS.
2.	В vCenter Server Appliance выберите узел HDS.
3.	Выберите Редактировать настройки > CD/DVD привод и снимите флажок Datastore ISO File.
4.	Включите узел HDS и убедитесь в отсутствии аварийных сигналов в течение как минимум 20 минут.
5	Повторите для каждого узла HDS по очереди.

Устранение неполадок безопасности данных гибридного типа

Просмотр предупреждений и устранение неполадок

Невозможно создать новые пространства (невозможно создать новые клавиши)
Не удалось расшифровать сообщения и названия пространств для:
- Новые пользователи, добавленные в пространство (невозможно получить ключи)
- Существующие пользователи в пространстве с использованием нового клиента (невозможно получить ключи)
Существующие пользователи в пространстве будут продолжать успешно работать, пока у их клиентов есть кэш ключей шифрования

Предупреждения

Таблица 1. Общие проблемы и шаги по их решению
Сигнал	Действие
Ошибка доступа к локальной базе данных.	Проверьте наличие ошибок базы данных или проблем с локальной сетью.
Сбой подключения локальной базы данных.	Убедитесь, что сервер базы данных доступен, и в конфигурации узла использовались правильные учетные данные служебной учетной записи.
Сбой доступа к облачной службе.	Убедитесь, что узлы могут получить доступ к серверам Webex, как указано в требованиях к внешним подключениям.
Возобновление регистрации облачной службы.	Регистрация в облачных службах была отменена. Продолжается возобновление регистрации.
Регистрация в облачной службе отменена.	Регистрация в облачных службах прекращена. Сервис отключается.
Служба еще не активирована.	Активируйте пробную версию или завершите перемещение пробной версии в производство.
Настроенный домен не соответствует сертификату сервера.	Убедитесь, что сертификат сервера соответствует настроенному домену активации службы. Наиболее вероятной причиной является то, что сертификат CN был недавно изменен и теперь отличается от CN, который использовался при начальной настройке.
Не удалось выполнить аутентификацию в облачных службах.	Проверка точности и возможного истечения срока действия учетных данных учетной записи службы.
Не удалось открыть файл локального хранилища ключей.	Проверьте целостность и точность пароля в локальном файле хранилища ключей.
Недопустимый сертификат локального сервера.	Проверьте дату истечения срока действия сертификата сервера и убедитесь, что он был выпущен доверенным центром сертификации.
Не удается опубликовать метрики.	Проверьте доступ локальной сети к внешним облачным службам.
каталог /media/configdrive/hds не существует.	Проверьте конфигурацию подключения ISO на виртуальном узле. Убедитесь, что файл ISO существует, что он настроен на монтирование при перезагрузке и что он успешно монтируется.

Устранение неполадок безопасности данных гибридного типа

1.	Просмотрите Control Hub на наличие предупреждений и исправьте все найденные в нем элементы.
2.	Проверьте вывод сервера syslog для активности из развертывания службы безопасности данных гибридного типа.
3.	Обратитесь в службу поддержки Cisco.

Другие примечания

Известные проблемы безопасности данных гибридного типа

При отключении кластера безопасности данных гибридного типа (удалении его в Control Hub или отключении всех узлов), потере файла конфигурации ISO или потере доступа к базе данных хранилища ключей пользователи приложения Webex больше не смогут использовать пространства в списке пользователей, созданные с помощью клавиш KMS. Это применимо как к пробному, так и к производственному развертыванию. В настоящее время у нас нет решения или решения этой проблемы. Мы настоятельно рекомендуем вам не закрывать службы HDS после обработки учетных записей активных пользователей.
Клиент, имеющий существующее подключение ECDH к KMS, поддерживает это подключение в течение определенного периода времени (вероятно, одного часа). Когда пользователь становится участником пробной версии безопасности данных гибридного типа, клиент пользователя продолжает использовать существующее соединение ECDH до истечения времени его истечения. Кроме того, пользователь может выйти из приложения Webex и вернуться в него, чтобы обновить местоположение, в котором приложение связывается с ключами шифрования.

Аналогичное поведение происходит при перемещении пробной версии в производство для организации. Все пользователи, не являющиеся пробными версиями, с существующими подключениями ECDH к предыдущим службам безопасности данных, будут продолжать использовать эти службы до тех пор, пока соединение ECDH не будет пересогласовано (через тайм-аут или путем выхода и повторного входа).

Использование OpenSSL для создания файла PKCS12

Перед началом работы

OpenSSL является одним из инструментов, который может быть использован для создания файла PKCS12 в надлежащем формате для загрузки в инструмент установки HDS. Есть и другие способы сделать это, и мы не поддерживаем и не продвигаем одну сторону.
Если вы решите использовать OpenSSL, мы предоставим эту процедуру в качестве руководства для создания файла, соответствующего требованиям сертификата X.509 в требованиях к сертификатам X.509. Прежде чем продолжить, ознакомьтесь с этими требованиями.
Установите OpenSSL в поддерживаемой среде. См. https://www.openssl.org программное обеспечение и документацию.
Создайте закрытый ключ.
Начните эту процедуру при получении сертификата сервера от центра сертификации (ЦС).

1.	При получении сертификата сервера из ЦС сохраните его как `hdsnode.pem`.
2.	Отобразите сертификат в виде текста и проверьте сведения. `openssl x509 -text -noout -in hdsnode.pem`
3.	Используйте текстовый редактор для создания файла пакета сертификатов, который называется `hdsnode-bundle.pem`. Файл пакета должен содержать сертификат сервера, все промежуточные сертификаты ЦС и корневые сертификаты ЦС в следующем формате: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4.	Создайте файл .p12 с дружественным именем `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Проверьте сведения о сертификате сервера. `openssl pkcs12 -in hdsnode.p12` Введите пароль при запросе, чтобы зашифровать закрытый ключ так, чтобы он отображался в выходном окне. Затем убедитесь, что закрытый ключ и первый сертификат содержат строки `friendlyName: kms-private-key`. Пример. bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Дальнейшие действия

Трафик между узлами HDS и облаком

Трафик коллекции исходящих метрик

Входящий Трафик

Узлы безопасности данных гибридного типа получают следующие типы входящего трафика из облака Webex.

Запросы на шифрование от клиентов, маршрутизируемые службой шифрования
Модернизация программного обеспечения узла

Настройка прокси Squid для безопасности данных гибридного типа

Невозможно выполнить подключение веб-сокетов через прокси Squid

Squid 4 и 5

Добавить on_unsupported_protocol директива к squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Предисловие

Новая и измененная информация

Дата

Внесенные изменения

20 октября 2023 г.

Обновлена информация в требованиях к серверу базы данных.
Добавлена настройка резервного центра обработки данных для аварийного восстановления.
Обновлена информация в резервном центре обработки данных для аварийного восстановления и аварийного восстановления с помощью резервного центра обработки данных.

07 августа 2023 г.

Добавлено примечание в разделе Скачивание файлов установки.
Добавлено примечание в Create a Configuration ISO for the HDS Hosts and Change the Node Configuration.

23 мая 2023 г.

Удалена информация из требований к серверу базы данных с просьбой включить функцию, обратившись в команду по работе с учетными записями.
Обновлена информация в разделе Требования к внешним подключениям и добавлена Канада в таблицу узлов CI.
Добавлено примечание в разделе Ожидания развертывания службы безопасности данных гибридного типа относительно недоступности механизмов для перемещения ключей обратно в облако.

06 декабря 2022 г.

Изображения инструмента настройки HDS теперь размещаются в ciscocitg репозиторий dockerhub.
Обновлен раздел Создание ISO конфигурации для узлов HDS и Изменение разделов конфигурации узла для рефлексии изменений команд.

23 ноября 2022 г.

Узлы HDS теперь могут использовать аутентификацию Windows для Microsoft SQL Server.

Обновлен раздел Требования к серверу базы данных с дополнительными требованиями для этого режима аутентификации.

Обновлен параметр Создание конфигурации ISO для узлов HDS с процедурой настройки аутентификации Windows на узлах.
Обновлен раздел Требования к серверу базы данных новыми минимальными требуемыми версиями (PostgreSQL 10).

13 октября 2021 г.

24 июня 2021 г.

30 апреля 2021 г.

24 февраля 2021 г.

2 февраля 2021 г.

11 января 2021 г.

Добавлена информация о инструменте настройки HDS и прокси для создания конфигурации ISO для узлов HDS.

13 октября 2020 г.

8 октября 2020 г.

14 августа 2020 г.

5 августа 2020 г.

Обновлены требования к виртуальному организатору для удаления максимального количества организаторов.

16 июня 2020 г.

Обновлено удаление узла для внесения изменений в пользовательский интерфейс Control Hub.

4 июня 2020 г.

29 мая 2020 г.

5 мая 2020 г.

Обновлены требования к виртуальному организатору для отображения новых требований ESXi 6.5.

21 апреля 2020 г.

Обновлены требования к внешним подключениям с новыми хостами CI в Америке.

1 апреля 2020 г.

Обновлены требования к внешним подключениям с информацией о региональных узлах CI.

4 февраля 2020 г. Обновлены требования к прокси-серверу.

19 ноября 2019 г.

Добавлена информация о режиме блокировки разрешения внешних DNS в следующих разделах:

Поддержка прокси
Настройка узла HDS для интеграции прокси
Отключение режима блокировки разрешения внешних DNS

8 ноября 2019 г.

Теперь можно настроить параметры сети для узла во время развертывания OVA, а не после.

Соответствующим образом обновлены следующие разделы:

Процесс выполнения задач по развертыванию системы безопасности данных гибридного типа
Установка OVA узла HDS
Настройка виртуальной машины безопасности данных гибридного типа

6 сентября 2019 г.

Добавлен стандарт SQL Server в требования к серверу базы данных.

20 августа 2019 г.

Поддержка прокси
Требования к прокси-серверу
Настройка узла HDS для интеграции прокси

6 марта 2019 г.

Требования и предварительные условия перемещены в отдельную главу Подготовка среды.
Добавлено Процесс выполнения задач по развертыванию системы безопасности данных гибридного типа обзор в главе Настройка кластера безопасности данных гибридного типа.

Отмечается, что до начала пробной версии (с помощью инструкций, приведенных в следующей главе) узлы генерируют сигнал о том, что служба еще не активирована.
Добавлена пробная версия для производственной задачи в главе Запуск пробной версии и переход к производственной.

28 февраля 2019 г.

Исправлено количество локального места на жестком диске на сервере, которое следует выделить при подготовке виртуальных узлов, которые становятся узлами безопасности данных гибридного типа, с 50 ГБ до 20 ГБ, чтобы отразить размер диска, создаваемого OVA.

26 февраля 2019 г.

Узлы безопасности данных гибридного типа теперь поддерживают зашифрованные соединения с серверами баз данных PostgreSQL и зашифрованные соединения для ведения журналов к серверу системного журнала с поддержкой TLS. Обновлен раздел Создание конфигурации ISO для узлов HDS с инструкциями.
Удалены URL-адреса назначения из таблицы "Требования к подключению к Интернету для виртуальных машин узлов безопасности данных гибридного типа". Теперь таблица ссылается на список, который хранится в таблице "Дополнительные URL-адреса для служб гибридного типа Webex Teams" в разделе Требования к сети для служб Webex Teams.

24 января 2019 г.

5 ноября 2018 г.

Добавлен предварительный шаг по очистке всех существующих экземпляров docker hds в разделе Create a Configuration ISO for the HDS Hosts and Change the Node Configuration.
Обновлен шаг уровня доступа ключа в разделе Создание конфигурации ISO для узлов HDS для соответствия интерфейсу.

19 октября 2018 г.

Разделите информацию о подключении брандмауэра на требования узла и требования к машине конфигурации ISO в разделе Выполнение предварительных требований для безопасности данных гибридного типа.

31 июля 2018 г.

Добавлен порт 22 (доступ SSH) и информация о соединениях NAT и брандмауэра для выполнения предварительных требований для безопасности данных гибридного типа.

21 мая 2018 г.

Изменена терминология для отражения ребрендинга Cisco Spark.

Служба безопасности данных гибридного типа Cisco Spark теперь является службой безопасности данных гибридного типа.
Приложение Cisco Spark теперь является приложением Webex.
Облако Cisco Collaboraton теперь является облаком Webex.

11 апреля 2018 г.

Добавлен резервный центр обработки данных для аварийного восстановления.
Обновлено Complete the Prerequisites for Data Security гибридного типа, чтобы указать, что среда резервного копирования должна находиться в другом центре обработки данных.
Обновлено аварийное восстановление с помощью резервного центра обработки данных.

22 февраля 2018 г.

Добавлена информация о пароле учетной записи службы за 9 месяцев и использовании инструмента настройки HDS для сброса паролей учетной записи службы в разделе Создание конфигурации ISO для узлов HDS и Изменение конфигурации узла.

15 февраля 2018 г.

В таблице требований к сертификатам X.509 указано, что сертификат не может быть групповым сертификатом и что KMS использует домен CN, а не любой домен, определенный в полях SAN x.509v3.

18 января 2018 г.

Добавлено приложение Трафик между узлами HDS и облаком.
Устранена проблема из раздела Известные проблемы безопасности данных гибридного типа.
Изменен index.docker.io на *.docker.io и добавлен *.cloudfront.net в список требований к подключению TCP для узлов HDS в разделе Complete the Prerequisites for Hybrid Data Security.
Обновлено Create a Configuration ISO for the HDS Hosts (Создать конфигурацию ISO для узлов HDS), чтобы указать, что если хост базы данных и сервер системного журнала не разрешаются DNS из узлов HDS, их необходимо настроить с помощью IP-адресов.

2 ноября 2017 г.

Уточнена синхронизация каталогов HdsTrialGroup.
Исправлены инструкции по загрузке файла конфигурации ISO для установки на узлы виртуальной машины.

18 августа 2017 г.

Впервые опубликовано

Начало работы с безопасностью данных гибридного типа

Обзор безопасности данных гибридного типа

Архитектура сферы безопасности

Клиент устанавливает безопасное соединение со службой управления ключами (KMS), затем запрашивает ключ для шифрования сообщения. Безопасное соединение использует ECDH, а KMS шифрует ключ с помощью главного ключа AES-256.
Сообщение зашифровано перед выходом из клиента. Клиент отправляет его в службу индексирования, которая создает зашифрованные индексы поиска для облегчения будущих поисков контента.
Зашифрованное сообщение отправляется в службу соответствия для проверки соответствия.
Зашифрованное сообщение хранится в области хранилища.

Сотрудничество с другими организациями

Ожидания развертывания системы безопасности данных гибридного типа

Для развертывания службы безопасности данных гибридного типа необходимо предоставить:

Безопасный центр обработки данных в стране, являющейся поддерживаемым местоположением для планов Cisco Webex Teams.
Оборудование, программное обеспечение и доступ к сети описаны в разделе Подготовка среды.

Управление резервным копированием и восстановлением базы данных и конфигурации ISO.
Будьте готовы выполнить быстрое аварийное восстановление при возникновении катастрофы, например сбой диска базы данных или аварийное завершение работы центра обработки данных.

Механизм возврата ключей в облако после развертывания HDS отсутствует.

Процесс настройки высокого уровня

Настройка безопасности данных гибридного типа. Это включает подготовку необходимой инфраструктуры и установку программного обеспечения безопасности данных гибридного типа, тестирование развертывания с помощью подмножества пользователей в пробном режиме и, по завершении тестирования, переход к производству. Это преобразует всю организацию для использования кластера безопасности данных гибридного типа для функций безопасности.
Этапы установки, тестирования и производства подробно описаны в следующих трех главах.
Поддерживайте развертывание службы безопасности данных гибридного типа: облако Webex автоматически обеспечивает текущую модернизацию. Ваш ИТ-отдел может предоставить поддержку первого уровня для этого развертывания и при необходимости задействовать службу поддержки Cisco. В Control Hub можно использовать экранные уведомления и настроить предупреждения на основе электронной почты.
Понимание общих предупреждений, шагов по устранению неполадок и известных проблем. При возникновении проблем при развертывании или использовании службы безопасности данных гибридного типа последняя глава этого руководства и приложение «Известные проблемы» могут помочь вам определить и устранить проблему.

Модель развертывания системы безопасности данных гибридного типа

Модель развертывания системы безопасности данных гибридного типа

Для каждой организации поддерживается только один кластер.

Пробный режим безопасности данных гибридного типа

Резервный центр обработки данных для аварийного восстановления

Настройка резервного центра обработки данных для аварийного восстановления

Чтобы настроить файл ISO резервного центра обработки данных, выполните приведенные ниже действия.

Перед началом работы

Резервный центр обработки данных должен отражать рабочую среду виртуальных машин и резервную базу данных PostgreSQL или Microsoft SQL Server. Например, если в производстве имеется 3 ВМ с узлами HDS, резервная среда должна иметь 3 ВМ. (Обзор этой модели отработки отказа см. в разделе Standby Data Center for Disaster Recovery .)
Убедитесь, что синхронизация базы данных включена между базой данных активных и пассивных узлов кластера.

После настройки сервера Syslogd щелкните Расширенные настройки


passiveMode: 'true'

Завершите процесс настройки и сохраните файл ISO в удобном для поиска местоположении.

Щелкните Edit Settings >CD/DVD Drive 1 и выберите Datastore ISO File.

Включите узел HDS и убедитесь в отсутствии аварийных сигналов в течение не менее 15 минут.

Повторите процесс для каждого узла в резервном центре обработки данных.

Дальнейшие действия

Поддержка прокси

Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.

No proxy (Без прокси). Этот параметр применяется по умолчанию, если для интеграции прокси не используется конфигурация прокси и зоны доверия настройки узла HDS. Обновление сертификата не требуется.
Transparent non-inspecting proxy (Прозрачный прокси без проверки). Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.
Transparent tunneling or inspecting proxy (Прозрачный туннельный прокси или прокси с проверкой). Узлы не настроены для использования адреса определенного прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
Explicit proxy (Явный прокси). При использовании явного прокси необходимо указать прокси-сервер и схему аутентификации, которые должны использовать узлы HDS. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.
1. Proxy IP/FQDN (IP-адрес или FQDN прокси). Адрес, который можно использовать для доступа к прокси-машине.
2. Proxy Port (Порт прокси). Номер порта, который используется прокси для прослушивания трафика, передаваемого через прокси.
3. Proxy Protocol (Протокол прокси). Выберите протокол, поддерживаемый прокси-сервером. Доступные протоколы указаны ниже.
  - HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.
  - HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.
4. Authentication Type (Тип аутентификации). Выберите один из перечисленных ниже типов аутентификации.
  - None (Нет). Дальнейшая аутентификация не требуется.
    
    Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
  - Basic (Базовая). Используется для оператора пользователя HTTP в целях предоставления имени пользователя и пароля при совершении запроса. Использует кодировку Base64.
    
    Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
    
    Требует ввода имени пользователя и пароля на каждом узле.
  - Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.
    
    Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.
    
    Требует ввода имени пользователя и пароля на каждом узле.

Пример узлов безопасности данных гибридного типа и прокси

Режим блокировки разрешения внешних DNS (конфигурации явного прокси)

Подготовка среды

Требования к безопасности данных гибридного типа

Требования к лицензии Cisco Webex

Развертывание службы безопасности данных гибридного типа.

У вас должен быть профессиональный пакет Cisco Webex Control Hub. (См. https://www.cisco.com/go/pro-pack.)

Требования к рабочему столу Docker

Требования к сертификату X.509

Цепочка сертификатов должна отвечать следующим требованиям:

Таблица 1. Требования к сертификату X.509 для развертывания системы безопасности данных гибридного типа
Требование	Сведения
Подписано доверенным центром сертификации (CA)	По умолчанию мы доверяем ЦС в списке Mozilla (за исключением WoSign и StartCom) по адресу https://wiki.mozilla.org/CA:IncludedCAs.
Имеет имя домена общего имени (CN), которое идентифицирует развертывание службы безопасности данных гибридного типа Не является групповым сертификатом	CN не должен быть доступным или быть в режиме реального времени организатором. Рекомендуется использовать название, которое отражает вашу организацию, например `hds.company.com`. CN не должен содержать * (подстановочный знак). CN используется для проверки узлов безопасности данных гибридного типа для клиентов приложения Webex. Все узлы безопасности данных гибридного типа в кластере используют один и тот же сертификат. Ваш KMS идентифицирует себя с помощью домена CN, а не какого-либо домена, определенного в полях SAN x.509v3. После регистрации узла с этим сертификатом изменение имени домена CN не поддерживается. Выберите домен, который может применяться как к пробному, так и к производственному развертыванию.
Подпись без SHA1	Программное обеспечение KMS не поддерживает подписи SHA1 для проверки подключений к KMS других организаций.
Отформатирован как защищенный паролем файл PKCS #12 Используйте дружественное имя `kms-private-key` чтобы пометить сертификат, закрытый ключ и все промежуточные сертификаты для загрузки.	Для изменения формата сертификата можно использовать конвертер, например OpenSSL. При запуске инструмента настройки HDS необходимо будет ввести пароль.

Требования к виртуальному организатору

Не менее двух отдельных узлов (рекомендуется 3), расположенных в одном защищенном центре обработки данных

Установлен и запущен VMware ESXi 6.5 (или более поздняя версия).

Если у вас есть более ранняя версия ESXi, необходимо выполнить модернизацию.

Минимум 4 vCPU, 8 ГБ основной памяти, 30 ГБ локального дискового пространства на сервере

Требования к серверу базы данных

Существует два варианта для сервера базы данных. Требования к каждому из них следующие:

Таблица 2. Требования к серверу базы данных по типу базы данных

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 или 16, установлен и запущен.

Установлен SQL Server 2016, 2017 или 2019 (корпоративный или стандартный).

Для SQL Server 2016 требуется пакет обновления 2 и кумулятивное обновление 2 или более поздние версии.

PostgreSQL

Microsoft SQL Server

Драйвер JDBC Postgres 42.2.5

Драйвер JDBC SQL Server 4.6

Эта версия драйвера поддерживает SQL Server Always On ( Always On Failover Cluster Instances и Always On Availability groups).

Дополнительные требования к аутентификации Windows в Microsoft SQL Server

Узлы HDS, инфраструктура Active Directory и MS SQL Server должны синхронизироваться с NTP.
Учетная запись Windows, предоставленная узлам HDS, должна иметь доступ на чтение/запись к базе данных.
Серверы DNS, которые вы предоставляете узлам HDS, должны иметь возможность разрешить работу центра распределения ключей (KDC).
Экземпляр базы данных HDS можно зарегистрировать на сервере Microsoft SQL в качестве главного имени службы (SPN) в Active Directory. См. раздел Регистрация имени главного поставщика услуг для соединений Kerberos.

Инструмент настройки HDS, средство запуска HDS и локальный KMS должны использовать аутентификацию Windows для доступа к базе данных хранилища ключей. Они используют сведения из конфигурации ISO для создания SPN при запросе доступа с аутентификацией Kerberos.

Требования к внешним подключениям

Настройте брандмауэр таким образом, чтобы разрешить следующее подключение для приложений HDS.

Приложение	Protocol	Port (Порт)	Направление из приложения	Адресат
Узлы безопасности данных гибридного типа	TCP	443	Исходящие HTTPS и WSS	Серверы Webex: .wbx2.com .ciscospark.com Все узлы общих параметров идентификации Другие URL-адреса, перечисленные для безопасности данных гибридного типа в таблице Дополнительные URL-адреса для служб гибридного типа Webex Требования к сети для служб Webex
инструмент настройки HDS	TCP	443	Исходящий HTTPS	*.wbx2.com Все узлы общих параметров идентификации hub.docker.com

URL-адреса узлов общих параметров идентификации (CI) зависят от региона. Это текущие хосты CI:

Регион	URL-адреса общих узлов удостоверений
Северная и Южная Америка	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Европейский союз	https://idbroker-eu.webex.com https://identity-eu.webex.com
Канада	https://idbroker-ca.webex.com https://identity-ca.webex.com

Требования к прокси-серверу

для прозрачных прокси – Cisco Web Security Appliance (WSA);

для явных прокси – Squid.

Поддерживаются следующие комбинации типов аутентификации для явных прокси:
- без аутентификации при использовании HTTP или HTTPS;
- базовая аутентификация при использовании HTTP или HTTPS;
- дайджест-аутентификация только при использовании HTTPS;
При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.
Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.
Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. При возникновении этой проблемы обход (без проверки) трафика на wbx2.com и ciscospark.com решит проблему.

Выполнение предварительных требований для безопасности данных гибридного типа

Создайте базу данных для хранения ключей. (Необходимо создать эту базу данных — не используйте базу данных по умолчанию. При установке приложения HDS создайте схему базы данных.)
Соберите сведения, которые узлы будут использовать для связи с сервером базы данных.
- имя хоста или IP-адрес (хост) и порт
- имя базы данных (dbname) для хранения ключей
- имя пользователя и пароль пользователя со всеми правами в базе данных хранилища ключей

Настройка кластера безопасности данных гибридного типа

Процесс выполнения задач по развертыванию системы безопасности данных гибридного типа

Перед началом работы

Скачайте файл OVA на локальный компьютер для последующего использования.

Настройка виртуальной машины безопасности данных гибридного типа

Создайте виртуальную машину из файла OVA и выполните начальную конфигурацию, например сетевые настройки.

Настройте виртуальную машину из файла конфигурации ISO, созданного с помощью инструмента настройки HDS.

Зарегистрируйте виртуальную машину в облаке Cisco Webex в качестве узла безопасности данных гибридного типа.

Настройка кластера безопасности данных гибридного типа

Завершите настройку кластера.

Запустить пробную версию и перейти к производству (следующая глава)

Скачивание файлов установки

Войдите в https://admin.webex.com и щелкните Службы.

В разделе служб гибридного типа найдите карточку безопасности данных гибридного типа и щелкните Настройка.

Выберите Нет , чтобы указать, что узел еще не настроен, и нажмите Далее.

Файл OVA автоматически начинает скачиваться. Сохраните файл в местоположении на компьютере.

Создание ISO конфигурации для узлов HDS

Перед началом работы

Описание	Переменная
HTTP-прокси без аутентификации	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-прокси без аутентификации	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-прокси с аутентификацией	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-прокси с аутентификацией	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Созданный файл конфигурации ISO содержит главный ключ, шифрующий базу данных PostgreSQL или Microsoft SQL Server. Вам потребуется последняя копия этого файла при внесении изменений в конфигурацию, например:
- учетные данные базы данных
- Обновления сертификата
- Изменения политики авторизации
Если вы планируете шифровать соединения с базой данных, настройте развертывание PostgreSQL или SQL Server для TLS.

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

По завершении скачивания введите соответствующую команду для вашей среды.

В обычных средах без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

В обычных средах с HTTP-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В обычных средах с HTTPS-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В средах FedRAMP без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

В средах FedRAMP с HTTP-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

В средах FedRAMP с HTTPS-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

На странице обзора инструмента настройки щелкните Начало работы.

На странице импорта ISO доступны следующие параметры:

Нет. При создании первого узла HDS у вас нет файла ISO для загрузки.
Да. Если вы уже создали узлы HDS, выберите файл ISO в окне просмотра и загрузите его.

Убедитесь, что сертификат X.509 соответствует требованиям, изложенным в требованиях к сертификатам X.509.

Если сертификат ранее не загружался, загрузите сертификат X.509, введите пароль и нажмите Продолжить.
Если сертификат ОК, нажмите Продолжить.
Если срок действия сертификата истек или необходимо заменить его, выберите Нет для продолжения использования цепочки сертификатов HDS и закрытого ключа из предыдущего ISO?. Загрузите новый сертификат X.509, введите пароль и нажмите Продолжить.

Введите адрес базы данных и учетную запись HDS для доступа к хранилищу данных ключа:

Выберите тип базы данных (PostgreSQL или Microsoft SQL Server).

Если выбран Microsoft SQL Server, появится поле Authentication Type (Тип аутентификации).
(Только Microsoft SQL Server) Выберите тип аутентификации:
- Базовая аутентификация: В поле Имя пользователя необходимо указать имя учетной записи SQL Server.
- Аутентификация Windows: Вам нужна учетная запись Windows в формате username@DOMAIN в поле Имя пользователя .
Введите адрес сервера базы данных в форме <hostname>:<port> или <IP-address>:<port>.

Пример.
dbhost.example.org:1433 или 198.51.100.17:1433

Для базовой аутентификации можно использовать IP-адрес, если узлы не могут использовать DNS для разрешения имени узла.

При использовании аутентификации Windows необходимо ввести полное доменное имя в формате dbhost.example.org:1433
Введите имя базы данных.
Введите имя пользователя и пароль пользователя со всеми правами в базе данных хранилища ключей.

Выберите режим подключения к базе данных TLS:

Mode

Описание

Предпочтительно использование TLS (параметр по умолчанию)

Обязательное использование TLS

Обязательное использование TLS и проверка источника подписи сертификата

Этот режим не применим к базам данных SQL Server.

Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.
После установления соединения TLS узел сравнивает отправителя подписи сертификата от сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение.

Обязательное использование TLS и проверка источника подписи сертификата и имени узла

Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.
После установления соединения TLS узел сравнивает отправителя подписи сертификата от сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение.
Узлы также проверяют, соответствует ли имя хоста в сертификате сервера имени хоста в поле Хост базы данных и порт . Необходимо точное совпадение имен. Иначе узел разорвет соединение.

На странице «Системные журналы» настройте сервер Syslogd:

Введите URL-адрес сервера системного журнала.

Если сервер не разрешается DNS из узлов кластера HDS, используйте IP-адрес в URL.

Пример.
udp://10.92.43.23:514 указывает на вход в хост Syslogd 10.92.43.23 на порту UDP 514.
Если вы настроили на сервере использование шифрования TLS, проверьте, настроен ли ваш сервер системного журнала для шифрования SSL?.

Установив этот флажок, убедитесь, что введен URL-адрес TCP, например tcp://10.92.43.23:514.
В раскрывающемся списке Выбор завершения записи системного журнала выберите соответствующую настройку для файла ISO. Выберите или Newline используется для Graylog и Rsyslog TCP
- Null byte -- \x00
- Newline -- \n — выберите этот параметр для TCP Graylog и Rsyslog.
Щелкните Продолжить.

app_datasource_connection_pool_maxSize: 10

Щелкните Продолжить на экране Сброс пароля учетных записей службы .

Щелкните Скачать файл ISO. Сохраните файл в удобном для поиска местоположении.

Сделайте резервную копию файла ISO в локальной системе.

Чтобы выключить инструмент настройки, введите CTRL+C.

Дальнейшие действия

У нас никогда нет копии этого ключа, и мы не можем помочь, если вы его потеряете.

Установка OVA узла HDS

Используйте эту процедуру для создания виртуальной машины из файла OVA.

Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi.

Выберите Файл > Развертывание шаблона OVF.

В мастере укажите расположение скачанного ранее файла OVA и щелкните Далее.

На Выберите вычислительный ресурс выберите целевой вычислительный ресурс, а затем щелкните Далее.

Выполняется проверка. После завершения отображаются сведения о шаблоне.

Проверьте сведения о шаблоне и щелкните Далее.

На странице Настройка шаблона настройте следующие сетевые параметры.

Имя узла. Введите полное доменное имя (имя узла и домен) или одно имя узла для узла.

Вам не нужно настраивать домен в соответствии с доменом, который вы использовали для получения сертификата X.509.
Чтобы обеспечить успешную регистрацию в облаке, используйте только символы нижнего регистра в доменном имени или имени узла, заданном для узла. В настоящее время заглавные буквы не поддерживаются.
Общая длина FQDN не должна превышать 64 символов.

IP-адрес — введите IP-адрес для внутреннего интерфейса узла.

Ваш узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается.
Маска — введите адрес маски подсети в десятичной нотации. Например, 255.255.255.0.
Шлюз — введите IP-адрес шлюза. Шлюз — это сетевой узел, который служит точкой доступа к другой сети.
DNS-серверы — введите список DNS-серверов с разделителями-запятыми, которые обрабатывают перевод доменных имен на числовые IP-адреса. (Допускается до 4 записей DNS.)
Серверы NTP. Введите сервер NTP вашей организации или другой внешний сервер NTP, который может использоваться в вашей организации. Серверы NTP по умолчанию могут работать не для всех предприятий. Также можно использовать список с разделителями-запятыми для ввода нескольких серверов NTP.

Разверните все узлы в одной подсети или VLAN, чтобы все узлы в кластере были доступны клиентам в вашей сети в целях администрирования.

Щелкните правой кнопкой мыши виртуальную машину узла и выберите Питание > Питание включено.

Рекомендации по устранению неисправностей

Настройка виртуальной машины безопасности данных гибридного типа

1.	В клиенте VMware vSphere выберите VM узла безопасности данных гибридного типа и перейдите на вкладку Консоль . Виртуальная машина загружается, и появляется запрос на вход. Если запрос на вход не отображается, нажмите Enter.
2.	Для входа и изменения учетных данных используйте следующие логин и пароль по умолчанию. Вход: `admin` Пароль: `cisco` После первого входа в виртуальную машину необходимо изменить пароль администратора.
3.	Если параметры сети уже настроены в разделе Установка узла HDS OVA, пропустите оставшуюся часть этой процедуры. В противном случае в главном меню выберите пункт Редактировать конфигурацию .
4.	Настройте статическую конфигурацию с IP-адресом, маской, шлюзом и информацией о DNS. Ваш узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается.
5	(Необязательно) Измените имя узла, домен или серверы NTP, если это необходимо для соответствия политике сети. Вам не нужно настраивать домен в соответствии с доменом, который вы использовали для получения сертификата X.509.
6	Сохраните конфигурацию сети и перезагрузите виртуальную машину, чтобы изменения вступили в силу.

Загрузка и монтаж конфигурации HDS ISO

Перед началом работы

Загрузите файл ISO с компьютера:

В левой панели навигации клиента VMware vSphere щелкните сервер ESXi.
В списке Аппаратное обеспечение вкладки Конфигурация щелкните Хранилище.
В списке Datastores щелкните правой кнопкой мыши хранилище данных для виртуальных машин и нажмите Browse Datastore.
Щелкните пиктограмму Загрузить файлы и нажмите Загрузить файл.
Перейдите в расположение, где вы скачали файл ISO на свой компьютер, и нажмите Открыть.
Нажмите Да , чтобы принять предупреждение операции загрузки и скачивания, и закройте диалоговое окно хранилища данных.

Подключите файл ISO:

На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.
Нажмите OK, чтобы принять предупреждение об ограниченных параметрах редактирования.
Щелкните кнопку CD/DVD Drive 1, выберите параметр для подключения из файла ISO хранилища данных и перейдите в расположение, куда загружен файл конфигурации ISO.
Установите флажки Подключено и Подключено при включении питания.
Сохраните изменения и перезагрузите виртуальную машину.

Дальнейшие действия

Настройка узла HDS для интеграции прокси

Перед началом работы

Обзор поддерживаемых параметров прокси см. в разделе Поддержка прокси .
Требования к прокси-серверу

1.	Введите URL настройки узла HDS `https://[HDS Node IP or FQDN]/setup` в веб-браузере введите учетные данные администратора, настроенные для узла, и щелкните Войти.
2.	Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров. No Proxy (Без прокси). Этот параметр применяется по умолчанию до интеграции прокси. Обновление сертификата не требуется. Transparent Non-Inspecting Proxy (Прозрачный прокси без проверки). Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется. Transparent Inspecting Proxy (Прозрачный прокси с проверкой). Узлы не настроены для использования адреса определенного прокси-сервера. В развертывании службы безопасности данных гибридного типа не нужно вносить изменения в конфигурацию HTTPS, однако для обеспечения доверия прокси узлам HDS необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS). Explicit Proxy (Явный прокси). При использовании явного прокси необходимо указать прокси-сервер, который должен использовать клиент (узлы HDS). Этот параметр поддерживает несколько типов аутентификации. После выбора этого параметра необходимо ввести указанную далее информацию. Proxy IP/FQDN (IP-адрес или FQDN прокси). Адрес, который можно использовать для доступа к прокси-машине. Proxy Port (Порт прокси). Номер порта, который используется прокси для прослушивания трафика, передаваемого через прокси. Proxy Protocol (Протокол прокси). Выберите http (просматривает все запросы, получаемые от клиента, и управляет этими запросами) или https (обеспечивает работу канала связи с сервером; клиент получает и проверяет сертификат сервера). Выберите параметр в зависимости от того, какой протокол поддерживает используемый вами прокси-сервер. Authentication Type (Тип аутентификации). Выберите один из перечисленных ниже типов аутентификации. None (Нет). Дальнейшая аутентификация не требуется. Этот параметр доступен для прокси HTTP или HTTPS. Basic (Базовая). Используется для оператора пользователя HTTP в целях предоставления имени пользователя и пароля при совершении запроса. Использует кодировку Base64. Этот параметр доступен для прокси HTTP или HTTPS. Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль. Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети. Этот параметр доступен только для прокси HTTPS. Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль. В случае использования прозрачного прокси с проверкой, явного прокси HTTP с базовой аутентификацией или явного прокси HTTPS выполните указанные далее шаги.
3.	Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси. Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку-шеврон, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить).
4.	Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси). Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки. Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу. Такая проблема может возникнуть во многих конфигурациях явного прокси. Можно продолжить настройку, и узел будет работать в режиме блокировки разрешения внешних DNS. Если вы считаете, что это ошибка, выполните следующие действия, а затем увидите Отключить режим блокировки разрешения внешних DNS.
5	Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд.
6	Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке. Узел перезагрузится в течение нескольких минут.
7.	После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом. Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси.

Регистрация первого узла в кластере

Перед началом работы

Как только вы начнете регистрацию узла, вы должны завершить ее в течение 60 минут или начать заново.
Убедитесь, что все блокирующие всплывающие окна в браузере отключены или что для admin.webex.com разрешено исключение.

1.	Войдите в https://admin.webex.com.
2.	В меню в левой части экрана выберите Службы.
3.	В разделе служб гибридного типа найдите службу безопасности данных гибридного типа и щелкните Настройка. Откроется страница "Регистрация узла безопасности данных гибридного типа".
4.	Выберите Да , чтобы указать, что узел настроен и готов его зарегистрировать, а затем нажмите Далее.
5	В первом поле введите имя кластера, которому необходимо назначить узел безопасности данных гибридного типа. Рекомендуется присвоить кластеру имя в зависимости от географического расположения узлов кластера. Например: "Сан-Франциско", "Нью-Йорк" или "Даллас"
6	Во втором поле введите внутренний IP-адрес или полное доменное имя узла и нажмите Далее. Этот IP-адрес или полное доменное имя должны совпадать с IP-адресом или именем узла и доменом, которые использовались в разделе Настройка виртуальной машины безопасности данных гибридного типа. Отобразится сообщение о том, что узел можно зарегистрировать в Webex.
7.	Щелкните Перейти к узлу.
8	В предупреждающем сообщении нажмите Continue (Продолжить). Через несколько минут вы будете перенаправлены на тесты подключения узлов для служб Webex. Если все тесты прошли успешно, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Там вы подтверждаете, что хотите предоставить организации Webex полномочия на доступ к узлу.
9	Установите флажок Разрешить доступ к узлу безопасности данных гибридного типа и нажмите Продолжить. Ваша учетная запись проверена, и в сообщении "Регистрация завершена" указывается, что ваш узел теперь зарегистрирован в облаке Webex.
10	Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа Control Hub. На странице безопасности данных гибридного типа отображается новый кластер, содержащий зарегистрированный узел. Узел автоматически скачает последнюю версию программного обеспечения из облака.

Создание и регистрация дополнительных узлов

Перед началом работы

Как только вы начнете регистрацию узла, вы должны завершить ее в течение 60 минут или начать заново.
Убедитесь, что все блокирующие всплывающие окна в браузере отключены или что для admin.webex.com разрешено исключение.

1.	Создайте новую виртуальную машину из OVA, повторив шаги, описанные в разделе Установка OVA узла HDS.
2.	Настройте начальную конфигурацию новой виртуальной машины, повторив шаги, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа.
3.	В новой виртуальной машине повторите шаги, описанные в разделе Загрузить и смонтировать конфигурацию HDS ISO.
4.	При настройке прокси для развертывания повторите действия, описанные в разделе Настройка узла HDS для интеграции прокси , если это необходимо для нового узла.
5	Зарегистрируйте узел. В https://admin.webex.com выберите Службы в меню в левой части экрана. В разделе служб гибридного типа найдите карточку безопасности данных гибридного типа и щелкните Ресурсы. Отобразится страница ресурсов безопасности данных гибридного типа. Щелкните Добавить ресурс. В первом поле выберите имя существующего кластера. Во втором поле введите внутренний IP-адрес или полное доменное имя узла и нажмите Далее. Отобразится сообщение о том, что узел можно зарегистрировать в облаке Webex. Щелкните Перейти к узлу. Через несколько минут вы будете перенаправлены на тесты подключения узлов для служб Webex. Если все тесты прошли успешно, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Там вы подтверждаете, что хотите предоставить вашей организации полномочия на доступ к узлу. Установите флажок Разрешить доступ к узлу безопасности данных гибридного типа и нажмите Продолжить. Ваша учетная запись проверена, и в сообщении "Регистрация завершена" указывается, что ваш узел теперь зарегистрирован в облаке Webex. Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа Control Hub. Ваш узел зарегистрирован. Обратите внимание, что до начала пробной версии узлы генерируют сигнал о том, что служба еще не активирована.

Дальнейшие действия

Запустить пробную версию и перейти к производству (следующая глава)

Запуск пробной версии и переход к производству

Процесс выполнения пробной версии производственных задач

Перед началом работы

1.	Если применимо, синхронизируйте `HdsTrialGroup` групповой объект. Если в вашей организации используется синхронизация каталогов для пользователей, необходимо выбрать `HdsTrialGroup` группировать объект для синхронизации с облаком, прежде чем начать пробную версию. Инструкции см. в руководстве по развертыванию соединителя каталогов Cisco.
2.	Активировать пробную версию Начните пробную версию. Пока вы не выполните эту задачу, ваши узлы генерируют сигнал о том, что служба еще не активирована.
3.	Тестирование развертывания системы безопасности данных гибридного типа Убедитесь в том, что ключевые запросы передаются в развертывание службы безопасности данных гибридного типа.
4.	Мониторинг работоспособности системы безопасности данных гибридного типа Проверьте состояние и настройте электронные уведомления для сигналов тревоги.
5	Добавление или удаление пользователей из пробной версии
6	Завершите пробную фазу одним из следующих действий. Переход от пробной версии к производственной Завершение пробной версии без перехода к производству

Активировать пробную версию

Перед началом работы

1.	Войдите в https://admin.webex.com и выберите Службы.
2.	В разделе Безопасность данных гибридного типа щелкните Настройки.
3.	В разделе "Состояние службы" щелкните Начать пробную версию. Состояние службы меняется на пробный режим.
4.	Щелкните Добавить пользователей и введите адрес электронной почты одного или нескольких пользователей для экспериментального использования узлов безопасности данных гибридного типа для служб шифрования и индексации. (Если в вашей организации используется синхронизация каталогов, используйте Active Directory для управления пробной группой, `HdsTrialGroup`.)

Тестирование развертывания системы безопасности данных гибридного типа

Используйте эту процедуру для тестирования сценариев шифрования безопасности данных гибридного типа.

Перед началом работы

Настройте развертывание службы безопасности данных гибридного типа.
Активируйте пробную версию и добавьте нескольких пользователей пробной версии.
Убедитесь, что у вас есть доступ к системному журналу, чтобы проверить, передаются ли ключевые запросы в развертывание службы безопасности данных гибридного типа.

Отправка сообщений в новое пространство.

Вы должны найти следующую запись (идентификаторы сокращены для читаемости):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Вы должны найти запись, например:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Вы должны найти запись, например:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Вы должны найти запись, например:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Мониторинг работоспособности системы безопасности данных гибридного типа

1.	В Control Hub выберите Службы в меню в левой части экрана.
2.	В разделе служб гибридного типа найдите службу безопасности данных гибридного типа и щелкните Настройки. Отобразится страница параметров безопасности данных гибридного типа.
3.	В разделе «Электронные уведомления» введите один или несколько адресов электронной почты, разделенных запятыми, и нажмите Enter.

Добавление или удаление пользователей из пробной версии

1.	Войдите в Control Hub и выберите Службы.
2.	В разделе Безопасность данных гибридного типа щелкните Настройки.
3.	В разделе «Пробный режим» области «Состояние службы» щелкните Добавить пользователей или выберите просмотр и редактирование для удаления пользователей из пробной версии.
4.	Введите адрес электронной почты одного или нескольких пользователей, которые необходимо добавить, или щелкните X по идентификатору пользователя, чтобы удалить пользователя из пробной версии. Затем щелкните Сохранить.

Переход от пробной версии к производственной

1.	Войдите в Control Hub и выберите Службы.
2.	В разделе Безопасность данных гибридного типа щелкните Настройки.
3.	В разделе "Состояние службы" щелкните Переместить в производство.
4.	Убедитесь в том, что необходимо переместить всех пользователей в производство.

Завершение пробной версии без перехода к производству

1.	Войдите в Control Hub и выберите Службы.
2.	В разделе Безопасность данных гибридного типа щелкните Настройки.
3.	В разделе Деактивировать нажмите Деактивировать.
4.	Подтвердите деактивацию службы и завершите пробную версию.

Управление развертыванием HDS

Задать график модернизации кластера

Чтобы задать график модернизации, выполните приведенные ниже действия.

1.	Войдите в Control Hub.
2.	На странице "Обзор" в разделе "Службы гибридного типа" выберите Безопасность данных гибридного типа.
3.	На странице "Ресурсы безопасности данных гибридного типа" выберите кластер.
4.	На панели "Обзор" справа в разделе "Настройки кластера" выберите имя кластера.
5	На странице "Настройки" в разделе "Модернизация" выберите время и часовой пояс для расписания модернизации. Примечание. В часовом поясе отображаются дата и время следующей доступной модернизации. При необходимости модернизацию можно отложить на следующий день, щелкнув Отложить.

Изменение конфигурации узла

Изменение сертификатов x.509 по истечении срока действия или по другим причинам.

Обновление настроек базы данных для работы с копией базы данных PostgreSQL или Microsoft SQL Server.

Создание новой конфигурации для подготовки нового центра обработки данных.

Мягкий сброс. Старые и новые пароли работают в течение не более 10 дней. Используйте этот период для постепенной замены файла ISO на узлах.
Жесткий сброс. Старые пароли перестанут работать немедленно.

Используйте эту процедуру, чтобы создать новый файл конфигурации ISO и применить его к кластеру.

Перед началом работы

Если инструмент настройки HDS работает за прокси в вашей среде, укажите настройки прокси (сервер, порт, учетные данные) через переменные среды Docker при переносе контейнера Docker в 1.e. В этой таблице указаны некоторые из возможных переменных среды.

Описание	Переменная
HTTP-прокси без аутентификации	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-прокси без аутентификации	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-прокси с аутентификацией	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-прокси с аутентификацией	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Для создания новой конфигурации потребуется копия текущего файла конфигурации ISO. Файл ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Файл ISO необходим для изменения конфигурации, в том числе учетных данных базы данных, обновления сертификатов или изменения политики авторизации.

Запустите инструмент настройки HDS, используя Docker на локальной машине.

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Чтобы войти в реестр образов Docker, введите следующее.
```
docker login -u hdscustomersro
```
Введите в запросе пароля этот хеш:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Скачайте последнюю стабильную версию образа для вашей среды.

В обычных средах:

docker pull ciscocitg/hds-setup:stable

В средах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

По завершении скачивания введите соответствующую команду для вашей среды.

В обычных средах без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

В обычных средах с HTTP-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В обычных средах с HTTPS-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В средах FedRAMP без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

В средах FedRAMP с HTTP-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

В средах FedRAMP с HTTPS-прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

Используйте браузер для подключения к localhost, . http://127.0.0.1:8080.

При отображении соответствующего запроса введите учетные данные для входа клиента Control Hub и затем щелкните Принять для продолжения.
Импортируйте текущий файл конфигурации ISO.
Следуйте подсказкам, чтобы завершить работу с инструментом и скачать обновленный файл.

Чтобы выключить инструмент настройки, введите CTRL+C.
Создайте резервную копию обновленного файла в другом центре обработки данных.

Установите OVA узла HDS.
Настройте виртуальную машину HDS.
Подключите обновленный файл конфигурации.
Зарегистрируйте новый узел в Control Hub.

Выключите виртуальную машину.
На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.
Щелкните кнопку CD/DVD Drive 1 Щелкните Дисковод компакт-дисков и DVD-дисков 1, выберите параметр подключения из файла ISO и найдите расположение, куда вы скачали новый файл конфигурации ISO.
Установите флажок Соединять при включении.
Сохраните изменения и включите виртуальную машину.

Повторите шаг 3, чтобы заменить конфигурацию на каждом оставшемся узле со старой конфигурацией.

Отключение режима блокировки разрешения внешних DNS

Перед началом работы

1.	В веб-браузере откройте интерфейс узла безопасности данных гибридного типа (например, IP-адрес или настройка, https://192.0.2.0/setup), введите учетные данные администратора, настроенные для узла, и щелкните Войти.
2.	Перейдите к разделу Overview (Обзор) (страница по умолчанию). Если режим включен, параметр Blocked External DNS Resolution (Блокировка разрешения внешних DNS) должен иметь значение Yes (Да).
3.	Перейдите на страницу Trust Store & Proxy (Зона доверия и прокси).
4.	Щелкните Check Proxy Connection (Проверить соединение с прокси). Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу и он останется в этом режиме. В противном случае после перезапуска узла и возврата на страницу Overview (Обзор) параметр блокировки разрешения внешних DNS должен иметь значение No (Нет).

Дальнейшие действия

Повторите тестирование соединения с прокси для каждого узла кластера безопасности данных гибридного типа.

Удаление узла

Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi и выключения виртуальной машины.

Удалить узел.

Войдите в Control Hub и выберите Службы.
На карточке безопасности данных гибридного типа щелкните Просмотреть все , чтобы отобразить страницу ресурсов безопасности данных гибридного типа.
Выберите кластер, чтобы отобразить его панель обзора.
Щелкните Открыть список узлов.
На вкладке Узлы выберите узел, который необходимо удалить.
Щелкните Действия > Отменить регистрацию узла.

Аварийное восстановление с помощью резервного центра обработки данных

После настройки сервера Syslogd щелкните Расширенные настройки


passiveMode: 'false'

Завершите процесс настройки и сохраните файл ISO в удобном для поиска местоположении.

Щелкните Edit Settings >CD/DVD Drive 1 и выберите Datastore ISO File.

Включите узел HDS и убедитесь в отсутствии аварийных сигналов в течение не менее 15 минут.

Повторите процесс для каждого узла в резервном центре обработки данных.

Дальнейшие действия

(Необязательно) Отсоедините ISO после конфигурации HDS

Перед началом работы

Модернизируйте все узлы HDS до версии 2021.01.22.4720 или более поздней.

1.	Отключите один из узлов HDS.
2.	В vCenter Server Appliance выберите узел HDS.
3.	Выберите Редактировать настройки > CD/DVD привод и снимите флажок Datastore ISO File.
4.	Включите узел HDS и убедитесь в отсутствии аварийных сигналов в течение как минимум 20 минут.
5	Повторите для каждого узла HDS по очереди.

Устранение неполадок безопасности данных гибридного типа

Просмотр предупреждений и устранение неполадок

Невозможно создать новые пространства (невозможно создать новые клавиши)
Не удалось расшифровать сообщения и названия пространств для:
- Новые пользователи, добавленные в пространство (невозможно получить ключи)
- Существующие пользователи в пространстве с использованием нового клиента (невозможно получить ключи)
Существующие пользователи в пространстве будут продолжать успешно работать, пока у их клиентов есть кэш ключей шифрования

Предупреждения

Таблица 1. Общие проблемы и шаги по их решению
Сигнал	Действие
Ошибка доступа к локальной базе данных.	Проверьте наличие ошибок базы данных или проблем с локальной сетью.
Сбой подключения локальной базы данных.	Убедитесь, что сервер базы данных доступен, и в конфигурации узла использовались правильные учетные данные служебной учетной записи.
Сбой доступа к облачной службе.	Убедитесь, что узлы могут получить доступ к серверам Webex, как указано в требованиях к внешним подключениям.
Возобновление регистрации облачной службы.	Регистрация в облачных службах была отменена. Продолжается возобновление регистрации.
Регистрация в облачной службе отменена.	Регистрация в облачных службах прекращена. Сервис отключается.
Служба еще не активирована.	Активируйте пробную версию или завершите перемещение пробной версии в производство.
Настроенный домен не соответствует сертификату сервера.	Убедитесь, что сертификат сервера соответствует настроенному домену активации службы. Наиболее вероятной причиной является то, что сертификат CN был недавно изменен и теперь отличается от CN, который использовался при начальной настройке.
Не удалось выполнить аутентификацию в облачных службах.	Проверка точности и возможного истечения срока действия учетных данных учетной записи службы.
Не удалось открыть файл локального хранилища ключей.	Проверьте целостность и точность пароля в локальном файле хранилища ключей.
Недопустимый сертификат локального сервера.	Проверьте дату истечения срока действия сертификата сервера и убедитесь, что он был выпущен доверенным центром сертификации.
Не удается опубликовать метрики.	Проверьте доступ локальной сети к внешним облачным службам.
каталог /media/configdrive/hds не существует.	Проверьте конфигурацию подключения ISO на виртуальном узле. Убедитесь, что файл ISO существует, что он настроен на монтирование при перезагрузке и что он успешно монтируется.

Устранение неполадок безопасности данных гибридного типа

1.	Просмотрите Control Hub на наличие предупреждений и исправьте все найденные в нем элементы.
2.	Проверьте вывод сервера syslog для активности из развертывания службы безопасности данных гибридного типа.
3.	Обратитесь в службу поддержки Cisco.

Другие примечания

Известные проблемы безопасности данных гибридного типа

При отключении кластера безопасности данных гибридного типа (удалении его в Control Hub или отключении всех узлов), потере файла конфигурации ISO или потере доступа к базе данных хранилища ключей пользователи приложения Webex больше не смогут использовать пространства в списке пользователей, созданные с помощью клавиш KMS. Это применимо как к пробному, так и к производственному развертыванию. В настоящее время у нас нет решения или решения этой проблемы. Мы настоятельно рекомендуем вам не закрывать службы HDS после обработки учетных записей активных пользователей.
Клиент, имеющий существующее подключение ECDH к KMS, поддерживает это подключение в течение определенного периода времени (вероятно, одного часа). Когда пользователь становится участником пробной версии безопасности данных гибридного типа, клиент пользователя продолжает использовать существующее соединение ECDH до истечения времени его истечения. Кроме того, пользователь может выйти из приложения Webex и вернуться в него, чтобы обновить местоположение, в котором приложение связывается с ключами шифрования.

Аналогичное поведение происходит при перемещении пробной версии в производство для организации. Все пользователи, не являющиеся пробными версиями, с существующими подключениями ECDH к предыдущим службам безопасности данных, будут продолжать использовать эти службы до тех пор, пока соединение ECDH не будет пересогласовано (через тайм-аут или путем выхода и повторного входа).

Использование OpenSSL для создания файла PKCS12

Перед началом работы

OpenSSL является одним из инструментов, который может быть использован для создания файла PKCS12 в надлежащем формате для загрузки в инструмент установки HDS. Есть и другие способы сделать это, и мы не поддерживаем и не продвигаем одну сторону.
Если вы решите использовать OpenSSL, мы предоставим эту процедуру в качестве руководства для создания файла, соответствующего требованиям сертификата X.509 в требованиях к сертификатам X.509. Прежде чем продолжить, ознакомьтесь с этими требованиями.
Установите OpenSSL в поддерживаемой среде. См. https://www.openssl.org программное обеспечение и документацию.
Создайте закрытый ключ.
Начните эту процедуру при получении сертификата сервера от центра сертификации (ЦС).

1.	При получении сертификата сервера из ЦС сохраните его как `hdsnode.pem`.
2.	Отобразите сертификат в виде текста и проверьте сведения. `openssl x509 -text -noout -in hdsnode.pem`
3.	Используйте текстовый редактор для создания файла пакета сертификатов, который называется `hdsnode-bundle.pem`. Файл пакета должен содержать сертификат сервера, все промежуточные сертификаты ЦС и корневые сертификаты ЦС в следующем формате: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4.	Создайте файл .p12 с дружественным именем `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Проверьте сведения о сертификате сервера. `openssl pkcs12 -in hdsnode.p12` Введите пароль при запросе, чтобы зашифровать закрытый ключ так, чтобы он отображался в выходном окне. Затем убедитесь, что закрытый ключ и первый сертификат содержат строки `friendlyName: kms-private-key`. Пример. bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Дальнейшие действия

Трафик между узлами HDS и облаком

Трафик коллекции исходящих метрик

Входящий Трафик

Узлы безопасности данных гибридного типа получают следующие типы входящего трафика из облака Webex.

Запросы на шифрование от клиентов, маршрутизируемые службой шифрования
Модернизация программного обеспечения узла

Настройка прокси Squid для безопасности данных гибридного типа

Невозможно выполнить подключение веб-сокетов через прокси Squid

Squid 4 и 5

Добавить on_unsupported_protocol директива к squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Предисловие

Новая и измененная информация

Дата

Внесенные изменения

20 октября 2023 г.

Обновлена информация в требованиях к серверу базы данных.
Добавлена настройка резервного центра обработки данных для аварийного восстановления.
Обновлена информация в резервном центре обработки данных для аварийного восстановления и аварийного восстановления с помощью резервного центра обработки данных.

07 августа 2023 г.

Добавлено примечание в разделе Скачивание файлов установки.
Добавлено примечание в Create a Configuration ISO for the HDS Hosts and Change the Node Configuration.

23 мая 2023 г.

Удалена информация из требований к серверу базы данных с просьбой включить функцию, обратившись в команду по работе с учетными записями.
Обновлена информация в разделе Требования к внешним подключениям и добавлена Канада в таблицу узлов CI.
Добавлено примечание в разделе Ожидания развертывания службы безопасности данных гибридного типа относительно недоступности механизмов для перемещения ключей обратно в облако.

06 декабря 2022 г.

Изображения инструмента настройки HDS теперь размещаются в репозитории ciscocitg dockerhub.
Обновлен раздел Создание ISO конфигурации для узлов HDS и Изменение разделов конфигурации узла для рефлексии изменений команд.

23 ноября 2022 г.

Узлы HDS теперь могут использовать аутентификацию Windows для Microsoft SQL Server.

Обновлен раздел Требования к серверу базы данных с дополнительными требованиями для этого режима аутентификации.

Обновлен параметр Создание конфигурации ISO для узлов HDS с процедурой настройки аутентификации Windows на узлах.
Обновлен раздел Требования к серверу базы данных новыми минимальными требуемыми версиями (PostgreSQL 10).

13 октября 2021 г.

24 июня 2021 г.

30 апреля 2021 г.

24 февраля 2021 г.

2 февраля 2021 г.

11 января 2021 г.

Добавлена информация о инструменте настройки HDS и прокси для создания конфигурации ISO для узлов HDS.

13 октября 2020 г.

Обновлено скачивание файлов установки.

8 октября 2020 г.

14 августа 2020 г.

5 августа 2020 г.

Обновлены требования к виртуальному организатору для удаления максимального количества организаторов.

16 июня 2020 г.

Обновлено удаление узла для внесения изменений в пользовательский интерфейс Control Hub.

4 июня 2020 г.

29 мая 2020 г.

5 мая 2020 г.

Обновлены требования к виртуальному организатору для отображения новых требований ESXi 6.5.

21 апреля 2020 г.

Обновлены требования к внешним подключениям с новыми хостами CI в Америке.

1 апреля 2020 г.

Обновлены требования к внешним подключениям с информацией о региональных узлах CI.

4 февраля, 2020 Обновлены требования к прокси-серверу.

19 ноября 2019 г.

Добавлена информация о режиме блокировки разрешения внешних DNS в следующих разделах:

Поддержка прокси
Настройка узла HDS для интеграции прокси
Отключение режима блокировки разрешения внешних DNS

8 ноября 2019 г.

Теперь можно настроить параметры сети для узла во время развертывания OVA, а не после.

Соответствующим образом обновлены следующие разделы:

Процесс выполнения задач по развертыванию системы безопасности данных гибридного типа
Установка OVA узла HDS
Настройка виртуальной машины безопасности данных гибридного типа

6 сентября 2019 г.

Добавлен стандарт SQL Server в требования к серверу базы данных.

20 августа 2019 г.

Поддержка прокси
Требования к прокси-серверу
Настройка узла HDS для интеграции прокси

13 июня 2019 г. Обновлен процесс пробной версии до производственной задачи с напоминанием о синхронизации объекта группы HdsTrialGroup перед запуском пробной версии, если в вашей организации используется синхронизация каталогов.

6 марта 2019 г.

Требования и предварительные условия перемещены в отдельную главу Подготовка среды.
Добавлено Процесс выполнения задач по развертыванию системы безопасности данных гибридного типа обзор в главе Настройка кластера безопасности данных гибридного типа.

Отмечается, что до начала пробной версии (с помощью инструкций, приведенных в следующей главе) узлы генерируют сигнал о том, что служба еще не активирована.
Добавлен процесс пробной версии для производственной задачи в главе Запуск пробной версии и переход к производственной.

28 февраля 2019 г.

Исправлено количество локального места на жестком диске на сервере, которое следует выделить при подготовке виртуальных узлов, которые становятся узлами безопасности данных гибридного типа, с 50 ГБ до 20 ГБ, чтобы отразить размер диска, создаваемого OVA.

26 февраля 2019 г.

Узлы безопасности данных гибридного типа теперь поддерживают зашифрованные соединения с серверами баз данных PostgreSQL и зашифрованные соединения для ведения журналов к серверу системного журнала с поддержкой TLS. Обновлен раздел Создание конфигурации ISO для узлов HDS с инструкциями.
Удалены URL-адреса назначения из таблицы "Требования к подключению к Интернету для виртуальных машин узлов безопасности данных гибридного типа". Теперь таблица ссылается на список, который хранится в таблице "Дополнительные URL-адреса для служб гибридного типа Webex Teams" в разделе Требования к сети для служб Webex Teams.

24 января 2019 г.

5 ноября 2018 г.

Добавлен предварительный шаг по очистке всех существующих экземпляров docker hds в разделе Create a Configuration ISO for the HDS Hosts and Change the Node Configuration.
Обновлен шаг уровня доступа ключа в разделе Создание конфигурации ISO для узлов HDS для соответствия интерфейсу.

19 октября 2018 г.

Разделите информацию о подключении брандмауэра на требования узла и требования к машине конфигурации ISO в разделе Выполнение предварительных требований для безопасности данных гибридного типа.

31 июля 2018 г.

Добавлен порт 22 (доступ SSH) и информация о соединениях NAT и брандмауэра для выполнения предварительных требований для безопасности данных гибридного типа.

21 мая 2018 г.

Изменена терминология для отражения ребрендинга Cisco Spark.

Служба безопасности данных гибридного типа Cisco Spark теперь является службой безопасности данных гибридного типа.
Приложение Cisco Spark теперь является приложением Webex.
Облако Cisco Collaboraton теперь является облаком Webex.

11 апреля 2018 г.

Добавлен резервный центр обработки данных для аварийного восстановления.
Обновлено Complete the Prerequisites for Data Security гибридного типа, чтобы указать, что среда резервного копирования должна находиться в другом центре обработки данных.
Обновлено аварийное восстановление с помощью резервного центра обработки данных.

22 февраля 2018 г.

Добавлена информация о пароле учетной записи службы за 9 месяцев и использовании инструмента настройки HDS для сброса паролей учетной записи службы в разделе Создание конфигурации ISO для узлов HDS и Изменение конфигурации узла.

15 февраля 2018 г.

В таблице требований к сертификатам X.509 указано, что сертификат не может быть групповым сертификатом и что KMS использует домен CN, а не любой домен, определенный в полях SAN x.509v3.

18 января 2018 г.

Добавлено приложение Трафик между узлами HDS и облаком.
Устранена проблема из раздела Известные проблемы безопасности данных гибридного типа.
Изменен index.docker.io на *.docker.io и добавлен *.cloudfront.net в список требований к подключению TCP для узлов HDS в разделе Complete the Prerequisites for Hybrid Data Security.
Обновлено Create a Configuration ISO for the HDS Hosts (Создать конфигурацию ISO для узлов HDS), чтобы указать, что если хост базы данных и сервер Syslogd не совместимы с DNS узлами HDS, их необходимо настроить с помощью IP-адресов.

2 ноября 2017 г.

Уточнена синхронизация каталога HdsTrialGroup.
Исправлены инструкции по загрузке файла конфигурации ISO для установки на узлы виртуальной машины.

18 августа 2017 г.

Впервые опубликовано

Начало работы с безопасностью данных гибридного типа

Обзор безопасности данных гибридного типа

Безопасность данных с первого дня была главной задачей при разработке приложения Webex. Краеугольным камнем этой безопасности является сквозное шифрование контента, которое обеспечивается клиентами приложения Webex, взаимодействующими со службой управления ключами (KMS). KMS отвечает за создание и управление криптографическими ключами, которые используются клиентами для динамического шифрования и расшифровки сообщений и файлов.

Архитектура сферы безопасности

Клиент устанавливает безопасное соединение со службой управления ключами (KMS), затем запрашивает ключ для шифрования сообщения. Безопасное соединение использует ECDH, а KMS шифрует ключ с помощью главного ключа AES-256.
Сообщение зашифровано перед выходом из клиента. Клиент отправляет его в службу индексирования, которая создает зашифрованные индексы поиска для облегчения будущих поисков контента.
Зашифрованное сообщение отправляется в службу соответствия для проверки соответствия.
Зашифрованное сообщение хранится в области хранилища.

Сотрудничество с другими организациями

Пользователи в вашей организации могут регулярно использовать приложение Webex для совместной работы с внешними участниками в других организациях. Когда один из ваших пользователей запрашивает ключ для пространства, принадлежащего вашей организации (поскольку оно было создано одним из ваших пользователей), KMS отправляет ключ клиенту через защищенный канал ECDH. Однако, если ключ для пространства принадлежит другой организации, ваша KMS маршрутизирует запрос в облако Webex через отдельный канал ECDH, чтобы получить ключ от соответствующей KMS, а затем возвращает ключ пользователю в исходном канале.

Ожидания развертывания системы безопасности данных гибридного типа

Для развертывания службы безопасности данных гибридного типа необходимо предоставить:

Безопасный центр обработки данных в стране, являющейся поддерживаемым местоположением для планов Cisco Webex Teams.
Оборудование, программное обеспечение и доступ к сети описаны в разделе Подготовка среды.

Управление резервным копированием и восстановлением базы данных и конфигурации ISO.
Будьте готовы выполнить быстрое аварийное восстановление при возникновении катастрофы, например сбой диска базы данных или аварийное завершение работы центра обработки данных.

Механизм возврата ключей в облако после развертывания HDS отсутствует.

Процесс настройки высокого уровня

Настройка безопасности данных гибридного типа. Это включает подготовку необходимой инфраструктуры и установку программного обеспечения безопасности данных гибридного типа, тестирование развертывания с помощью подмножества пользователей в пробном режиме и, по завершении тестирования, переход к производству. Это преобразует всю организацию для использования кластера безопасности данных гибридного типа для функций безопасности.
Этапы установки, тестирования и производства подробно описаны в следующих трех главах.
Поддерживайте развертывание службы безопасности данных гибридного типа: облако Webex автоматически обеспечивает текущую модернизацию. Ваш отдел ИТ может предоставить поддержку первого уровня для этого развертывания и при необходимости задействовать службу поддержки Cisco. В Control Hub можно использовать экранные уведомления и настроить предупреждения на основе электронной почты.
Понимание общих предупреждений, шагов по устранению неполадок и известных проблем. При возникновении проблем при развертывании или использовании службы безопасности данных гибридного типа последняя глава этого руководства и приложение «Известные проблемы» могут помочь вам определить и устранить проблему.

Модель развертывания системы безопасности данных гибридного типа

Модель развертывания системы безопасности данных гибридного типа

Минимальное количество узлов, которые можно иметь в кластере, составляет два. Мы рекомендуем не менее трех, а вы можете иметь до пяти. Наличие нескольких узлов гарантирует, что обслуживание не прерывается во время обновления программного обеспечения или других действий по техническому обслуживанию на узле. (Облако Webex одновременно обновляет только один узел.)

Для каждой организации поддерживается только один кластер.

Пробный режим безопасности данных гибридного типа

Резервный центр обработки данных для аварийного восстановления

До отработки отказа центр обработки данных A имеет активные узлы HDS и основную базу данных PostgreSQL или Microsoft SQL Server, а B – копию файла ISO с дополнительными конфигурациями, виртуальные машины, зарегистрированные в организации, и резервную базу данных. После отработки отказа центр обработки данных B имеет активные узлы HDS и основную базу данных, в то время как A имеет незарегистрированные виртуальные машины и копию файла ISO, и база данных находится в режиме ожидания. — ***Переключение на резервный центр обработки данных вручную***

Настройка резервного центра обработки данных для аварийного восстановления

Чтобы настроить файл ISO резервного центра обработки данных, выполните приведенные ниже действия.

Прежде чем начать

Резервный центр обработки данных должен отражать рабочую среду виртуальных машин и резервную базу данных PostgreSQL или Microsoft SQL Server. Например, если в производстве имеется 3 ВМ с узлами HDS, резервная среда должна иметь 3 ВМ. (Обзор этой модели отработки отказа см. в разделе Резервный центр обработки данных для аварийного восстановления .)
Убедитесь, что синхронизация базы данных включена между базой данных активных и пассивных узлов кластера.

После настройки сервера Syslogd щелкните Расширенные настройки

 пассивный режим: 'true'

Завершите процесс настройки и сохраните файл ISO в удобном для поиска местоположении.

Щелкните Edit Settings >CD/DVD Drive 1 и выберите Datastore ISO File.

Включите узел HDS и убедитесь в отсутствии аварийных сигналов в течение не менее 15 минут.

Повторите процесс для каждого узла в резервном центре обработки данных.

Дальнейшие действия

После настройки passiveMode в файле ISO и сохранения его можно создать другую копию файла ISO без настройки passiveMode и сохранить его в безопасном месте. Эта копия файла ISO без настройки passiveMode может помочь в быстром процессе отработки отказа во время аварийного восстановления. Подробную процедуру отработки отказа см. в разделе Аварийное восстановление с использованием резервного центра обработки данных .

Поддержка прокси

Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.

Нет прокси — по умолчанию, если для интеграции прокси не используется настройка узла HDS Trust Store & Proxy. Обновление сертификата не требуется.
Прозрачный прокси без проверки. Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси-сервером без проверки. Обновление сертификата не требуется.
Прозрачный туннель или прокси с проверкой — узлы не настроены на использование адреса определенного прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
Явный прокси. При использовании явного прокси вы указываете узлам HDS, какой прокси-сервер и схему аутентификации использовать. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.
1. IP/FQDN прокси — адрес, который можно использовать для доступа к машине прокси.
2. Порт прокси — номер порта, который прокси использует для прослушивания проксированного трафика.
3. Протокол прокси. В зависимости от того, что поддерживает ваш прокси-сервер, выберите один из следующих протоколов.
  - HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.
  - HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.
4. Тип аутентификации. Выберите один из следующих типов аутентификации.
  - Нет — дальнейшая аутентификация не требуется.
    
    Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
  - Базовый: используется для HTTP User Agent для указания имени пользователя и пароля при создании запроса. Использует кодировку Base64.
    
    Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.
    
    Требует ввода имени пользователя и пароля на каждом узле.
  - Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.
    
    Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.
    
    Требует ввода имени пользователя и пароля на каждом узле.

Пример узлов безопасности данных гибридного типа и прокси

Режим блокировки разрешения внешних DNS (конфигурации явного прокси)

Подготовка среды

Требования к безопасности данных гибридного типа

Требования к лицензии Cisco Webex

Развертывание службы безопасности данных гибридного типа.

У вас должна быть профессиональная версия Cisco Webex Control Hub. См. https://www.cisco.com/go/pro-pack.

Требования к рабочему столу Docker

Перед установкой узлов HDS необходимо запустить программу установки Docker Desktop. Docker недавно обновил свою модель лицензирования. Для вашей организации может потребоваться платная подписка на Docker Desktop. Подробности см. в записи блога Docker, " Docker обновляет и расширяет подписки на продукты".

Требования к сертификату X.509

Цепочка сертификатов должна отвечать следующим требованиям:

Таблица 1. Требования к сертификату X.509 для развертывания системы безопасности данных гибридного типа
Требование	Сведения о
Подписано доверенным центром сертификации (CA)	По умолчанию мы доверяем ЦС в списке Mozilla (за исключением WoSign и StartCom) по адресу https://wiki.mozilla.org/CA:IncludedCAs.
Имеет имя домена общего имени (CN), которое идентифицирует развертывание службы безопасности данных гибридного типа Не является групповым сертификатом	CN не обязательно должен быть доступным или живым организатором. Рекомендуется использовать название, которое отражает вашу организацию, например `hds.company.com`. CN не должен содержать * (подстановочный знак). CN используется для проверки узлов безопасности данных гибридного типа для клиентов приложения Webex. Все узлы безопасности данных гибридного типа в кластере используют один и тот же сертификат. Ваш KMS идентифицирует себя с помощью домена CN, а не какого-либо домена, определенного в полях SAN x.509v3. После регистрации узла с этим сертификатом изменение имени домена CN не поддерживается. Выберите домен, который может применяться как к пробному, так и к производственному развертыванию.
Подпись без SHA1	Программное обеспечение KMS не поддерживает подписи SHA1 для проверки подключений к KMS других организаций.
Отформатирован как защищенный паролем файл PKCS #12 Используйте дружественное имя `kms-private-key` , чтобы пометить сертификат, закрытый ключ и все промежуточные сертификаты для загрузки.	Для изменения формата сертификата можно использовать конвертер, например OpenSSL. При запуске инструмента настройки HDS необходимо будет ввести пароль.

Требования к виртуальному организатору

Не менее двух отдельных узлов (рекомендуется 3), расположенных в одном защищенном центре обработки данных

Установлен и запущен VMware ESXi 6.5 (или более поздняя версия).

Если у вас есть более ранняя версия ESXi, необходимо выполнить модернизацию.

Минимум 4 vCPU, 8 ГБ основной памяти, 30 ГБ локального дискового пространства на сервере

Требования к серверу базы данных

Существует два варианта для сервера базы данных. Требования к каждому из них следующие:

Таблица 2. Требования к серверу базы данных по типу базы данных

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 или 16, установлен и запущен.

Установлен SQL Server 2016, 2017 или 2019 (корпоративный или стандартный).

Для SQL Server 2016 требуется пакет обновления 2 и кумулятивное обновление 2 или более поздние версии.

PostgreSQL

Microsoft SQL Server

Драйвер JDBC Postgres 42.2.5

Драйвер JDBC SQL Server 4.6

Эта версия драйвера поддерживает SQL Server Always On (группы доступности Always On Failover Cluster Instances и Always On).

Дополнительные требования к аутентификации Windows в Microsoft SQL Server

Узлы HDS, инфраструктура Active Directory и MS SQL Server должны синхронизироваться с NTP.
Учетная запись Windows, предоставленная узлам HDS, должна иметь доступ на чтение/запись к базе данных.
Серверы DNS, предоставленные узлам HDS, должны иметь возможность разрешить работу центра распределения ключей (KDC).
Экземпляр базы данных HDS можно зарегистрировать на сервере Microsoft SQL в качестве главного имени службы (SPN) в Active Directory. См. Регистрация имени главного поставщика услуг для соединений Kerberos.

Инструмент настройки HDS, средство запуска HDS и локальный KMS должны использовать аутентификацию Windows для доступа к базе данных хранилища ключей. Они используют сведения из конфигурации ISO для создания SPN при запросе доступа с аутентификацией Kerberos.

Требования к внешним подключениям

Настройте брандмауэр таким образом, чтобы разрешить следующее подключение для приложений HDS.

Приложение	Protocol	Порт	Направление из приложения	Адресат
Узлы безопасности данных гибридного типа	Протокол TCP	443	Исходящие HTTPS и WSS	Серверы Webex: .wbx2.com .ciscospark.com Все узлы общих параметров идентификации Другие URL-адреса, перечисленные для безопасности данных гибридного типа в таблице Дополнительные URL-адреса для служб гибридного типа Webex Требования к сети для служб Webex
инструмент настройки HDS	Протокол TCP	443	Исходящий HTTPS	*.wbx2.com Все узлы общих параметров идентификации hub.docker.com

URL-адреса узлов общих параметров идентификации (CI) зависят от региона. Это текущие хосты CI:

Регион	URL-адреса общих узлов удостоверений
Северная и Южная Америка;	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Европейский союз	https://idbroker-eu.webex.com https://identity-eu.webex.com
Канада	https://idbroker-ca.webex.com https://identity-ca.webex.com

Требования к прокси-серверу

для прозрачных прокси – Cisco Web Security Appliance (WSA);

для явных прокси – Squid.

Прокси-серверы Squid, проверяющие трафик HTTPS, могут препятствовать установлению соединений websocket (wss:). Для решения этой проблемы см. раздел Настройка прокси-серверов Squid для безопасности данных гибридного типа.

Поддерживаются следующие комбинации типов аутентификации для явных прокси:
- без аутентификации при использовании HTTP или HTTPS;
- базовая аутентификация при использовании HTTP или HTTPS;
- дайджест-аутентификация только при использовании HTTPS;
При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.
Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.
Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. Для устранения этой проблемы трафик следует направить в обход (без проверки) на wbx2.com и *.teams.webex.com.

Выполнение предварительных требований для безопасности данных гибридного типа

Выберите имя домена для развертывания HDS (например, hds.company.com) и получите цепочку сертификатов, содержащую сертификат X.509, закрытый ключ и все промежуточные сертификаты. Цепочка сертификатов должна соответствовать требованиям сертификатов X.509.

Подготовьте идентичные виртуальные хосты, которые будут настроены в качестве узлов безопасности данных гибридного типа в кластере. Необходимо, чтобы в одном защищенном центре обработки данных находились по меньшей мере два отдельных узла (рекомендуется 3), которые соответствуют требованиям, изложенным в требованиях к виртуальному узлу.

Подготовьте сервер базы данных, который будет выступать в качестве хранилища данных ключей для кластера в соответствии с требованиями к серверу базы данных. Сервер базы данных должен быть объединен в защищенном центре обработки данных с виртуальными хостами.

Создайте базу данных для хранения ключей. (Необходимо создать эту базу данных — не используйте базу данных по умолчанию. При установке приложения HDS создайте схему базы данных.)
Соберите сведения, которые узлы будут использовать для связи с сервером базы данных.
- имя хоста или IP-адрес (хост) и порт
- имя базы данных (dbname) для хранения ключей
- имя пользователя и пароль пользователя со всеми правами в базе данных хранилища ключей

Если в вашей организации используется синхронизация каталогов, создайте в Active Directory группу HdsTrialGroup и добавьте пилотных пользователей. Пробная группа может иметь до 250 пользователей. Прежде чем начать пробную версию для вашей организации, объект HdsTrialGroup должен быть синхронизирован с облаком. Чтобы синхронизировать объект группы, выберите его в меню Конфигурация соединителя каталогов > Выбор объектов. (Подробные инструкции см. в руководстве по развертыванию соединителя каталогов Cisco.)

Настройка кластера безопасности данных гибридного типа

Процесс выполнения задач по развертыванию системы безопасности данных гибридного типа

Прежде чем начать

Скачайте файл OVA на локальный компьютер для последующего использования.

Настройка виртуальной машины безопасности данных гибридного типа

Создайте виртуальную машину из файла OVA и выполните начальную конфигурацию, например сетевые настройки.

Настройте виртуальную машину из файла конфигурации ISO, созданного с помощью инструмента настройки HDS.

Зарегистрируйте виртуальную машину в облаке Cisco Webex в качестве узла безопасности данных гибридного типа.